Union européenne : directive NIS

La nouvelle directive NIS (Network and Information Security) devrait contribuer à améliorer la cybersécurité en Europe. Cette directive va obliger les opérateurs critiques à reporter leurs incidents majeurs de sécurité.

Signaler les incidents critiques de cybersécurité

La directive NIS pour harmoniser la cybersécurité…

La directive NIS va permettre à l’Union européenne de mieux harmoniser ses mesures de cybersécurité. Pour cela, elle impose aux Operators of Essential Services (OES) de remonter aux autorités les incidents majeurs de sécurité qu’ils subissent. A noter qu’en France la loi de programmation militaire identifiait les Opérateurs d’Importance Vitale (OIV) comme opérateurs critiques mais la directive NIS couvre bien plus d’entreprises. Sont concernés et considérés comme OES :

  • les sites industriels de production d’énergie ;
  • les opérateurs de télécommunications ;
  • les sociétés de transport,
  • les hôpitaux, etc.

Cependant la liste n’est pas encore tout à fait arrêtée. Ainsi, cette directive européenne devrait aussi s’appliquer à Amazon, Google, Ebay et d’autres grands acteurs du numérique mais pas aux réseaux sociaux comme Facebook.

 

… Et pour établir une base statistique

Avec la directive NIS, les incidents majeurs de sécurité au niveau européen seront recensés et analysés. Il demeure néanmoins un flou sur la définition de ces incidents dits majeurs, il est attendu davantage de précisions sur la catégorisation des incidents pour que la directive soit bien cadrée. Des statistiques « secteur par secteur » pourront être établies. Jusqu’à présent, les OES n’avaient aucune obligation de communiquer sur leurs incidents critiques de sécurité. Il était donc très difficile d’identifier les points faibles en matière de cybersécurité de ces opérateurs.

La directive NIS, en « obligeant » les OES à reporter leurs incidents majeurs, va permettre à l’ensemble de la communauté de la cybersécurité d’être plus efficace grâce à cette nouvelle transparence. En effet, grâce à ces informations fiables et centralisées, les acteurs européens de la cybersécurité vont pouvoir :

  • identifier les problèmes de sécurité récurrents ;
  • proposer des actions curatives ;
  • établir une cartographie de la cybersécurité pour mieux lutter contre les cyberattaques.

 

NIS : Cybersécurité et compétitivité

Une directive à adapter ?

L’AFDEL (association française des éditeurs de logiciels et de solutions Internet) craint que la directive NIS ne nuise à la compétitivité des petites entreprises. Il est vrai que la NIS a pour objectif d’imposer les mêmes règles de cybersécurité aux petites comme aux grandes entreprises. Or, toutes ne disposent pas des mêmes moyens. Certaines entreprises n’ont même pas de service informatique dédié. Leur imposer cette directive les obligerait à monopoliser des ressources au détriment de leur compétitivité.

Pour être efficace et suivie, la directive devra adapter ses mesures en fonction de la taille de l’entreprise. Ceci aurait pour avantage de favoriser l’innovation et d’éviter que la directive ne soit perçue comme interventionniste et contre-productive. En effet, une startup qui communique sur ses difficultés de cybersécurité prend un risque pour son image de marque et sa crédibilité.

 

Cybersécurité : les OIV et la loi de programmation militaire

En France, la loi de programmation militaire votée fin 2013 contraint déjà les OIV à mettre en place des mesures en matière de cybersécurité. Elle prévoit : « (…) des mesures de renforcement de la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV), destinées à protéger les infrastructures vitales nationales contre les attaques informatiques ». En « imposant » un reporting des incidents majeurs, la directive NIS vient donc en complément de la loi de programmation militaire.
 
En demandant aux OIV de signaler leurs incidents majeurs de sécurité, la directive européenne NIS va dans le bon sens. Elle devrait permettre de centraliser et analyser ces incidents afin d’améliorer encore la cybersécurité des infrastructures critiques. Cependant, la directive devra aussi faire preuve de souplesse pour ne pas altérer la compétitivité de certaines entreprises.