Numérique

La sécurité des réseaux et systèmes d’information des opérateurs de services essentiels – Une nouvelle opportunité

Alors que le règlement général sur la protection des données s’applique dans tous les États membres depuis le 25 mai 2018, la mise en œuvre d’une autre initiative européenne entrainera un nouveau pic d’activité dans le monde de la sécurité des systèmes d’information et une opportunité pour les prestataires de service habilités à mener les contrôles de sécurité.

Les services essentiels au fonctionnement de la société ou de l’économie et « dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » sont mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018. Cette loi transpose dans le droit français les mesures « destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».

Le décret n° 2018-384 du 23 mai 2018 étend considérablement les secteurs concernés par ces « services essentiels ». La directive 2016/1148 du 6 juillet 2016 liste les sept secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, du secteur de la santé, de la fourniture et de la distribution de l’eau potable et des infrastructures numériques. La réglementation française impose également des règles de sécurité drastiques aux gestionnaires de plateformes logistiques, aux entreprises de transport de fonds, aux organismes d’assurance, aux opérateurs du secteur de l’éducation chargés de l’organisation d’examens nationaux ou aux entreprises de restauration collective destinée au secteur de la détention pénitentiaire.

La désignation des opérateurs de services essentiels suit des règles proches de celles en vigueur pour l’identification des opérateurs d’importance vitale, encadrée par l’instruction générale n° 6600/SGDSN/PSE/PSN du 7 janvier 2014[1]. Sept critères portant sur le nombre d’utilisateurs, la part de marché ou l’existence de moyens alternatifs permettront au Premier ministre de notifier aux « heureux élus » son intention de les désigner, les potentiels opérateurs disposant d’un mois pour présenter ses observations.

Dans un délai de trois mois après sa désignation comme opérateur de service essentiel, la société concernée communiquera à l’Agence nationale de la sécurité des systèmes d’information la liste des réseaux et systèmes d’information concernés. Ceux-ci devront répondre à un certain nombre de règles de sécurité dans le domaine de la gouvernance, de la protection ou de la résilience et tout incident susceptible d’avoir un impact significatif sur la continuité du service devra être déclaré dès que l’opérateur en aura connaissance.

Les contrôles de sécurité seront réalisés directement par l’Agence nationale de la sécurité des systèmes d’information ou par un prestataire de service qualifié que l’opérateur pourra choisir dans une liste préétablie. Le décret précise que le coût des contrôles effectués par un prestataire de service sera « déterminé librement par les parties ». Un nouveau marché s’ouvre.

VA(2S) Alain Christienne, directeur du Centre méditerranéen des études stratégiques

[1] Les établissements, installations ou ouvrages d’importance vitale sont ceux dont le dommage, l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

Rapport d’information fait au nom de la commission des affaires européennes sur la cybersécurité dans l’Union européenne

L’Union européenne n’est pas épargnée par les cyberattaques qui se multiplient un peu partout dans le monde. Son modèle démocratique, sa prospérité et, peut-être, un manque de culture de la sécurité informatique, en font une cible de choix. Et la numérisation sans cesse grandissante des États, des sociétés et des économies va la rendre encore plus vulnérable.

Si plusieurs États membres, à l’image de la France, se sont déjà saisis du phénomène et luttent avec efficacité, une augmentation du niveau de la cybersécurité en Europe est nécessaire. C’est pourquoi, le 19 septembre 2017, la Commission européenne a annoncé une série de mesures visant à renforcer la résilience de l’Union européenne dans le domaine de la cybersécurité.

Au coeur de ce paquet cybersécurité, la Commission propose un Acte européen pour la cybersécurité. Ce projet de règlement pérennise l’Agence européenne chargée de la sécurité des réseaux et de l’information, l’ENISA, élargit ses missions et en fait l’acteur principal d’une nouvelle certification européenne de sécurité informatique.

Ces mesures ambitieuses étaient attendues, notamment par de nombreux acteurs de la cybersécurité en France. Pourtant, le résultat ne semble pas à la hauteur de l’attente et la réforme n’est pas sans soulever de questions.

Le présent rapport analyse l’état de la cybersécurité en France et en Europe et dessine les fondements d’une cybersécurité robuste, pilier de l’Europe numérique, qui sont repris dans une proposition de résolution.

Vers le site du Sénat ⇒

La Stratégie internationale de la France pour le numérique

La stratégie internationale de la France pour le numérique : une feuille de route diplomatique pour l’avenir

En s’accélérant, la révolution numérique bouleverse l’ensemble des sphères d’activité humaine et précipite l’émergence d’un espace numérique mondial, nouveau milieu à part entière de conduite des relations internationales. Qu’il s’agisse de la réussite de notre économie dans la compétition mondiale ou des conditions de la stabilité, de la sécurité et de la puissance à l’échelle internationale, le numérique est désormais un enjeu de premier ordre pour notre politique étrangère et pour l’action publique dans son ensemble.

Parce que ces bouleversements portent en eux le risque de voir un monde numérique dérégulé, dangereux et fermé s’imposer, il est temps pour la France de définir les principes du monde numérique qu’elle veut voir prospérer à l’international. Pour cela, elle doit promouvoir un modèle conforme à ses valeurs. Ce modèle s’inscrit contre les tendances au cloisonnement, au contrôle des réseaux et à la déstabilisation qui se font jour dans l’espace numérique. Ce modèle n’est pas non plus semblable à celui porté par les grands groupes numériques américains et chinois : il entend protéger davantage en garantissant le respect des droits fondamentaux, en soutenant le principe de loyauté et en défendant une concurrence et une fiscalité équitables.

C’est dans cette perspective que le Ministère de l’Europe et des Affaires étrangères a élaboré la Stratégie internationale de la France pour le numérique. Il l’a fait en concertation avec l’ensemble des administrations concernées et en ouvrant son texte à consultation publique. Cette Stratégie, qui s’articule autour de trois grands axes – gouvernance, économie, sécurité – constitue le cadre de référence et la feuille de route diplomatique des années à venir. A travers ce texte, la France promeut un monde qui conjugue liberté et respect des normes. Ce monde s’inscrit dans un horizon européen, car seule l’Union européenne sera à même d’incarner et de porter cette vision à l’échelle internationale.

Vers le site du ministère de l’Europe et des Affaires étrangères ⇒