En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 07/03/2017
    ROOMn, au cœur de la transformation digitale des entreprises, du 7 au 9 mars 2017

    ROOMn est la seule rencontre d’affaires qui rassemble pendant 3 jours 800 décideurs au profit…

    en détail En détail...
  • 24/02/2017
    Salon Virtuality Paris, le 24 février 2017

    Le premier Salon Virtuality Paris présente le meilleur de la réalité virtuelle pour tous les secteurs et…

    en détail En détail...
Comexposium_roomn_leaderboard

NIS : adoption de la directive européenne sur la cybersécurité, harmonisation en vue ?

Schneider_BackUPSApc_pavé

Pourquoi une directive sur la cybersécurité ? Quelles sont les nouvelles obligations ? Et que peut-on reprocher au législateur européen ? Garance Mathias, Avocat à la Cour (www.avocats-mathias.com), fait le tour de ces questions pour Solutions-numériques.

L’Union européenne se protège en créant un véritable cadre juridique sur la cybersécurité pour la première fois de son histoire. Les acteurs concernés sont évidemment déjà soumis à des règles semblables à travers l’Union européenne, notamment quant à la notification des failles. Ces obligations de conformité diffèrent toutefois sensiblement les unes des autres.

Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, ou bien « Directive NIS ». S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018. Pour rappel, la transposition d’une directive laisse une certaine marge aux Etats membres quant aux moyens à mettre en place pour atteindre les objectifs fixés par la directive, contrairement à un règlement.

La Directive devrait permettre de renforcer la coopération entre les États membres en ce domaine. Elle prévoit également des obligations en matière de sécurité pour les opérateurs fournissant des services essentiels (finance, transports, santé, etc.) et pour les fournisseurs de services numériques. Chaque Etat membre devra par ailleurs désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces.

Malgré l’existence de l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) qui émet des recommandations et assiste les Etats membres dans la mise en œuvre de solutions de cybersécurité, aucun cadre commun n’était prévu et ces enjeux étaient traités à l’échelle nationale. Les entreprises étaient donc confrontées à un patchwork de réglementations nationales, avec toute l’insécurité juridique que cela entraîne.

Par exemple, en ce qui concerne les obligations de notification des failles de sécurité impliquant des données à caractère personnel, on constate une grande diversité. Ainsi, en France ou en Pologne, des obligations de notification existent pour certains acteurs (opérateurs de télécommunication, etc.). En Italie, les obligations de notification s’imposent en cas de fuite de données de santé et/ou biométriques. Au Royaume-Uni ou en Irlande, ces notifications sont recommandées par les autorités mais ne sont pas imposées par la loi. En outre, les modalités de notification sont loin d’être identiques.

Quelles sont les nouvelles obligations ?

On peut regretter que le périmètre de cette Directive soit assez étroit et ne concerne que deux types d’acteurs : les opérateurs fournissant des services essentiels et certaines plateformes numériques.

Que sont les opérateurs fournissant des services essentiels ? Des entreprises jouant un rôle important voire critique au sein de la société et l’économie. Les Etats membres doivent identifier quelles seront les entités qualifiées comme telles, dans un délai de six mois à compter du 9 mai 2018, date à laquelle ils devront avoir transposé la Directive. Dans ce contexte, l’annexe II de la Directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels. Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information ; et tout incident aurait un effet disruptif important sur la fourniture dudit service. Il est probable que les autorités françaises s’appuient sur le cadre déjà mis en place, relatif aux Opérateurs d’Importance Vitale (OIV) que l’on considère comme des infrastructures critiques. En France, il y en a environ 150 OIV dans sept secteurs dont l’alimentation, la gestion de l’eau ou encore l’énergie.

La Directive oblige chaque Etat membre à s’assurer que ces opérateurs fournissant des services essentiels prennent toutes mesures techniques et organisationnels appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.

Ces obligations s’appliquent par ailleurs à trois types de fournisseurs de services numériques : les marchés en ligne, les moteurs de recherche et les prestataires de cloud computing. Le niveau de sécurité mis en œuvre par ces derniers devra être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cela ne concerne pas les PME.

A noter que la Directive prévoit l’adoption par la Commission Européenne de plusieurs actes d’exécution afin d’apporter des précisions sur ces obligations.

Que peut-on reprocher au législateur européen ?

La définition de « place de marché en ligne » semble assez réductrice eu égard aux ambitions affichées par le législateur européen. Il s’agit, au sens de la Directive, d’un service numérique permettant de conclure des contrats en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne. Qu’en est-il des entreprises qui vendent leurs produits et services sur leurs propres sites internet ?

La Directive paraît également imprécise sur de nombreux points. Quelles seront les mesures techniques et organisationnelles concrètes à mettre en œuvre dans le cadre d’une gestion de risques ? Qu’est-ce qu’un impact significatif sur les services fournis par les opérateurs concernés ? En cas d’incident, quelles sont les modalités d’information du public par les autorités désignées ? Quels seront les pouvoirs et compétences de ces dernières ? Quelles seront les sanctions en cas de non-conformité ? Les seules exigences pour les sanctions étant qu’elles soient effectives, proportionnées et dissuasives.

L’harmonisation des règles relatives à la sécurité des réseaux et des systèmes d’information au sein de l’Union n’est peut-être pas pour demain…

 

Auteur : Juliette Paoli

Notez cet article

Laisser un commentaire

MIEUX GÉRER VOS DONNÉES ARCHIVÉES

Saurez-vous identifier et restaurer des données rapidement en réponse aux demandes d’audit ou de litige ? Petit-déjeuner /Conférence - Iron Mountain -7 mars 2017 , Hôtel Le Meurice Paris

Info & inscription

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Mots de passe: quelles recommandations de la CNIL ?

    La délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) portant adoption d’une recommandation relative…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Sécurité : peu de logiciels peuvent se targuer de répondre aux nouveaux besoins des Cloud Workloads

    Sécurité : peu de logiciels peuvent se targuer de répondre aux nouveaux besoins des Cloud…

    > En savoir plus...
Etudes/Enquêtes
  • Security Operation Centers (SOC) : 82 % d’entre eux laisseraient les entreprises vulnérables

    Personnels, processus, technologie... : la très grande majorité des solutions SOC ne seraient pas suffisamment matures…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Elo_documation2017_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Etes-vous en conformité avec les nouvelles règles européennes et l’ « état de l’art »…

    > Voir le livre
  • Les 5 grands défis pour la DSI - Comment transformer son SI sans perdre le…

    > Voir le livre
Elo_documation2017_skycraper