La France est en train d’ajouter une nouvelle corde à son arc pour contraindre certaines entreprises et institutions sensibles à renforcer leurs dispositifs de cybersécurité. Dans ce cadre, la loi française de transposition de la directive européenne NIS (Network and Information Security) sur la sécurité des réseaux et de l’information du 6 juillet 2016 a été promulguée ce lundi 26 février 2018. Soit plus de deux mois avant la date butoir (9 mai 2018) fixée par Bruxelles. Cette réglementation a pour objectif de protéger les Etats face aux menaces informatiques. Elle cible également les entreprises ou administrations au rôle particulièrement critique pour la sécurité nationale — les opérateurs d’importance vitale (OIV) – et élève les exigences en matière de protection de leurs réseaux. Si les noms des entreprises qui figurent sur cette liste n’ont pas été dévoilés, on sait que certaines d’entre elles œuvrent par exemple dans le secteur des réseaux de distribution d’énergie.
Élargir la liste des acteurs critiques
Parmi les nouveautés de cette directive et de sa transposition, cette fameuse liste est élargie en créant une nouvelle catégorie d’acteurs : les opérateurs de services essentiels (OSE). Ces derniers étant considérés comme des entités fournissant des « services essentiels au fonctionnement de la société ou de l’économie ». Pour ces opérateurs, la loi obligera à mettre en place des mesures de cybersécurité plus exigeantes mais aussi à déclarer les attaques les plus graves à l’Agence nationale de sécurité des systèmes d’information (Anssi). Laquelle sera autorisée à effectuer des contrôles sur place. À cela s’ajoutent également des sanctions financières en cas de manquement à ces exigences de sécurité, parmi lesquelles une amende pouvant aller jusqu’à 100.000 euros pour le dirigeant de l’OSE.
Des secteurs d’applications plus étendues
Le gouvernement est actuellement en train de désigner les entités qui figureront dans la liste des OSE ainsi que leurs obligations qui seront moins sévères que pour les OIV. Les OSE, quelques centaines d’entreprises tout au plus, seront ciblées dans le secteur privé et plus particulièrement dans les secteurs de la santé, du transport, de l’industrie, de l’énergie, de l’alimentation mais aussi de la logistique ou encore dans le secteur social.
Une troisième catégorie orientée acteurs du Net
Cette directive va également générer une troisième catégorie d’acteurs : les fournisseurs de services numériques. Dans cette catégorie, la loi prévoit trois types d’acteurs, à savoir les grandes plates-formes de vente en ligne, les moteurs de recherche et les opérateurs de services Cloud. Si, contrairement aux OIV et OSE, la directive n’impose pas de mesure précise, elle souhaite que ces fournisseurs disposent d’un « niveau de sécurité adapté aux risques existants ». En cas d’attaque d’envergure, ces entités devront également informer l’Anssi qui pourra enquêter sur place. Avec une possibilité de sanction…
Ségolène Kahn
Commentez