La loi transposant en France
la Directive européenne « Network Information Security »
(NIS) de 2016 a été promulguée le 26
février 2018, devançant de quelques semaines la date butoir fixée au 9 mai.
C’est une pièce maîtresse dans l’arsenal destiné à prévenir et limiter les
effets de cyber-attaques pouvant toucher des secteurs clés de la société civile
et de l’économie. Elle accroît les obligations et risques de certaines
entreprises en matière de cyber-sécurité.
Jusqu’à présent, seule
une catégorie limitée d’acteurs qualifiés d’« opérateurs d’importance vitale » (OIV) par la loi de programmation
militaire de 2013 étaient soumis à des obligations très strictes en matière de
cyber-sécurité. Eu égard à l’importance des enjeux et à la multiplication des
attaques touchant d’autres secteurs d’activités tenus pour stratégiques
(énergie, transport, banques et marchés financiers, santé, eau, infrastructures
numériques…), la Directive étend certaines obligations à d’autres entreprises,
qualifiées d’« opérateurs de services essentiels » (OSE), bien plus importantes en nombre.
La France a jusqu’au 9
novembre 2018 pour déterminer la liste des OSE affectés par les nouvelles
règles de sécurité informatique, précisées et appliquées sous l’impulsion et le
contrôle de l’Agence Nationale de la
Sécurité des Systèmes d’Information (ANSSI), laquelle disposera d’un
pouvoir d’audit et de sanctions. Ces OSE auront par exemple pour obligations de :
(i) mettre en œuvre les nouveaux dispositifs adoptés, (ii) notifier à
l’autorité administrative tout incident de sécurité et (iii) se soumettre, à
leurs frais, aux contrôles imposés. En outre, bien que plus légères que celles pesant
sur ces OSE, la loi renforce les obligations des « fournisseurs de services
numériques » (FSN), à savoir : les places de marché en ligne, moteurs de recherche ou fournisseurs de services
« cloud » actifs au sein de l’Union européenne. Ils devront aussi
notifier les incidents de sécurité et encourent des sanctions financières en
cas de manquement.
En cas de non-respect de
ces obligations ou d’entrave au contrôle, les entreprises encourront des
sanctions allant de 75.000 à 125.000 €.
Sans parler des risques liés à la publication des atteintes à la sécurité qui
pourra être décidée par l’ANSSI et à la pratique en vogue sur les réseaux
sociaux du « name and shame » contre
les firmes impliquées. Enfin, nous rappellerons que 77% des attaques des hackers sont dirigées contre des PME. Aucune
entreprise n’est à l’abri du risque !