Directive NIS : les acteurs du Web tenus de notifier leurs incidents aux autorités de contrôle ?
Le brise de NIS
Le 07 août 2015 à 13h45
5 min
Droit
Droit
Les acteurs du numérique se verront-ils obligés de reporter aux autorités les incidents de sécurité, à l’instar des opérateurs d’importance vitale (OIV) ? Il semble que oui, à en croire les derniers développements autour de la future directive NIS (Network and information security).
Selon un document consulté par Reuters, l’Europe envisage finalement de faire entrer les acteurs des nouvelles technologies dans le giron de la directive NIS. Les moteurs de recherche, les réseaux sociaux, les acteurs du cloud, etc. rejoindraient là le secteur de l’énergie, de l’eau ou des transports, et autres opérateurs d’importance vitale.
Le reporting d’incident frappant le numérique
Si un tour de table auprès des États européens est encore attendu d’ici la rentrée, cette qualification emporterait en l'état une série d’obligations que le document de Reuters ne détaille pas. On sait simplement qu’elles seraient différenciées compte tenu des spécificités du secteur. Par exemple, ceux en liaison directe avec les infrastructures physiques seraient soumis à un régime plus strict que les pures plateformes de service. À tout le moins, tous auraient pour obligation de signaler aux autorités de contrôle en charge de la cybersécurité, les incidents frappant leur univers.
En France, à ce jour, cette compétence est dévolue à l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, mais seulement à l'égard des OIV. Depuis la loi de programmation militaire de 2013, centrales nucléaires, hôpitaux, sociétés de transports, etc. ont donc l'obligation de fournir « les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ».
Le Code de la défense permet en effet au Premier ministre de fixer les règles de sécurité nécessaires à la protection des systèmes d'information de ces opérateurs critiques, ceux dont l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Et ces règles doivent être appliquées à la lettre et au frais des OIV.
Ajoutons en outre que suite à l'adoption du Paquet Télécom en Europe, les fournisseurs d’accès ont aussi l’obligation de signaler à la CNIL les fuites de données personnelles dont souffriraient leurs infrastructures. Bref, des obligations très spécifiques limitées à quelques centaines d'acteurs, tout au plus.
Les critiques des acteurs du numérique
Voilà plusieurs mois que cette future directive NIS envisage cependant l'extension du périmètre d’intervention des autorités. Et sans surprise, la mesure a déjà été critiquée, notamment fin 2014.
L’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, estime ainsi qu’une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ».
Mieux, selon elle, « l’application des obligations déjà imposées aux opérateurs d’infrastructures critiques à l’ensemble des entreprises du numérique ne se justifie pas et il serait disproportionné et dans la plupart des cas redondant de leur imposer des obligations administratives supplémentaires, en particulier l’obligation de signalement des incidents de sécurité auprès des agences nationales en charge de la cybersécurité. »
Mêmes reproches du côté de l’ASIC, l’association des services Internet communautaire, qui craint de voir chaque État membre devenir « le Directeur des services informatiques de l’ensemble des acteurs du numérique ». Elle rappelait alors qu’en mars 2014, le Parlement européen ne s’était focalisé que sur les acteurs d’importance réellement vitale, pas au-delà. « Or, il semble aujourd’hui que cet équilibre soit remis en cause par plusieurs États membres, dont la France. Ceux-ci souhaitent ainsi étendre très largement le champ d’application du texte en couvrant toutes les industries du numérique y englobant les intermédiaires, les sites de commerce électronique, les hébergeurs de données, les sites de médias ou les développeurs d’objets connectés. »
Pour l’Asic, « les agences de cybersécurité – comme par exemple l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »
Directive NIS : les acteurs du Web tenus de notifier leurs incidents aux autorités de contrôle ?
-
Le reporting d’incident frappant le numérique
-
Les critiques des acteurs du numérique
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/08/2015 à 18h29
Je pense que déjà on devrait faire comme aux USA où les boites sont obligés de signaler à leur clients les fuites de données, cela évite de cacher cela sous le tapis comme cela a été le cas pendant de nombreuses années.
