Le gouvernement a déposé le projet de loi transposant la directive NIS. Un texte destiné à « assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ». Il prévoit des obligations pour les « opérateurs de services essentiels » mais aussi les fournisseurs de services numériques tels les moteurs de recherche.
La directive Network and Information Security (NIS) a été adoptée le 6 juillet 2016. Ce texte, ardemment défendu par l’ANSSI, l’agence nationale pour la sécurité des systèmes d’information, entend faire naitre une approche commune en matière de cybersécurité tout en élevant le niveau de protection dans chaque État membre.
« Face à des attaques informatiques toujours plus nombreuses et plus sophistiquées, la transposition de la directive du 6 juillet 2016 a pour objet de donner à la France les moyens de protéger les acteurs essentiels au bon fonctionnement de l’économie et de la vie quotidienne » explique en ce sens Matignon.
Des opérateurs d’importance vitale aux opérateurs de services essentiels
En France, depuis la Loi de programmation militaire (LPM) de 2013, les opérateurs d’importance vitale (OIV) sont soumis à une couche d’obligations très précises, détaillées par une série d’arrêtés, sous le contrôle de cette agence rattachée au Premier ministre.
Ces opérateurs ne sont pas le tout-venant. Ce sont ceux « pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » dit le texte. Identifiés, ils se voient alors astreints à des lourdes obligations destinées à prévenir, si ce n’est faire cesser, un risque cyber.
La liste de ces OIV est classée, mais on trouve sans surprise les centrales nucléaires, les grandes entreprises de transports, de télécommunication, les hôpitaux, etc.
La directive NIS, et le projet de loi assurant sa transposition, accompagnent cette logique en faisant naître en Europe une nouvelle catégorie d’acteurs eux aussi soumis à des cyber-obligations. Ce sont les opérateurs de services essentiels (OSE) au fonctionnement de la société ou de l'économie, « et qui pourraient être gravement perturbés par des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de ces services ».
La différence est donc subtile même si on voit que la définition des OIV est plus restreinte que celle des OSE. Qui sont d’ailleurs les OSE ? C’est le Premier ministre, et plus certainement l’ANSSI, qui établira leur liste, « actualisée à intervalles réguliers et au moins tous les deux ans » prévient le projet de loi. Et c’est encore cette agence qui sera chargée de fixer les normes pesant sur la protection de leurs réseaux et systèmes d'information.
Dans la directive NIS, plusieurs acteurs sont déjà visés dans le secteur des nouvelles technologies comme les fournisseurs de services DNS et les points d'échange Internet.
Des lignes directrices dans le projet de loi
Les détails seront établis par décret ou plus certainement arrêtés, mais le projet de loi donne déjà les lignes directrices : ces obligations auront « pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances ».
Elles définiront « les mesures appropriées pour prévenir les incidents qui compromettent la sécurité » ou du moins « pour en limiter l'impact afin d'assurer la continuité de ces services essentiels ». Et comme pour les OIV, ce sont ces opérateurs qui en assumeront financièrement la charge.
Certification et obligation de notification d’incident
Comme pour les OIV, l’ANSSI pourra ébaucher des règles prescrivant l’usage de dispositifs certifiés. Surtout, cette sphère d’acteurs sera désormais soumise à une obligation de notification d’incident.
Les OSE devront déclarer « sans retard injustifié » à l’ANSSI les « incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels » même lorsque ces problèmes sont simplement « susceptibles d'avoir » un impact sur la continuité de l’activité.
Ce critère sera déterminé en tenant compte notamment du nombre d'utilisateurs, de la zone géographique touchés, ou encore de la durée de l'incident. La loi n’est pas particulièrement intelligible puisque la liste, non exhaustive, est laissée au bon vouloir de l’exécutif.
Cette notification aura en tout cas des effets parfois visibles. Le Premier ministre pourra en effet prévenir le public, s’il juge l’information nécessaire à la prévention ou au traitement de l’incident. Si l’impact est significatif chez d’autres États membres, les autorités concernées seront-elles-aussi alertées.
