Le 6 juillet 2016 était publiée la directive européenne NIS (Network Information Security). Issu d’une réflexion commencée en 2013, ce texte ajoute une nouvelle brique au chantier de la sécurisation du marché unique numérique européen. Avec le règlement eIDAS, cette directive vise à renforcer la confiance des utilisateurs du cyberespace européen en proposant un cadre et une collaboration renforcée entre les pays membres et les institutions européennes.
La directive NIS fixe un cap
Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.
Il est possible de diviser les obligations données par la directive en trois catégories :
- Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.
- Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.
- Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.
La directive NIS en renfort de la LPM
En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.
Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.
- Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
- Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
- Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.
En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.
21 mois pour s’aligner à la directive
La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.
Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?
La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.