une directive européenne (NIS-2), en vigueur en octobre 2024, fixe des obligations pour 30 000 entreprises et collectivités françaises

Face à des cyberattaques en constante évolution, l’Europe impose d’importantes exigences de sécurité aux entreprises et collectivités jugées importantes pour l’activité de leur pays. Avec amendes et mise en examen des dirigeants.

Piratage d’hôpitaux, avions cloués au sol, vols de données bancaires ou de fichiers de données personnelles : les cyberattaques ne cessent d’être signalées et concernent aussi bien les entreprises, les administrations que les collectivités. Et bien sûr les particuliers, qu’ils soient salariés, clients d’entreprises ou usagers de services publics.

Partant de l’idée que les attaques ne pouvaient être empêchées, la France a initié avec l’Allemagne en 2016 un texte européen, la directive NIS, qui s’est appliqué en Europe à partir de 2018. Elle a conduit la France à désigner comme « opérateurs d’importance vitale » (OIV) environ 300 entreprises de 12 secteurs d’activité (télécommunications, services financiers, agroalimentaire, énergie…).

Ces entreprises, dont la liste a vocation à rester confidentielle, ont donc des obligations de sécurité renforcées et sont responsables devant l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’Etat considère que leur défaillance, en cas de cyberattaque, aurait un effet en cascade sur le fonctionnement du pays.

La directive NIS a donc imposé aux comités de direction de ces grandes entreprises de procéder à des investissements techniques et de revoir leur organisation interne pour s’y conformer (ou du moins s’en rapprocher). Cela permet d’uniformiser les systèmes de protection sur tout le continent européen. Mais cela s’est avéré insuffisant.

Une entreprise, surtout les plus grandes, est de moins en moins une entité monolithique qui travaille seule. Elle est de plus en plus connectée avec des partenaires, des sous-traitants, des distributeurs. Le hacker, qui choisit sa cible et son mode opératoire, va chercher à tirer profit de ces interconnexions, qui sont autant de maillons faibles possibles d’une chaîne de production.

A quoi bon sécuriser la grande entreprise, si la moyenne qui y est connectée est beaucoup moins protégée. L’Union européenne a donc décidé de généraliser les obligations de sécurité établies dans la directive NIS. Ainsi, la directive NIS-2 entrera en vigueur le 17 octobre prochain. Quelque 15 000 entreprises et collectivités territoriales françaises sont désormais soumises à cette nouvelle spécification. Le périmètre d’activité a été étendu à 18 secteurs avec des ajouts comme la santé, les prestataires de services numériques ou encore les communes de plus de 30 000 habitants.

S’agissant d’une directive, les États membres doivent adopter des lois nationales de transposition pour adapter les principes généraux présents dans le texte européen à leur propre environnement.

A ce jour, seuls 3 pays sur 27 (la Belgique, la Croatie et la Hongrie) ont publié leur loi de transposition. Le processus en France a été interrompu par la dissolution de l’Assemblée nationale. Il va falloir le remettre à l’ordre du jour du Parlement.

L’Agence nationale de la sécurité des systèmes d’information a ouvert une site dédié informer et accompagner les entreprises et élus locaux concernés pour ne pas attendre que la loi française soit finalisée. Des amendes sont d’ores et déjà prévues en cas de non-respect des obligations de sécurité (de 7 à 10 millions d’euros ou de 1,4% à 2% du chiffre d’affaires mondial, selon l’entité concernée). Dans chaque cas, le montant le plus élevé sera retenu.

Fait nouveau : la responsabilité personnelle des dirigeants peut être engagée. L’idée n’est pas de laisser le sujet entre les mains des seuls techniciens mais que les niveaux décisionnels soient directement impliqués dans cette exigence de sécurité numérique.