Des contrôles et des sanctions
La confiance n’excluant pas le contrôle, comme le dit l’adage, un texte du Premier ministre pourra soumettre ces mêmes acteurs à « des contrôles destinés à vérifier le respect des obligations » nouvellement crées, qui détailleront en outre « le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels ». Identiquement, le coût de contrôles sera supporté par l’OSE.
Pour mener à bien ces opérations, chaque entité visée aura une obligation de transparence très poussée. Il devra par exemple fournir l’ensemble des documents relatifs à sa politique de sécurité, sans oublier « les résultats d'audit de sécurité ». Les agents pourront enfin accéder à ses infrastructures « afin d'effectuer des analyses et des relevés d'informations techniques ».
Le tout s’achèvera par une mise en demeure de corriger, dans un délai imparti, les éventuels soucis détectés. Les OSE n’auront aucun intérêt à trainer la jambe : ils seront passibles d’une amende de 100 000 euros par exemple s’ils ne se conforment pas aux règles de sécurité. S’ils oublient une déclaration d’incident, ils risqueront jusqu’à 75 000 euros. Et s’ils font obstacle d’une manière ou d’une autre aux contrôles, s’ajoutera une sanction de 125 000 euros.
Les OSE ne sont pas les seuls concernés par ces opérations. Le texte cible également les moteurs, les prestataires de cloud et les places de marché.
Moteurs, prestataires de cloud et places de marché
Le projet de loi, dans la lignée de la directive NIS, prévoit également des obligations spécifiques pour les « fournisseurs de service numérique ». Derrière, on trouve trois types d’acteurs : les moteurs de recherche, les places de marchés (ou marketplaces) et les services dans le nuage.
Le texte n’est pas d’application simple puisqu’il définit l’expression même de « service numérique » par « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ». Nous avons demandé à l’ANSSI des explications sur l’adverbe « notamment », juridiquement malaisé et qui peut faire penser que seuls les services payants seraient concernés. Malheureusement, en effet, l'étude d'impact est silencieuse sur ce point.
Des pans entiers de services en ligne vont en tout cas être frappés, déjà parce que l’informatique dans le nuage est vaguement définie comme « un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ».
Sur ce point, la directive NIS affirme par exemple que « ces ressources informatiques comprennent des ressources telles que les réseaux, serveurs et autres infrastructures, le stockage, les applications et les services ». Soit rien d’extraordinaire lorsqu’on opère en ligne.
Quant au terme « modulable », poursuit le même texte source, il renvoie « aux ressources informatiques qui sont attribuées d'une manière souple par le fournisseur de services en nuage, indépendamment de la localisation géographique de ces ressources, pour gérer les fluctuations de la demande ». Pas simple, alors que le gouvernement aurait pu s’inspirer plus directement de la norme en vigueur en ce secteur.
Quelle est la portée territoriale de ces obligations ?
Heureusement, le dispositif ne concerne pas la planète entière. Seuls seront concernés ceux des fournisseurs « qui offrent leurs services dans l'Union européenne et qui soit ont leur siège social sur le territoire national, soit, n'étant pas établis dans l'Union européenne, ont désigné à cet effet un représentant sur le territoire national ».
Il faudra donc offrir un service en Europe et, ou bien avoir son siège social dans un État membre, ou bien disposer d’un représentant.
Manque de chance, cette notion de représentant est elle-même floue. Selon la directive, il s’agit d’une personne physique ou morale établie dans l'Union « expressément désignée pour agir pour le compte d'un fournisseur de service numérique non établi dans l'Union, qui peut être contactée par une autorité nationale compétente ou un CSIRT à la place du fournisseur de service numérique concernant les obligations incombant audit fournisseur de service numérique en vertu de la présente directive ».
SI Google ou Microsoft par exemple dispose d’un tel représentant, capable d’accueillir les remarques de l’ANSSI, il entrera dans ce périmètre. Là encore nous avons demandé des précisions à l’agence. Dans tous les cas, leurs installations en Irlande devraient les faire entrer dans ce périmètre.
Un dernier critère a été établi pour laisser les plus petites structures de côté. Seront ainsi exclues celles qui emploient moins de cinquante salariés et dont le chiffre d'affaires annuel – mondial ou lié à l’activité concernée ? On ne sait pas – n'excède pas 10 millions d'euros.
Quelles obligations pour les moteurs, places de marché et les prestataires de cloud ?
