Alors que Guillaume Poupard, le patron de l’Anssi, et le secrétaire général de la défense et la sécurité nationale Louis Gautier présentaient lundi dernier les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV), maître Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM, revient sur la directive européenne « Network Security and Information » (NIS), adoptée en première lecture par le Conseil de l’Europe en mai dernier.
Les deux experts ont présenté les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) concernant les produits de santé, la gestion de l’eau et l’alimentation. D’autres arrêtés feront suite pour couvrir l’ensemble des 12 secteurs reconnus d’importance vitale, soit 249 opérateurs publics et privés identifiés comme tels.
Ainsi, dans le prolongement de la loi de programmation militaire de 2013, ce nouveau cadre juridique imposera aux OIV de se prémunir contre les risques de cyber-attaque.
Ils auront notamment une obligation de notifier les incidents aux autorités compétentes, devront respecter des consignes préétablies de bonnes pratique et seront soumis régulièrement à des contrôles d’application. Comme l’a souligné M. Poupard, « la France est avec l’Allemagne un pays pionnier dans la protection des OIV », mais l’Europe n’entend pas rester simple spectatrice de ces efforts.
En février 2013, la Commission européenne a en effet proposé aux Etats membres et au Parlement d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.
La mise en place d’un réseau de communication interétatique
Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les Etats membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.
Au niveau national, l’Union prévoit que tous les Etats membres devront créer une « computer emergency response team » (CERT), c’est-à-dire un centre d’alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.
Au niveau communautaire, la directive NIS prévoit la mise en place d’un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n’ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d’information des différents acteurs. Face à la cybermenace, notamment de nature terroriste, la solidarité entre Etats apparaît en effet indispensable.
