Rédigée dans l’urgence fin août, la Loi de Programmation Militaire (LPM) 2023 vient répondre aux enjeux nationaux, notamment cyber, causés par le conflit russo-ukrainien. NIS 2 et DORA, elles, travaillent sur le fond et à l’échelle européenne, pour donner un cadre à un maximum d’organisations pour réussir à stopper l’hémorragie générée par la démultiplication des cyberattaques.
Le Gouvernement français a pris la mesure de la guerre en Ukraine et des cyberattaques, dont la menace devient une priorité nationale. Loi d’urgence dans une certaine mesure, la nouvelle Loi de Programmation Militaire, publiée le 1er août 2023, couvre la période 2024-2030 et remplace celle initialement prévue pour 2019-2025. La mise à jour couvre notamment les sujets du numérique et de la cybersécurité et concerne les acteurs du logiciel, des télécommunications, des datas dans des dispositions liées à un contexte d’« économie de guerre » (CF Encadré). Les décrets d’application sont en cours d’élaboration. Au niveau européen, afin de lutter contre la croissance exponentielle de la menace, la Commission a adopté un cadre réglementaire ambitieux avec la directive européenne dite « NIS 2 » (Network and Information Security), publiée le 27 décembre 2022, qui devra être transposée par les États membres, en droit interne, au plus tard le 17 octobre 2024. “La directive NIS 2 vise à harmoniser et à renforcer la cybersécurité dans l’UE. Toutes les entités concernées par cette directive doivent donc se préparer en identifiant les nouvelles obligations qui leur seront applicables et définir le plan d’actions adéquat, précise Garance Mathias, avocate à la Cour- Associée et fondatrice de Mathias Avocats.
Le secteur financier soumis à de nombreuses réglementations
Les Etats membres doivent également se mobiliser. D’une part, en définissant les règles internes transposant la directive NIS 2. D’autre part, en définissant les modalités concrètes d’accompagnement des acteurs publics et privés afin d’atteindre les exigences de cybersécurité attendues. “Le texte a été adopté en même temps qu’une directive sur le même thème et qui vise à modifier certaines directives du secteur financier, telles que Solvabilité 2, DSP2 (sur les services de paiement), IORP2 (sur les activités et la surveillance des institutions de retraite professionnelle), MiFID2 (sur les marchés d’instruments financiers) et AIFM (sur les gestionnaires de fonds d’investissement alternatif), afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA”, contextualise Garance Mathias. Ce texte vise à “atteindre un niveau commun élevé de résilience opérationnelle numérique” et fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations opérant dans le secteur financier. “L’objectif étant de rendre le secteur financier, au niveau de l’UE, plus résilient, afin de garantir sa sûreté technologique et son bon fonctionnement, ainsi que son rétablissement rapide après des atteintes à la sécurité des technologies de l’information et de la communication (TIC) et des incidents liés aux TIC.”, conclut la fondatrice de Mathias Avocats. n
Quelques dispositions de la LPM 2023 impactant notamment les entreprises du numérique
1 – Obligation de notification pour tous les éditeurs en cas de vulnérabilités
L’article 66 vise les éditeurs de logiciels, “ à savoir toute personne physique ou morale qui conçoit (ou fait concevoir) un produit logiciel et le met à la disposition d’utilisateurs, et prévoit qu’en cas de vulnérabilité significative affectant un de leurs produits ou d’incident informatique compromettant la sécurité de leurs systèmes d’information et leurs produits, ils le notifient à l’ANSSI ainsi que l’analyse de ses causes et de ses conséquences.”
Notons que les éditeurs étrangers et les GAFAM n’échappent pas à ces obligations, si elles « fournissent ce produit sur le territoire français »
2 – Enregistrement des données en cas d’incidents pour les opérateurs, les hébergeurs et les datacenters
Lorsque l’autorité de sécurité a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs critiques, elle pourra placer des marqueurs ou procéder au recueil des données (conservées jusqu’ à 5 ans), sur le réseau d’un opérateur de communications électroniques, sur le système d’information d’une entreprise critique, ou d’un opérateur de centre de données, stipule l’article 67.
3 – Protection des noms de domaine contre l’usurpation
Dans le cas de campagne de phishing reprenant le nom d’une société, celle-ci aurait la responsabilité d’intervenir. Les articles 64 et 65 stipulent en effet : “Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.”
A défaut, l’Autorité pourra demander de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l’autorité nationale ou vers un serveur neutre.
Deux questions à Arnaud Pilon, responsable réponse à incident chez Synacktiv
En tant que prestataire de service dans le numérique, pensez-vous être soumis à NIS 2?
Concernant NIS2, de nombreux acteurs attendent encore les conclusions des consultations engagées par l’ANSSI, en particulier sur le sujet du périmètre des entités régulées et des mesures de sécurité à mettre en œuvre. Lorsqu’on consulte les annexes 1 et 2 de la directive européenne, en tant que société de conseil en cybersécurité, nous ne nous sentons pas concernés en première intention comme peuvent l’être des hébergeurs, des cloud providers d’infrastructure (IaaS) des moteurs de recherche, des fournisseurs de résolution de noms de domaine. Néanmoins, l’ANSSI peut aussi désigner des entités sur la base de son analyse de risque. En pratique, en tant que prestataire qualifié LPM et partenaire de confiance pour nos clients (potentiellement impactés par NIS 2), nous avons déjà des engagements de sécurité forts afin de prendre en compte les recommandations et les guides de l’ANSSI (guide d’hygiène, guide des PME, etc.).
Concernant la Loi de Programmation Militaire justement, comment vous impacte sa révision toute récente ?
Pour la LPM 2023, l’article 66 introduit dans le code de la Défense L2321-4-1 nous concernera dans la mesure où nous fournissons des solutions de sécurité sur le territoire national – nous commercialisons notamment des plateformes de cassage de mots de passe ou encore un kit de spearphishing. En particulier, la notification à l’ANSSI en cas de présence d’une vulnérabilité critique sur un de nos produits ou d’un incident de sécurité devra être pleinement intégrée dans nos processus de conformité au même titre que ceux déjà en place (RGPD, PASSI, etc.). MoveIt transfer, le VPN SSL de Fortigate ou encore Citrix Netscaler sont autant de produits ayant fait l’objet d’une alerte du CERT-FR en 2023 et démontrant une nouvelle fois l’importance d’avoir des processus de gestion de vulnérabilités efficaces. La portée générale de la LPM 2023 sur le volet de la déclaration des vulnérabilités est une évolution majeure pour réduire le temps d’exposition des services vulnérables : elle devrait augmenter le niveau de transparence voire de responsabilisation de certains acteurs.