Ainsi qualifiés, ces fournisseurs devront assurer, en l’état des connaissances, « un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants » explique l’article 12 du projet de loi.
Cela entraîne une identification des risques, des mesures techniques et organisationnelles nécessaires et proportionnées, une gestion des incidents, une gestion de la continuité des activités, un suivi, un audit et un contrôle outre « le respect des normes internationales ».
Ces acteurs devront prendre en outre toutes les « mesures utiles destinées, d'une part, à éviter les incidents de nature à porter atteinte à la sécurité des réseaux et systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne et, d'autre part, à en réduire au minimum l'impact, de manière à garantir la continuité de ces services ».
Moteurs, marketplaces et cloud soumis à déclaration d’incidents
Comme les OIV et les OSE, les fournisseurs de services devront déclarer leurs incidents à l’ANSSI du moins ceux qui « affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services ». Seuls les incidents ayant un impact significatif sont concernés.
Comme pour les OSE, ce sont ceux déterminés « compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de son impact sur le fonctionnement de la société ou de l'économie ».
Pareillement, le Premier ministre pourra alerter le public ou les autres États membres.
Des acteurs soumis à un contrôle décidé par le Premier ministre
Si le Premier ministre est informé qu’un fournisseur ne respecte pas ces obligations, il pourra le soumettre à des contrôles afin de jauger sur pièce ou sur place le niveau de sécurité. C’est là encore l’ANSSI qui assumera cette mission, au frais du fournisseur.
On retrouve à nouveau l’obligation de transparence afin de lui permettre d’évaluer la sécurité des réseaux et systèmes d'information, « y compris les documents relatifs à leurs politiques de sécurité ». S’y ajoute une liberté d’accès « afin d'effectuer des analyses et des relevés d'informations techniques ».
Toujours comme pour les OSE, ce mécanisme sera soumis à diverses sanctions : 75 000 euros si la structure ne prend pas les mesures de sécurité nécessaires, 50 000 euros d’oublier de déclarer un incident, 100 000 euros si elle fait obstacle aux opérations de contrôle.
Ce projet de loi entrera en vigueur à une date définie par décret et au plus tard le 9 mai 2018. Les opérateurs de services essentiels seront désignés au plus tard le 9 novembre 2018. Mais avant cela, le texte devra passer le cap du Parlement. Le gouvernement a déclaré la procédure accélérée afin de limiter le nombre de navettes entre les députés et sénateurs.
Commentaires (4)
#1
Ah !! Cette odeur de régulation venue d’en haut et donc parfaite, sous couvert de sécurité !
Ah !! Toutes ces obligations finement ciselées et calibrées pour mettre au pas !!
Ah !! Cette potentielle rentrée d’argent pour punir les méchants qui résisteraient !!
Qu’on se le dise, le terrorisme ne passera plus.
#2
Roulez au pas, c’est une obligation (en avant marche)
#3
Je trouve au contraire tout à fait logique et salutaire ce type de chose, maintenant c’est pas aussi bien qu’on le voudrait certes mais il faut réguler. L’internet tel que vous l’avez connu le 23 septembre 2002 n’existe plus et n’existera plus jamais, c’est comme ça. Vous avez connu la ruée vers l’or et le vent qui fouette le visage le long des long plaines infinies et les montagnes au loin, le sentiment de liberté éternel et le mauvais whisky… c’est déjà pas mal vous le raconterez à vos petits enfants.
Aujourd’hui la régulation avec ces mauvais coté et ses bons cotés est inéluctable et souhaitable. Reste a équilibrer tout cela et la rendre compatible avec le monde qui se profile dans le respects des lois et droits que nous avons. Merci à Marc pour cet excellent article.
#4
Effectivement c’est loin d’être absurde comme proposition, là on parle d’opérateur d’importance vital ou opérateur de service essentiel.
Au regard des données brassés par ceux-ci ou de leur importance en au quotidien, avoir des obligations de sécurisation et de transparence est bien le minimum. Il suffit de voir les derniers déboires de Uber ou autre au niveau de leur comptes compromis et de se dire qu’une obligation de sécurisation et de déclaration des brèches est plutôt pas mal.