Alors que le règlement général sur la protection des données s’applique dans tous les États membres depuis le 25 mai 2018, la mise en œuvre d’une autre initiative européenne entrainera un nouveau pic d’activité dans le monde de la sécurité des systèmes d’information et une opportunité pour les prestataires de service habilités à mener les contrôles de sécurité.

Les services essentiels au fonctionnement de la société ou de l’économie et « dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » sont mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018. Cette loi transpose dans le droit français les mesures « destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».

Le décret n° 2018-384 du 23 mai 2018 étend considérablement les secteurs concernés par ces « services essentiels ». La directive 2016/1148 du 6 juillet 2016 liste les sept secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, du secteur de la santé, de la fourniture et de la distribution de l’eau potable et des infrastructures numériques. La réglementation française impose également des règles de sécurité drastiques aux gestionnaires de plateformes logistiques, aux entreprises de transport de fonds, aux organismes d’assurance, aux opérateurs du secteur de l’éducation chargés de l’organisation d’examens nationaux ou aux entreprises de restauration collective destinée au secteur de la détention pénitentiaire.

La désignation des opérateurs de services essentiels suit des règles proches de celles en vigueur pour l’identification des opérateurs d’importance vitale, encadrée par l’instruction générale n° 6600/SGDSN/PSE/PSN du 7 janvier 2014[1]. Sept critères portant sur le nombre d’utilisateurs, la part de marché ou l’existence de moyens alternatifs permettront au Premier ministre de notifier aux « heureux élus » son intention de les désigner, les potentiels opérateurs disposant d’un mois pour présenter ses observations.

Dans un délai de trois mois après sa désignation comme opérateur de service essentiel, la société concernée communiquera à l’Agence nationale de la sécurité des systèmes d’information la liste des réseaux et systèmes d’information concernés. Ceux-ci devront répondre à un certain nombre de règles de sécurité dans le domaine de la gouvernance, de la protection ou de la résilience et tout incident susceptible d’avoir un impact significatif sur la continuité du service devra être déclaré dès que l’opérateur en aura connaissance.

Les contrôles de sécurité seront réalisés directement par l’Agence nationale de la sécurité des systèmes d’information ou par un prestataire de service qualifié que l’opérateur pourra choisir dans une liste préétablie. Le décret précise que le coût des contrôles effectués par un prestataire de service sera « déterminé librement par les parties ». Un nouveau marché s’ouvre.

VA(2S) Alain Christienne, directeur du Centre méditerranéen des études stratégiques

[1] Les établissements, installations ou ouvrages d’importance vitale sont ceux dont le dommage, l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.