Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité, et adopté ou sont en voie d’adoption de plusieurs textes législatifs et règlementaires.
Au niveau européen, la Commission a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. La proposition a été modifiée et adoptée en première lecture par le Parlement européen, le 13 février 2014. Ce texte est depuis en cours d’examen devant le Conseil. (1)
Les exigences issues du texte européen sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013 (LPM), dont les premiers décrets d’application viennent d’être publiés. (2)
Nous proposons ci-dessous une synthèse des principales dispositions européennes, en cours de discussion,et françaises, en vigueur.
1. Les opérateurs concernés
- Le projet de directive européenne, dans sa version initiale proposée par la Commission, imposait de nouvelles obligations aux administrations publiques et aux acteurs du marché.
Les acteurs du marché sont définis et divisés en deux catégories :
- les “prestataires de services de la société de l’information qui permettent la fourniture d’autres services de la société d’information”, à savoir les : plateformes de e-commerce, réseaux sociaux, moteurs de recherches, services Cloud, etc. ;
- les “opérateurs d’infrastructure essentielle au maintien de fonctions économiques et sociétales vitales”, dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions. Ces opérateurs exercent leurs activités dans les domaines de l’énergie, des transports, des services bancaires, des infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé.
Toutefois, ces dispositions ont été amendées par le Parlement, qui ne retiendra que les acteurs du marché qualifiés d’opérateurs d’infrastructure essentielle, dont l’effectif excède 10 personnes et dont le chiffre d’affaires annuel est supérieur à 2 millions d’euros. Les micro et petites entreprises sont donc exclues, sauf exception.
Aujourd’hui, de nombreuses questions concernant le champ d’application de la directive sont soulevées devant le Conseil. Les ministres ont émis le souhait d’ajouter une liste des secteurs d’infrastructures critiques communs et de définir des critères afin de déterminer les opérateurs qui en font partie, et décider si et dans quelle mesure les “services de la société d’information” et les “facilitateurs de services internet” devraient également être inclus dans le champ d’application de la directive.
- La réglementation française impose des obligations en matière de cybersécurité uniquement aux opérateurs d’importance vitale.
La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique
Pour rappel, les OIV sont définis, dans le Code de la défense, comme des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, ou de mettre gravement en cause la santé ou la vie de la population.
2. Le respect des mesures de sécurité et les audits
La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.
La réglementation française prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur système d’information (SI) à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.
A ce titre, l’un des décrets du 27 mars 2015 précise que l’ANSSI élabore et propose au Premier ministre ces règles de sécurité, qui sont ensuite établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Des arrêtés pourront prévoir des règles et délais de mise en conformité différents selon le secteur ou le type d'activité de l'opérateur. En outre, chaque OIV doit établir, tenir à jour et communiquer à l’ANSSI la liste de ses SI, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent également les règles de sécurité.
De même, le décret précise qu’en cas de contrôle, le Premier ministre informe l'opérateur des objectifs de l'audit, du périmètre et du délai dans lequel l'audit sera réalisé. Ce type de contrôle ne pourra en principe être réalisé qu’une fois par an, par opérateur. En cas de contrôle, l’OIV devra fournir au prestataire en charge de l’audit les informations nécessaires pour évaluer la sécurité du SI ainsi que les moyens nécessaires pour y accéder. En fin de mission, le prestataire remettra à l’ANSSI un rapport comportant ses observations et, le cas échéant, les commentaires de l’opérateur concerné. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou par les agents de l’ANSSI.
3. La détection et la gestion des risques
La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et de réduire au minimum leur impact sur les services qu’ils fournissent.
Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la règlementation française. En effet, dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Les règles de sécurité fixeront les conditions et les délais dans lesquels les OIV mettront en oeuvre ces systèmes de détection, ainsi que le type de système utilisé. En outre, l’OIV doit conclure une convention avec le prestataire de service exploitant le système de détection comportant certaines mentions obligatoires (SI faisant l’objet du service de détection, type de système de détection utilisé et ses fonctionnalités, nature des informations échangées, etc.).
4. La notification des incidents de sécurité
Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.
Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident. Ces critères sont susceptibles d’être modifiés par le Conseil.
Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.
La règlementation met également à la charge des OIV, une obligation de déclarer sans délai (“dès que l’opérateur en a connaissance”) au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Des arrêtés viendront préciser les informations, leurs modalités de transmission et les types d’incidents concernés, en les distinguant, le cas échéant, selon le secteur ou le type d’activité de l’opérateur. Enfin, contrairement au texte européen, il n’est pas prévu la possibilité pour l’ANSSI ou les services de l’Etat d’informer le public en cas d’incident.
5. La qualification des produits et prestataires
Le projet de texte européen fait expressément référence à la qualification, sans donner plus de détail aux Etats membres.
En France, la procédure de qualification des produits de sécurité (sondes, etc.) et des prestataires de service vient d’être précisée par décret. Ce texte prévoit que la demande de qualification de produit ou en tant que prestataire de confiance est adressée à l’ANSSI. Après un premier examen du dossier par l’ANSSI, l’évaluation du produit ou des services concernés est réalisée par un centre d’évaluation agréé. Au terme de l’évaluation le centre remet un rapport sur la base duquel l’ANSSI va décider ou non de proposer la qualification du produit ou du prestataire au Premier ministre. La qualification est délivrée pour une durée maximale de 3 ans, renouvelable dans les mêmes conditions.
L’ANSSI mène actuellement les travaux de préparation des arrêtés en collaboration avec les acteurs concernés. Pour ce faire, l’agence a mis en place, pour chaque domaine d’activité, un groupe de travail dans le but de définir des règles de sécurité adaptées aux spécificités des différents métiers. Ces arrêtés sectoriels devraient être publiés courant 2015.