Actuellement c’est plutôt la sécurité par l’obscurité.
Après vu que de plus en plus de sites brasse de grandes quantités de données privées cela me semble pas un raisonnement idiot que de signaler les attaques aux autorités en proportions de l’importance.
Il ne faut pas oublier que certains petits malins vous proposent de la domotique ou des alarmes connectées à la toile et sécurisé avec les pieds, combien de webcam sont accessible sur la toile ?? Combien de routeurs destinés à des particuliers ont des failles critiques qui ne seront jamais corrigés? Et nous ne parlerons pas des voitures connectés & Co….
Le 07/08/2015 à 18h45
Est ce que pour un acteur du numérique dont le site fonctionne normalement puis se fait hacker (donc ne fonctionne plus) puis il répare (et ça refonctionne) puis il se fait encore hacker etc …
Cet “acteur” a-t-il le droit de demander le statut très avantageux d’intermittent du spectacle ? " />
Le 08/08/2015 à 05h57
Je voudrais bien avoir la définition exact d’incident.
Car si l’on doit signaler les (D)DoS, les tentatives d’injection SQL, scan de port, attaque par brutforce/dico en ssh, etc…
C’est juste pas viable.
Si c’est signaler une intrusion c’est déjà plus raisonnable.
Le 08/08/2015 à 14h16
Le 08/08/2015 à 14h44
Il s’agit de se préparer à une cyber-guerre à outrance qui ne va pas manquer de débouler dans quelques temps.
Le 08/08/2015 à 17h21
Le 07/08/2015 à 13h49
Ca me semble a priori normal que les acteurs du web doivent communiquer en cas d’attaque.
Mais l’article parle bien d’obligation différencié suivant les acteurs.
Du coup j’ai du mal à comprendre les réactions en fin d’article. A moins que celles-ci datent toutes de fin 2014.
Le 07/08/2015 à 13h53
les informations nécessaires pour évaluer la sécurité de ses systèmes d’information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels
L’Europe veut le code source de NextINpact ?!! " />
Le 07/08/2015 à 13h55
Le 07/08/2015 à 13h56
Avec les codes sources, ça devient tout de suite plus facile de s’introduire quelque part!!! Tremble NXI! TREMBLE!!!!! " />
Le 07/08/2015 à 13h56
J’héberge mon site web. Je suis donc un acteur du numérique. Suis-je concerné ? Nan paske bon…
Le 07/08/2015 à 13h58
En même temps ton site jaime-le-pastis-coupe-a-leau.com est d’importance vitale pour les français " />
Le 07/08/2015 à 14h01
L’Afdel, l’association française des éditeurs de logiciels et de solutions Internet, estime ainsi qu’une obligation indifférenciée de reporting d’incidents « pourrait porter atteinte à la compétitivité des entreprises du numérique, en particulier des entreprises françaises et européennes du numérique – dont de nombreuses PME, qui n’ont pas toute la capacité d’adaptation des grands groupes internationaux –, sans atteindre les objectifs poursuivis en termes de sécurité ».
J’ai un poil de mal avec ce passage là : il sous entend que les boites françaises n’ont pas les moyens d’avoir une bonne sécurité, et que ça serait donc les désavantager que de révéler les attaques dont elles sont victimes ?
Le 07/08/2015 à 14h03
Le 07/08/2015 à 14h27
Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ? »
La CNIL aura-t-elle accès à des documents type personal data ??? " />
Le 07/08/2015 à 14h51
Ils parlent principalement des PMEs qui n’ont pas les moyens de se payer un mec uniquement pour pallier à toutes les failles possibles pour leur applications/sites. Enfin c’est ce que j’en ai compris.
Le 07/08/2015 à 14h59
Le 07/08/2015 à 16h43
Doit t-on signaler les tentatives d’installation de boites noires destinées à espionner le trafics ?