Cybersécurité : le Sénat adopte le projet de loi transposant la directive NIS

Le Sénat vient d'adopter, en première lecture, le projet de loi transposant la directive Network and Information Security (NIS). Un texte destiné à renforcer le niveau de cybersécurité s’agissant des « opérateurs de services essentiels » et des fournisseurs de services numériques comme les moteurs de recherche.

Adoptée le 6 juillet 2016, la directive NIS part du principe que certains incidents peuvent avoir un fort impact  dans le marché européen. Le législateur européen s’est ainsi engagé sur un texte destiné à assurer un niveau de protection commun à tous les États membres.

Comme toutes les directives, celle-ci exige une loi de transposition. C’est l’ambition du projet déposé par le gouvernement et tout juste adopté par le Sénat.

Comme déjà expliqué, la loi de programmation militaire (LPM) de 2013 a fait naitre des obligations sur les épaules des opérateurs d’importance vitale (OIV), ceux « pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Les centrales nucléaires, les entreprises de transports, de télécommunication, les hôpitaux, les banques, etc. sont soumis à l’attention de l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui leur impose un niveau de sécurité déterminé par une série de textes sectoriels.

La directive NIS et le projet de loi s’inscrivent dans cette lignée en instaurant des obligations pour deux nouvelles catégories d’acteurs : d’un côté, les opérateurs, publics ou privés, « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture ». De l’autre, les fournisseurs de services numériques.

Les opérateurs de services essentiels

S’agissant des premiers, le rapporteur Philippe Bonnecarrère a estimé que les termes de la loi en gestation étaient trop flous : « en ne définissant pas clairement dans la loi les obligations opposables aux opérateurs économiques essentiels (…) le législateur prenait le risque de méconnaître le principe à valeur constitutionnelle de légalité des délits et des peines ».

Les opérateurs de services essentiels (OSE) risqueront en effet une amende pénale de 100 000 euros s’ils ne se conforment pas aux préconisations de l’ANSSI, et même 125 000 euros s’ils font obstacle aux opérations de contrôle.

Or, s’agissant d’une sanction relative à des obligations touchant à la liberté d’entreprendre et au droit de propriété, seul le législateur est habilité à définir précisément les éléments constitutifs de l’infraction. Sauf que là, c’est le Premier ministre qui détaillera les règles de sécurité nécessaires.

Mais quelles règles ? L’ANSSI pourra « notamment » leur prescrire de recourir « à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée ».

Ces acteurs seront astreints en outre à lui signaler « sans délai » tous les incidents de sécurité qui ont ou sont « susceptibles » d’avoir « un impact significatif sur la continuité de ces services ». On parle d’incidents d’une certaine importance. Un écran bleu sur le PC Windows du service chargé de la machine à café sera hors des clous…

Le texte français va en tout cas plus loin que la directive, qui se contente des incidents consommés, en évinçant ceux seulement susceptibles d'avoir un impact sur la fourniture des services.

Face à un incident plus important, l’ANSSI, qui disposera d’un pouvoir de contrôle sur pièce et sur place aux frais des OSE (évalué à  1 200 euros/jour/homme), pourra en informer le public si « cette information est nécessaire pour prévenir ou traiter » le problème.

Assurance, tourisme, automobile... 

Quelles sont les entreprises concernées ? L’État devra dresser d’ici le 9 novembre 2018 la liste des opérateurs de services essentiels, et la publier par décret. Selon les informations communiquées à la commission des lois, « pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l'agroalimentaire, des assurances, des affaires sociales et de la construction automobile ». Bref des pans entiers de l’économie.

Souci : « La directive ne fixe pas de critères ou de seuils quantitatifs à prendre en compte pour identifier ces opérateurs » explique l’étude d’impact. Celle-ci donne néanmoins un premier chiffre, à la louche : « quelques centaines », mais dans un premier temps seulement, sachant que le coût supporté par chaque entreprise identifiée devrait être « nettement plus faible » que celui supporté par les OIV (1 à 2 millions d’euros par an).

Dans le rapport de la commission des lois, l’analyse est beaucoup moins mesurée : « en raison de l'interdépendance de notre tissu économique, les dispositions du projet de loi devraient impacter un champ beaucoup plus large d'entreprises, et notamment des petites et moyennes entreprises par le biais de conventions de sous-traitance. L'effet sera systémique ».

En séance, le gouvernement a fait adopter un amendement visant à intégrer dans le champ des opérateurs de services essentiels, les opérateurs d’importance vitale, du moins s’agissant des systèmes d’information non encadrés par le régime de la LPM.

Les fournisseurs de services numériques

L’autre grand chapitre de la transposition de la directive NIS concerne les « fournisseurs de service numérique » (FSN), à savoir les moteurs de recherche, les places de marchés (ou marketplaces) et les services dans le nuage.

Par « service numérique », le projet de loi entend « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».

Comme déjà exposé, la définition même est ouverte à interprétation, avec un flou nourri par l’adverbe « notamment ». Faut-il entendre l’ensemble des services en ligne, même gratuits, car fournis en contrepartie des données personnelles des internautes ?

De même, l’expression de « service d’informatique en nuage » n’est pas bien limpide, puisque le projet de loi évoque « un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. »

Sont concernés par ces futures règles, tous les services offerts dans l’Union européenne par un fournisseur qui a son siège social ou son établissement principal en France ou qui y a désigné un représentant.

Les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros sont exclues. Le texte ne dit pas si ce C.A. doit être calculé mondialement ou au niveau de l’UE ou de la France seulement.

Des règles mêmes pressantes, mais toujours des déclarations d'incident

Les obligations sont moins fortes que pour les OSE : ces acteurs seront tenus de garantir « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ».

Ils devront identifier les risques et prendre « des mesures techniques et organisationnelles nécessaires et proportionnées (…) pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact, de manière à garantir la continuité de leurs services ».

En somme, contrairement aux OSE, les FSN seront libres de définir les mesures de sécurité adaptées. L’obligation de déclaration d’incident existe, mais elle est aussi plus en retrait. Elle ne concerne que les incidents qui « ont un impact significatif (…) compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie ».

L’ANSSI pourra informer le public ou imposer au fournisseur de le faire « lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général ». Si le Premier ministre est informé qu’un fournisseur ne respecte pas ces obligations, il pourra cette fois organiser des contrôles, via l’ANSSI, aux frais du fournisseur. Remarquons que le contrôle ne sera mis en œuvre qu’a posteriori.

Les sanctions pénales seront de 75 000 euros si la structure ne se conforme pas à ces nouvelles obligations de sécurité, 50 000 euros si elle ne déclare pas un incident ou n’informe pas le public, 100 000 euros si elle fait obstacle aux opérations de contrôle.

Ce projet de loi doit maintenant être voté à l’Assemblée nationale. Il entrera en vigueur au plus tard le 9 mai 2018.