Directive NIS : les acteurs du Web tenus de notifier leurs incidents aux autorités de contrôle ?

Les acteurs du numérique se verront-ils obligés de reporter aux autorités les incidents de sécurité, à l’instar des opérateurs d’importance vitale (OIV) ? Il semble que oui, à en croire les derniers développements autour de la future directive NIS (Network and information security).

Selon un document consulté par Reuters, l’Europe envisage finalement de faire entrer les acteurs des nouvelles technologies dans le giron de la directive NIS. Les moteurs de recherche, les réseaux sociaux, les acteurs du cloud, etc. rejoindraient là le secteur de l’énergie, de l’eau ou des transports, et autres opérateurs d’importance vitale.

Le reporting d’incident frappant le numérique

Si un tour de table auprès des États européens est encore attendu d’ici la rentrée, cette qualification emporterait en l'état une série d’obligations que le document de Reuters ne détaille pas. On sait simplement qu’elles seraient différenciées compte tenu des spécificités du secteur. Par exemple, ceux en liaison directe avec les infrastructures physiques seraient soumis à un régime plus strict que les pures plateformes de service. À tout le moins, tous auraient pour obligation de signaler aux autorités de contrôle en charge de la cybersécurité, les incidents frappant leur univers.

En France, à ce jour, cette compétence est dévolue à l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, mais seulement à l'égard des OIV. Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, etc. ont donc l'obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».

Le Code de la défense permet en effet au Premier ministre de fixer les règles de sécurité nécessaires à la protection des systèmes d'information de ces opérateurs critiques, ceux dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Et ces règles doivent être appliquées à la lettre et au frais des OIV.

Ajoutons en outre que suite à l'adoption du Paquet Télécom en Europe, les fournisseurs d’accès ont aussi l’obligation de signaler à la CNIL les fuites de données personnelles dont souffriraient leurs infrastructures. Bref, des obligations très spécifiques limitées à quelques centaines d'acteurs, tout au plus. 

Les critiques des acteurs du numérique

Voilà plusieurs mois que cette future directive NIS envisage cependant l'extension du périmètre d’intervention des autorités. Et sans surprise, la mesure a déjà été critiquée, notamment fin 2014.

L’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, estime ainsi qu’une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ».

Mieux, selon elle, « l’application des obligations déjà imposées aux opérateurs d’infrastructures critiques à l’ensemble des entreprises du numérique ne se justifie pas et il serait disproportionné et dans la plupart des cas redondant de leur imposer des obligations administratives supplémentaires, en particulier l’obligation de signalement des incidents de sécurité auprès des agences nationales en charge de la cybersécurité. »

Mêmes reproches du côté de l’ASIC, l’association des services Internet communautaire, qui craint de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique ». Elle rappelait alors qu’en mars 2014, le Parlement européen ne s’était focalisé que sur les acteurs d’importance réellement vitale, pas au-delà. « Or, il semble aujourd’hui que cet équilibre soit remis en cause par plusieurs États membres, dont la France. Ceux-ci souhaitent ainsi étendre très largement le champ d’application du texte en couvrant toutes les industries du numérique  y englobant les intermédiaires, les sites de commerce électronique, les hébergeurs de données, les sites de médias ou les développeurs d’objets connectés. »

Pour l’Asic, « les agences de cybersécurité – comme par exemple l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »