La cybersécurité en Europe est devenue un enjeu pressant. Les attaques s’intensifient et plus un mois ne passe sans que l’on apprenne un vol de données plus ou moins important. Pour la seule France, les dernières ont été massives, avec notamment les attaques contre les deux plus gros prestataires de tiers payant et France Travail.

En juillet 2016, la directive NIS1 (Network and Information Systems 1) venait déjà dresser une liste d’obligations pour les secteurs jugés « essentiels » : énergie, transport, banques, infrastructures de marché financier, santé, eau potable et infrastructures numériques. Transposée dans le droit français, la loi concernait 600 entités environ.

Rapidement, la nécessité d’une version 2 s’est fait sentir, poussée par un besoin d’harmonisation des normes communes de cybersécurité en Europe et l’intensification des cyberattaques. « Malgré leurs accomplissements notables et leur incidence positive, ces règles ont dû être mises à jour en raison du degré croissant de numérisation et d'interconnexion de notre société et de l'augmentation des actes de cybermalveillance à l'échelle mondiale », avait indiqué Thierry Breton (alors commissaire au commerce intérieur), en mai 2022, quelques mois avant la publication de la directive NIS2 au journal officiel (27 décembre).

La directive NIS2 doit avoir été transposée dans le droit national français au plus tard le 17 octobre 2024, pour une application dès le lendemain. Elle sera ensuite réexaminée au plus tard le 17 octobre 2027 par la Commission européenne, puis tous les trois ans. En France, la dissolution de l’Assemblée nationale par Emmanuel Macron le 9 juin a cependant bousculé le calendrier.

Avant de plonger dans les constats et recommandations de la CSNP pour l’application de la directive en France, rappelons-en les grandes lignes.

Le cœur de la directive NIS2

L’un des grands objectifs de NIS2 est d’élargir le périmètre d’action de la première directive. De sept secteurs essentiels, on passe à onze (hautement critiques) et sept importants (critiques).

Les premiers sont l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, la gestion des services TIC, l’administration publique et l’espace. Les secteurs importants comprennent les services postaux et d’expédition, la gestion des déchets, la chaine des produits chimiques, la chaine des denrées alimentaires, la fabrication, les fournisseurs numériques et la recherche. Dans les deux cas, la liste des entités sera fixée par décret.

De plus, NIS2 s’applique automatiquement aux collectivités territoriales de plus de 30 000 habitants et aux entreprises privées répondant aux critères de seuil (secteur, nombre d’employés, chiffre d’affaires…). Conséquence, d’environ 600 entités pour NIS1, on passe à près de 15 000 pour NIS2.

La directive doit ainsi constituer un socle minimal de mesures de sécurité en deçà duquel les entités risquent des sanctions si elles ne s’y conforment pas. Rien ne les empêche en revanche d’aller plus loin, la directive les y encourage d’ailleurs.

NIS2 instaure également le CyCLONe (Cyber Crises Link Organisation Network), pour mieux organiser la réponse européenne en cas de crise de cybersécurité. Les autorités réunies dans cette organisation (dont l'ANSSI) ont un rôle renforcé. La coopération transfrontalière est appelée à jouer un grand rôle, via la coordination des actions et les échanges réguliers entre États membres.

• Cybersécurité : la directive européenne NIS 2 est là, ce qu’elle change pour les États membres

Rappelons l’existence du site MonEspaceNIS2 sur Cyber.gouv.fr (en bêta), qui tente de répondre de manière directe aux questions pratiques sur NIS2.

La CSNP accueille « très favorablement » la directive, mais…

Pour la Commission supérieure du numérique et des postes (commission parlementaire mixte entre l’Assemblée et le Sénat), la directive NIS2 est « un levier essentiel » pour relever le niveau de sécurité numérique au sein de l’Union. Elle l’accueille donc « très favorablement ». Toutefois, missionnée pour étudier sa transposition dans le droit national, elle note de nombreux défis et zones d’ombre. Le rapport, qui vient tout juste de paraître, contient ainsi une longue liste de recommandations.

Les observations de la CSNP dans ce rapport, dont Anne Le Hénanff (députée du Morbihan) est la rapporteure, doivent guider les travaux de transposition. Elles sont basées sur une série d’auditions réalisées entre mars et mai derniers. En plus de l’ANSSI, on y trouvait « des éditeurs de logiciels, des clouders européens et extra-européens, des associations représentant des collectivités et des entreprises, des cabinets de conseils, des responsables de systèmes d’information, des juristes, etc. ». En tout, 41 acteurs ont été entendus, dont la liste complète est située en fin de rapport. Selon celui-ci, les questions ont été particulièrement nombreuses.

La situation est désormais urgente, sentiment renforcé par la dissolution de l’Assemblée : le texte n’a pas encore été présenté en conseil des ministres, ni inscrit à l’ordre du jour à l’Assemblée. Il ne reste pourtant que deux semaines avant la date limite de transposition (17 octobre).

Une communication ambitieuse et nécessaire

L’un des plus gros problèmes entourant la NIS2 est qu’elle entraine « un changement de paradigme ». Le nombre d’entités concernées est déjà une difficulté : près de 15 000. En outre, l’ANSSI entrait directement en contact avec les entités concernées par NIS1. Ce fonctionnement n’est pas possible avec la nouvelle directive, qui fait appel à un processus de déclaration de la part des entités concernées, qui devront s’auto-évaluer.

Or, « à quelques semaines de l’entrée en vigueur de la directive NIS2, le 17 octobre prochain, il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne soient pas pleinement informées de l’existence de cette entrée en vigueur, des nouvelles obligations qui pèseront sur elles et des mesures qu’elles devront prendre pour s’y conformer », note la CSNP. Sans parler de la compréhension claire des critères qu’implique l’auto-évaluation.

Les acteurs présents aux auditions ont largement fait remonter le besoin de communiquer. La Commission recommande à ce titre plusieurs actions, dont une campagne à destination des entreprises et collectivités locales, qui pourrait d’ailleurs concerner aussi le grand public. Cette communication devrait être axée sur les bénéfices de la mise en œuvre, les atouts que procure une élévation de la cybersécurité, ainsi que sur la sécurisation des données des clients ou usagers.

La CSNP propose également de créer une labellisation NIS2, comme mesure incitative « pour les entités qui auront fait l’effort de déployer les moyens nécessaires à la mise en conformité ». Elle y voit un gage de qualité qui pourrait aussi servir de « différenciateur compétitif sur le marché. La Commission souligne que le Cyber/mois, qui vient de commencer, est une « occasion idéale » pour sensibiliser aux bénéfices de la directive NIS2.

• Le Cybermoi/s 2024 placé sous le signe de l’« ingénierie sociale auprès des jeunes via l’IA »

Conformité, impact : beaucoup à faire, très peu de temps

Le rapport insiste sur la nécessité d’instaurer des stades progressifs. Une première étape consacrée à la formation et à la sensibilisation, une deuxième pour l’évaluation et les audits, puis une dernière pour le contrôle et les sanctions.

Si la CSNP propose un tel calendrier, c’est que la directive NIS2 ne dit rien sur les délais de mise en conformité. En théorie, elle est applicable dès le 18 octobre, mais elle ne donne aucune date limite pour la conformité des entités. Malgré cet « angle mort », la Commission recommande au législateur de tenir compte de ce paramètre. Et ce, d’autant plus que la France sera en retard.

Elle suggère donc un alignement sur les délais de mise en œuvre du RGPD : trois ans. Un temps rendu nécessaire, selon la Commission, par la réalité opérationnelle du terrain. Elle préconise l’établissement d’une feuille de route avec un rétroplanning, ainsi que des étapes intermédiaires avec des délais spécifiques, selon les moyens et la nature des entités.

La Commission souligne en outre l’absence d’une étude d’impact complète à l’échelle européenne. La crise sanitaire a d’abord joué, avant que n’entrent en piste des modifications dans le projet de directive. Résultat, de multiples inquiétudes chez les entités potentielles assujetties. La CSNP milite donc pour une telle étude, en particulier « les coûts humains, techniques et financiers » pour les entités.

Enfin, la Commission propose la date du 31 décembre 2027 comme limite de mise en conformité. Si les retards de la directive NIS1 devaient se répéter, le législateur « serait en mesure de voter une loi rectificative ».

Gestion politique du projet : attention

L’absence de cette étude d'impact se fait sentir dans la manière dont la Commission pointe les carences dans la gestation des projets de lois, dès qu’ils touchent au numérique. La CSNP fustige le recours trop fréquent aux décrets, pour palier « des études d’impact approximatives » et laisser le temps à la nécessaire consultation avec l’écosystème.

Et justement, la Commission note que dans la grande majorité des cas, ces projets de lois sont des transpositions de directives européennes, comme le DMA et le DSA. Elle comprend le besoin de garder « une certaine souplesse », en se gardant d’inclure des critères et définitions trop précises dans la loi. En revanche, le recours trop fréquent aux décrets « nuit à la clarté et à la lisibilité du texte pour les entités concernées et ceux qui les conseillent ». Les membres de la CSNP affirment que les retours sur ce point ont été nombreux pendant les auditions. Le problème augmente avec le délai de parution de ces décrets, qui ruine parfois les efforts déjà investis.

Aux parlementaires de faire leur travail

Même polie, la Commission tire à boulets rouges : « La CSNP tient à rappeler que le rôle des parlementaires n’est pas seulement de faire la loi, mais également de contrôler l’action du Gouvernement. Alors que le contenu de la directive NIS2 est connu depuis plusieurs années ainsi que son étude d’impact européenne, demander aux entités potentiellement concernées ainsi qu’au législateur de faire confiance au Gouvernement et au Conseil d’État sur des dispositions aussi importantes interroge ».

Et pour bien montrer l’ampleur du problème, la CSNP pointe le type de questions pratiques que l’on peut déjà entendre. Par exemple, le seuil des 30 000 habitants pour les collectivités locales n’est pas si simple. Que faire quand l’une d’elles, bien que comptant moins d’habitants, fournit un service classé important, comme ceux liés à l’eau potable ou aux eaux usées. Même chose pour les entreprises : certaines ne franchissent pas les seuils de nombre d’employés ou de chiffre d’affaires, mais exercent dans un domaine jugé critique, voire hautement critique.

Le rapport formule donc plusieurs recommandations, dont une « limitation au maximum » du renvoi à des décrets et une réintégration dans le projet de loi des seuils et critères précis dans la directive et ses annexes. Elle recommande également de confier directement à l’ANSSI la responsabilité de désigner les collectivités qui seront soumises à l’ANSSI.

Qu’est-ce qu’un incident de sécurité important ?

La Commission pointe également le manque de précision dans certaines dispositions de la directive NIS2. Ainsi, les entités assujetties devront informer l’ANSSI de « tout incident majeur ayant un impact important », et ce « sans retard injustifié ». Trop flou pour la CSNP, qui demande donc que soit ajoutée une liste de critères objectivables.

Le rapport signale en effet qu’une cyberattaque n’est pas forcément identifiée sur le champ, ni même complètement. Les conséquences peuvent être découvertes plus tard, rendant complexe son évaluation.

En outre, un « incident important » n’est pas nécessairement perçu de la même manière par toutes les entités, ou entre un client et un fournisseur. Autant de flous qui entraineraient, selon la Commission, des incertitudes juridiques.

Elle recommande donc plusieurs actions, dont la création d’un guide de bonnes pratiques. La CSNP souhaite également que soit prévu un mécanisme « explicite de protection des informations divulguées » pour garantir la confidentialité des données partagées par les entités. Elle recommande aussi une clause d’adaptabilité aux évolutions technologiques, dont l’usage de l’IA dans la cybersécurité.

Les moyens de l’ANSSI doivent être renforcés

La Commission penche largement en faveur d’un renforcement des moyens de l’ANSSI. Toutefois, son avis diffère de l’agence elle-même sur la meilleure manière de procéder.

En effet, l’ANSSI sollicite la création de 60 emplois à temps plein. Pour l’Agence, son organisation est actuellement dimensionnée pour une relation de proximité avec les 600 entités (OIV et OSE). Le passage à NIS2 ne démultiplierait pas les moyens nécessaires dans les mêmes proportions que la multiplication des entités concernées. Pour l’ANSSI, le recours à la déclaration, les évolutions dans les processus et l’expérience acquise dans l’accompagnement concourent à réduire la demande de moyens supplémentaires.

La Commission, de son côté, indique ne pas être « pleinement convaincue » par l’analyse de l’ANSSI. À la place, elle préconise le renforcement de la présence régionale de l’ANSSI, puisqu’elle est limitée actuellement à deux équivalents temps-plein par région.

Pour justifier cette position, la CSNP explique ne pas être d’accord avec l’ANSSI sur la question de la disparité entre les régions. L’Agence compte en effet utiliser des relais pour faciliter « les échanges d’information avec les entités régulées ». La Commission estime que l’ANSSI sous-estime les disparités entre régions : « certains territoires ne disposent tout simplement pas des ressources humaines ou des prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS2 ».

La CSNP attend de l’ANSSI des clarifications sur les moyens et l’organisation prévus pour faire face à la charge supplémentaire, jugée « significative », entrainée par la directive. En outre, elle souhaite que l’Agence identifie rapidement les relais qu’elle évoquait : « Le réflexe de faire systématiquement appel au secteur privé ne doit en aucun cas être la règle unique dans les territoires », assène la Commission.

Parallèlement, la Commission souhaite un autre renforcement : celui de cybermalveillance.gouv.fr. Elle note que le site a réussi à recueillir une confiance généralisée, notée d’ailleurs par un rapport de la Cour des comptes en mars 2022. La CSNP recommande que des crédits supplémentaires soient alloués au groupement d’intérêt public ACYMA. Une évolution dans les moyens pour provoquer celle des outils, puisque « ses missions se renforcent et les sollicitations se multiplient ».

L’accompagnement des collectivités locales

Les collectivités locales font l’objet de plusieurs attentions dans le rapport. Ce dernier met en garde contre les grandes disparités pouvant exister, qu’elles soient financières ou techniques. Le manque de main d’œuvre qualifiée est pointé comme un grand risque, surtout avec des grilles de salaires jugées peu attrayantes.

Le rapport relève que « la très large majorité » des collectivités se sent, encore aujourd’hui, bien loin des enjeux posés par le cyber. Une carence qu’exploitent régulièrement les acteurs malveillants, car peu d’infrastructures adaptées ont été mises en place. Durant les auditions, les communautés de communes ont demandé également des éclaircissements sur la responsabilité en cas de non-conformité.

Les problèmes auxquels font face les collectivités sont en effet multiples. Un manque de main d’œuvre qualifiée, bien sûr, mais aussi des dotations en baisse constante (face à une directive dont la mise en œuvre sera « très couteuse »), des centrales d’achats pas toujours adaptées aux collectivités et leurs appels d’offres, ou encore l’effet d’aubaine pouvant entrainer des arnaques par des structures peu scrupuleuses.

La CSNP souhaite donc que l’ANSSI audite elle-même le degré de maturité des collectivités locales. Elle assure qu’un accompagnement « spécifique, technique et financier » sera mis en place pour celles n’ayant pas les moyens. Le rapport recommande également aux collectivités de faire le choix du SaaS (donc du cloud) quand il est pertinent, plutôt que des installations sur site que le manque de moyens et/ou de compétences rend fragiles. Elle note tout de même que le cloud n’est pas une garantie absolue en matière de cybersécurité. Difficile, sur ce point, de faire plus évident.

Santé, assurances : des problématiques spécifiques

Le domaine de la santé illustre de son côté la conjonction de deux problèmes : l’enchainement des modifications du cadre juridique et le manque de moyens. La CSNP souligne en effet que la directive NIS1, le RGPD et les modifications du code de santé publique sont déjà passées par là. Conséquence, « les professionnels de santé appréhendent la création d’une couche de complexité supplémentaire aux exigences déjà multiples qui leur sont imposées ».

