Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Directive sur la cybersécurité : Amazon, eBay, Google devront notifier leurs incidents majeurs

NIS to meet you
Droit 3 min
Directive sur la cybersécurité : Amazon, eBay, Google devront notifier leurs incidents majeurs
Crédits : PeskyMonkey/iStock

Après des heures de négociations, le Parlement européen et les États membres sont arrivés lundi à un accord sur la future directive NIS (network and information security). Un texte destiné à mieux protéger les opérateurs dits critiques dans toute l’Europe.

Cette future directive sur la cybersécurité visera en effet à imposer des règles harmonisées à tout un ensemble d’opérateurs critiques. Le mouvement sera épaulé par le réseau des Computer Security Incident Response Team (CSIRT) pour discuter des incidents et identifier de possibles réponses coordonnées.

Plusieurs niveaux de reporting selon les acteurs concernés

Ce texte visera avant tout à définir des critères pour savoir qui relève de ces obligations. En tête de liste, on trouvera nécessairement les acteurs de l’énergie, du transport et de la santé. Selon l’eurodéputé Andreas Schwab (EPP), ces entreprises devront répondre à plusieurs mesures de sécurité, mais également notifier aux autorités les incidents de cybersécurité qualifiés « d’importants. »

Si les micro entreprises et les PME seront épargnées, les principaux acteurs du Net seront également concernés, mais avec des obligations finalement plus en retrait. Sont cités les marketplaces comme Amazon ou eBay, les moteurs de recherche mais aussi les services de cloud qui devront mettre en place de mesures de sécurité tout en rapportant aux autorités les seuls « incidents majeurs » qui viendraient les impacter.

Le flou règne par contre sur les autres plateformes en ligne comme les réseaux sociaux. Selon l’eurodéputé, toutefois, « cette directive marque le début de la régulation des plateformes. Alors que la consultation de la Commission européenne sur ces acteurs est toujours en cours, les nouvelles règles prévoient déjà des définitions concrètes – une demande du Parlement européen exprimée depuis le début des négociations , afin de faire connaître son consentement à l’inclusion des services numériques. »

En aout dernier, l’obligation de reporter aux autorités les incidents de sécurité avait soulevé les inquiétudes des représentants du secteur. Selon l’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, une obligation indifférenciée de reporting « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ». L’ASIC, l’association des services Internet communautaires, avait craint pour sa part de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique », du moins si des critères trop larges étaient inscrits en dur dans le texte final.

Le projet de directive doit maintenant être approuvé formellement par la Commission au marché intérieur du Parlement européen et par le Comité des représentants permanents.

Des obligations de reporting préexistent dans certains secteurs et en France

Suite à l'adoption du Paquet Télécom en Europe, rappelons que les opérateurs télécom doivent déjà notifier les fuites de données personnelles aux autorités de contrôle des données personnelles (la CNIL, ici). En France, l’Agence nationale de la sécurité des systèmes d'information chapeaute pour le compte du premier ministre, les règles de sécurité que doivent suivre les OIV, ces opérateurs d'importance vitale dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.

Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, acteurs des télécoms, etc. ont l'obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels. »

8 commentaires
Avatar de Guinnness INpactien
Avatar de GuinnnessGuinnness- 08/12/15 à 11:07:21

Signaler ce commentaire aux modérateurs :

Et pour les banques ? Ce genre d'obligations ne s'applique toujours pas à elles ? Ce serait pourtant pas mal d'être au courant quand elles ont été en état de vulnérabilité voir carrément été victimes d'intrusions.

Avatar de Northernlights Abonné
Avatar de NorthernlightsNorthernlights- 08/12/15 à 12:15:51

Signaler ce commentaire aux modérateurs :

:dredi: Les banques sont au dessus de la loi !

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 08/12/15 à 12:23:41

Signaler ce commentaire aux modérateurs :

Je ne vois pas en quoi les GAFA cités seraient des "opérateurs critiques". C'est leur accorder, dans nos sociétés, une importance qu'ils n'ont pas à mon avis

Édité par John Shaft le 08/12/2015 à 12:23
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 08/12/15 à 12:28:24

Signaler ce commentaire aux modérateurs :

Très certainement pris en compte comme OIV par la LPM

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 08/12/15 à 15:28:24

Signaler ce commentaire aux modérateurs :

John Shaft a écrit :

Je ne vois pas en quoi les GAFA cités seraient des "opérateurs critiques". C'est leur accorder, dans nos sociétés, une importance qu'ils n'ont pas à mon avis

Ben, parce que ce sont eux les maitres du monde, non ?

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 08/12/15 à 16:04:14

Signaler ce commentaire aux modérateurs :

C'est pas Leonardo le maître du monde ?

Avatar de Ricard INpactien
Avatar de RicardRicard- 08/12/15 à 16:20:17

Signaler ce commentaire aux modérateurs :

https://www.zataz.com/anonymous-diffuse-1415-donnees-de-participants-a-la-cop-21/

Édité par Ricard le 08/12/2015 à 16:20
Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 08/12/15 à 16:24:26

Signaler ce commentaire aux modérateurs :

Jusqu'à ce que le bateau coule (désolé de spoiler) un peu comme le navire France... Pourtant on ne manque pas de petits capitaines

Il n'est plus possible de commenter cette actualité.