Les différentes stratégies mises en place au niveau européen posent les bases d’une véritable prise de conscience de la cyber menace au sein de l’Union européenne. La directive NIS (Network and Information Security), adoptée en juillet 2016, en est le parfait exemple. Les Etats membres ont jusqu’au 9 mai 2018 pour transposer ce texte dans leur droit national.
« Des incidents de cybersécurité possèdent très souvent un aspect transfrontalier et concernent donc plus d’un Etat membre de l’Union européenne. Une protection fragmentaire de la cybersécurité nous rend tous vulnérables et pose un risque de sécurité important pour l’Europe dans son ensemble », avait déclaré début 2016 Guillaume Poupard, le directeur général de l’Anssi (Agence nationale de sécurité des systèmes d’information).
L’Europe renforce sa politique en matière de cybersécurité
La directive NIS a pour objectif de proposer des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information pour tous les pays de l’Union. « Les réseaux et les services et systèmes d’information jouent un rôle crucial dans la société », estiment les instances européennes. « Leur fiabilité et leur sécurité sont essentielles aux fonctions économiques et sociétales, et notamment au fonctionnement du marché intérieur ». Le texte obligera un grand nombre d’entreprises du secteur privé, mais également des « opérateurs de services essentiels » à respecter de nouvelles exigences en matière de sécurité.
Ce nouveau texte européen s’articule autour de quatre grands axes :
- Les cadres nationaux sur la sécurité des réseaux et des systèmes d’information
- La coopération
- La sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels
- La sécurité des réseaux et des systèmes d’information des fournisseurs de service numérique
Renforcer les capacités nationales
La directive prévoit tout d’abord de renforcer les capacités nationales de cybersécurité. Chaque Etat devra mettre en place une stratégie nationale qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées en vue « de parvenir à un niveau élevé de sécurité des réseaux et des systèmes d’information ». Les membres de l’UE devront en outre s’équiper d’autorités nationales compétentes en matière de cybersécurité (l’Anssi en France), et d’équipes nationales de réponse aux incidents informatiques, les CSIRT (CERT-FR en France).
Directive NIS : vers plus de coopération entre les Etats membres
La coopération est également un élément essentiel de la directive NIS. Un cadre de coopération volontaire entre Etats membres doit voir le jour. Cela passe par la création d’un groupe de coopération et d’un réseau européen des CSIRT. Le premier sera notamment chargé de diffuser les bonnes pratiques concernant l’échange d’informations sur les notifications d’incidents ou en matière de sensibilisation et de formation. Le réseau des CSIRT nationaux aura quant à lui pour mission de faciliter le partage d’informations techniques sur les risques, les vulnérabilités.
Protéger les opérateurs de services essentiels et les fournisseurs de service numérique
Les opérateurs de services essentiels (entités qui fournissent un service essentiel au maintien d’activités sociétales et/ou économiques critiques comme l’énergie, les transports, les services bancaires, la santé, etc) et les fournisseurs de service numérique (places de marché en ligne, moteur de recherche ou service d’informatique en nuage) sont soumis à des règles spécifiques pour gérer les risques de sécurité et signaler les incidents graves.
Pour les opérateurs de services essentiels, le texte précise qu’un incident aurait un effet disruptif important sur la fourniture de ce service. Les Etats membres devront donc veiller à ce que ces opérateurs « prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques » qui menacent la sécurité de leurs réseaux et systèmes d’information. Ces entités devront également notifier aux autorités nationales tout incident ayant un impact significatif sur la continuité des services essentiels qu’ils fournissent.
Une directive en renfort de la Loi de Programmation Militaire
En France, les questions liées à la sécurité des opérateurs critiques ont déjà été étudiées. La directive NIS instaure au niveau européen des dispositions similaires à celles prévues par la Loi de Programmation Militaire (LPM) qui fixe les règles de sécurité nécessaires à la protection des OIV (Opérateurs d’Importance Vitale). « La liste des OIV français instaurée par la LPM est plus restreinte que la liste des entreprises concernées par la directive NIS, mais on s’en félicite. Il y a beaucoup d’opérateurs critiques qui ne sont pas sur la liste des OIV en France, et c’est une bonne chose que la directive vienne ratisser plus large », a déclaré Guillaume Poupard en 2016 à l’occasion du FIC (Forum International de la Cybersécurité).