Plusieurs difficultés sont soulignées, dont l’élargissement du périmètre des systèmes concernés par la directive NIS2, puisque tous les services liés à la santé y sont assujettis. Il faut non seulement harmoniser les pratiques au sein des établissements, mais également entre les établissements eux-mêmes, alors que leurs systèmes sont « autonomes et diversifiés ». On se souvient d’ailleurs qu’un rapport interministériel pointait les mêmes problèmes pour l’exploitation des données de santé à des fins de recherche, dans le cadre du Health Data Hub.

• Données de santé : un rapport interministériel conseille la refondation et le renforcement du Health Data Hub

La directive NIS2 constitue donc « un levier puissant » vers un renforcement et une mutualisation, à condition d’aménager les délais de mise en conformité et de prévoir un accompagnement financier des acteurs « les plus fragiles ». En outre, la CSNP recommande une concertation entre l’ANSSI, le ministère de la Santé et les entités du secteur concernées par une éventuelle élévation du statut (d’important à essentiel) en cas de crise sanitaire. Ces entités demandent ainsi des mesures « adaptées et proportionnées » dans le cas d’une bascule.

Le secteur des assurances fait également face à des questions spécifiques. La « faute », en particulier, à un autre règlement nommé Digital Operational Resilience Act, ou DORA. Il entrera en vigueur le 1^er janvier 2025 et impose ses propres règles de cyberrésilience au secteur financier, auquel appartiennent les assurances. On y trouve notamment tout ce qui touche à la gestion des risques cyber et au signalement des incidents majeurs.

Sans surprise, les assurances disent craindre l’application des deux directives, créant une insécurité juridique. Selon la CSNP, il est en effet « admis au niveau européen que DORA a un effet au moins équivalent à la directive NIS2 ».

En France, cela signifierait que tout incident important ou majeur devrait alors être signalé à l’ACPR (Autorité de Contrôle Prudentiel et de Résolution, institution intégrée à la Banque de France) dans le cadre du DORA et à l’ANSSI dans celui de NIS2. Une lourdeur que la CSNP souhaite éviter. Elle demande donc qu’une précision soit apportée pour éviter une double régulation.

Sanctions : la CSNP applaudit

Quant aux sanctions administratives en cas de non-respect, la CSNP « salue » les mécanismes prévus, notamment sur l’organe qui en décidera la teneur.

Dans la transposition de la directive NIS2 en France, il est ainsi prévu la création d’un collège ad hoc et indépendant. Il sera constitué de magistrats du Conseil d’État, de la Cour de cassation et de la Cour des comptes, ainsi que « de personnes qualifiées ». Une constitution au sommet et qui rassure, selon la CSNP, les professionnels du droit et les parties prenantes.

Les sanctions peuvent prendre la forme d’amendes administratives, d’astreintes, de suspensions d’activité, d’abrogation d’une certification ou encore d’une interdiction d’exercer pour le dirigeant ou la dirigeante d’une entité.

Le collège, en cas de manquement, pourra ainsi décider du type de sanction et du montant de l’amende, s’il y en a une. Ce montant pourra aller jusqu’à 2 % du chiffre d’affaires mondial hors taxes ou 10 millions d’euros. Ces chiffres peuvent descendre jusqu’à 1,4 % et 7 millions, selon les entités concernées.

La Commission apprécie tout particulièrement l’idée d’un collège indépendant, car il permet « de ne pas dénaturer le rôle de l’ANSSI ». L’Agence doit garder son rôle de guide dans les transitions. Selon la CSNP, ce fonctionnement permettra de pérenniser la confiance des entités.

Elle invite cependant le futur collège à faire preuve d’un peu de retenue. Elle rejoint ainsi l’ANSSI au sujet des collectivités locales : elles ne devraient pas être soumises à des sanctions. L’accompagnement des collectivités est déjà, en soi, un enjeu majeur de la directive. Enfin, elle recommande « une certaine souplesse » jusqu’au 31 décembre 2027, date proposée par la CSNP comme délai de mise en conformité.