Une directive européenne transposée en droit français définit de nouvelles catégories d’entreprises sensibles et hausse les exigences à leur égard en matière de sécurité. / SparkFun Electronics / CC BY 2.0

L’exécutif va prochainement disposer de nouveaux instruments pour contraindre certaines entreprises et institutions sensibles à muscler leur sécurité informatique. Jeudi 15 février, l’Assemblée nationale a incorporé dans le droit français plusieurs directives européennes, dont l’une sur la cybersécurité. La veille, le Sénat avait fait de même.

La directive dite « NIS », adoptée en juillet 2016, permet d’ajouter une flèche au carquois déjà bien garni de l’Etat face aux menaces informatiques. La France dispose en effet depuis 2013 d’un cadre déjà très exigeant, fixant pour certaines entreprises ou administrations au rôle particulièrement critique pour la sécurité nationale — les opérateurs d’importance vitale (OIV) — d’importantes exigences en matière de défense de leurs réseaux. La liste des OIV est tenue secrète, mais on sait qu’y figurent, par exemple, les réseaux de distribution d’énergie.

Une nouvelle catégorie d’acteurs à protéger

Cette directive donne naissance à une nouvelle catégorie d’acteurs : les opérateurs de services essentiels (OSE). Les critères retenus sont plus larges : il s’agit désormais d’entités fournissant des « services essentiels au fonctionnement de la société ou de l’économie ». La nouvelle loi les oblige à mettre en place des mesures de sécurité informatique, à faire remonter à l’Agence nationale de sécurité des systèmes d’information (Anssi), le garde-corps numérique de l’Etat, les informations concernant les attaques les plus graves et permet à cette dernière de procéder à des contrôles sur place. Des sanctions sont aussi au menu : une amende pouvant aller jusqu’à 100 000 euros pour le dirigeant de l’OSE qui ne se conformerait pas aux exigences de sécurité.

La liste des OSE — ils devraient être au plus quelques centaines — et leurs obligations exactes — elles seront plus légères que pour les OIV — feront l’objet de décrets d’ici novembre. En ce qui concerne le secteur privé, le gros des OSE devrait être désignés « dans les secteurs de la santé, du transport, de l’industrie, de l’énergie, de l’alimentation, mais aussi de la logistique ou encore dans le secteur social » indiquait le gouvernement lors de la présentation du texte. Au sein d’une même société pourront cohabiter des exigences de sécurité différentes : les systèmes d’une société de transport ferroviaire permettant le pilotage des trains seront considérés comme « d’importance vitale », tandis que ceux permettant l’achat des billets pourront être classé comme « essentiels ».

La transposition de la directive donne aussi naissance à une troisième catégorie : les fournisseurs de services numériques. La loi en identifie trois types : les grandes plates-formes de vente en ligne, les moteurs de recherche et les services dans le « cloud » (c’est-à-dire tout service informatique accessible à distance). A l’inverse des acteurs vitaux ou essentiels, la loi n’impose aucune mesure précise et se contente d’indiquer qu’ils doivent désormais proposer « un niveau de sécurité adapté aux risques existants ». Ils auront aussi l’obligation d’informer l’Anssi en cas d’attaque importante et cette dernière pourra se rendre sur place pour effectuer des contrôles. Là encore, des sanctions sont prévues.

Après l’adoption de cette loi, le gouvernement ne compte pas en rester là. La loi de programmation militaire, présentée en conseil des ministres le 8 février, entend mettre à contribution les télécoms pour lutter contre les attaques informatiques. Ce texte doit arriver au Parlement au mois de mars.