Quant à la directive, le Conseil a tenu deux réunions de trilogue à son sujet avec le Parlement européen fin 2014. (3) En mars 2015, le Conseil a accepté de reprendre les négociations, la prochaine réunion de trilogue devant se tenir dans les jours prochains.
Une fois adoptée, les Etats membres devront transposer la directive dans leur législation interne dans un délai de 18 mois. Si les dispositions de la règlementation française sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.
* * * * * * * * * * *
(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013 ; Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.
(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
(3) Le trilogue est une réunion tripartite informelle entre représentants des trois institutions européennes, la Commission, le Parlement et le Conseil des ministres, visant à accélérer le processus législatif.
Aujourd’hui, de nombreuses questions concernant le champ d’application de la directive sont soulevées devant le Conseil. Les ministres ont émis le souhait d’ajouter une liste des secteurs d’infrastructures critiques communs et de définir des critères afin de déterminer les opérateurs qui en font partie, et décider si et dans quelle mesure les “services de la société d’information” et les “facilitateurs de services internet” devraient également être inclus dans le champ d’application de la directive.
- La réglementation française impose des obligations en matière de cybersécurité uniquement aux opérateurs d’importance vitale.
La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique
Pour rappel, les OIV sont définis, dans le Code de la défense, comme des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, ou de mettre gravement en cause la santé ou la vie de la population.
2. Le respect des mesures de sécurité et les audits
La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.
La réglementation française prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur système d’information (SI) à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.
A ce titre, l’un des décrets du 27 mars 2015 précise que l’ANSSI élabore et propose au Premier ministre ces règles de sécurité, qui sont ensuite établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Des arrêtés pourront prévoir des règles et délais de mise en conformité différents selon le secteur ou le type d'activité de l'opérateur. En outre, chaque OIV doit établir, tenir à jour et communiquer à l’ANSSI la liste de ses SI, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent également les règles de sécurité.
De même, le décret précise qu’en cas de contrôle, le Premier ministre informe l'opérateur des objectifs de l'audit, du périmètre et du délai dans lequel l'audit sera réalisé. Ce type de contrôle ne pourra en principe être réalisé qu’une fois par an, par opérateur. En cas de contrôle, l’OIV devra fournir au prestataire en charge de l’audit les informations nécessaires pour évaluer la sécurité du SI ainsi que les moyens nécessaires pour y accéder. En fin de mission, le prestataire remettra à l’ANSSI un rapport comportant ses observations et, le cas échéant, les commentaires de l’opérateur concerné. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou par les agents de l’ANSSI.
3. La détection et la gestion des risques
La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et de réduire au minimum leur impact sur les services qu’ils fournissent.
Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la règlementation française. En effet, dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Les règles de sécurité fixeront les conditions et les délais dans lesquels les OIV mettront en oeuvre ces systèmes de détection, ainsi que le type de système utilisé. En outre, l’OIV doit conclure une convention avec le prestataire de service exploitant le système de détection comportant certaines mentions obligatoires (SI faisant l’objet du service de détection, type de système de détection utilisé et ses fonctionnalités, nature des informations échangées, etc.).
4. La notification des incidents de sécurité
Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.
Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident. Ces critères sont susceptibles d’être modifiés par le Conseil.
Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.
La règlementation met également à la charge des OIV, une obligation de déclarer sans délai (“dès que l’opérateur en a connaissance”) au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Des arrêtés viendront préciser les informations, leurs modalités de transmission et les types d’incidents concernés, en les distinguant, le cas échéant, selon le secteur ou le type d’activité de l’opérateur. Enfin, contrairement au texte européen, il n’est pas prévu la possibilité pour l’ANSSI ou les services de l’Etat d’informer le public en cas d’incident.
5. La qualification des produits et prestataires
Le projet de texte européen fait expressément référence à la qualification, sans donner plus de détail aux Etats membres.
En France, la procédure de qualification des produits de sécurité (sondes, etc.) et des prestataires de service vient d’être précisée par décret. Ce texte prévoit que la demande de qualification de produit ou en tant que prestataire de confiance est adressée à l’ANSSI. Après un premier examen du dossier par l’ANSSI, l’évaluation du produit ou des services concernés est réalisée par un centre d’évaluation agréé. Au terme de l’évaluation le centre remet un rapport sur la base duquel l’ANSSI va décider ou non de proposer la qualification du produit ou du prestataire au Premier ministre. La qualification est délivrée pour une durée maximale de 3 ans, renouvelable dans les mêmes conditions.
L’ANSSI mène actuellement les travaux de préparation des arrêtés en collaboration avec les acteurs concernés. Pour ce faire, l’agence a mis en place, pour chaque domaine d’activité, un groupe de travail dans le but de définir des règles de sécurité adaptées aux spécificités des différents métiers. Ces arrêtés sectoriels devraient être publiés courant 2015.
Quant à la directive, le Conseil a tenu deux réunions de trilogue à son sujet avec le Parlement européen fin 2014. (3) En mars 2015, le Conseil a accepté de reprendre les négociations, la prochaine réunion de trilogue devant se tenir dans les jours prochains.
Une fois adoptée, les Etats membres devront transposer la directive dans leur législation interne dans un délai de 18 mois. Si les dispositions de la règlementation française sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.
* * * * * * * * * * *
(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013 ; Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.
(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.
(3) Le trilogue est une réunion tripartite informelle entre représentants des trois institutions européennes, la Commission, le Parlement et le Conseil des ministres, visant à accélérer le processus législatif.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2015
Mai 2015
