Les évolutions de la legislation en cours sur la cybersécurité, avec Me Oriana Labruyère

Me Labruyère a évoqué lors du webinar d’actualité l’évolution de la legislation en matière de cybersécurité. Voici sa restitution.

NumActu : Pourriez vous faire un point de contextualisation sur cette évolution législative ?

Oriana Labruyère : Il faut comprendre là c’est qu’il y a un mouvement global au niveau du législateur européen, qui pousse très fort sur le sujet cyber, et c’est normal, puisque la cybercriminalité en 2021 c’est 5,5 milliards d’euros de coûts. C’est énorme, donc le législateur européen ne peut pas laisser les choses en l’état et dit “on pousse” pour faire avancer le cadre réglementaire, et donc je vais citer trois réglementations sur ces aspects : Dora, le CRA (le cyber résilience act), et puis NiS 2. On va bien dans un système qui essaye d’apporter une réponse globalisée à l’enjeu cyber sécurité.

Dora, c’est le Digital Operational Resilient Act, il concerne le secteur financier. Donc l’objectif de Dora est simple, c’est un règlement, d’application directe dans l’ordre national, donc pas de loi de transposition. Ce sont des exigences uniformes pour l’ensemble du secteur financier à propos de la sécurité des réseaux et des systèmes d’information, pour les entreprises et les organisations du secteur financier mais aussi, et ça c’est important, pour leur prestataire. Sont visés notamment, les fournisseurs de Cloud, et les analystes de données, c’est à dire tous les fournisseurs de solutions qui analysent de la donnée. L’entrée en vigueur de Dora, qui est un règlement, il faut vous préparer tout de suite parce qu’il n’y aura pas délais supplémentaires, je pense, de tolérance, et c’est le 17 janvier 2025.
Autant dire que lorsqu’on est sur des projets de conformité et de sécurité, c’est demain. Cela veut dire budget, cela veut dire temps équipe, cela veut dire modification de process en interne. Cela veut dire augmentation, cela peut vouloir dire achat de licence en tout cas. Ce sont donc des projets qui sont lourds en termes de cyber, mais il n’y a pas le choix pour ce qui est du secteur financier.

Ensuite, on a le Cyber Resilient Act qui est également un règlement qui lui est toujours en travaux, mais qui est très intéressant à étudier parce que vous allez comprendre finalement que tous les textes du législateur européen vont dans le même sens. Et là c’est l’objectif de sécurité des produits numériques, donc vos téléphones, vos ordinateurs, vos cartes réseau, enfin c’est vraiment les produits numériques, mais aussi les logiciels, donc là c’est security by design sur la production de produits numériques et de logiciels numériques.

Et puis enfin, c’est évidemment la directive NIS 2 qui elle est la refonte de la directive NIS 1 qui est donc (Network and Information Security). Cette directive a été transposée chez nous en 2018 et a été mise à jour et voté le 10 novembre 2022 par les parlementaires européens. Elle s’appuie évidemment sur NIS 1 mais elle va plus loin, on va en parler, et elle est entrée est entrée en vigueur le 21 janvier 2023 avec un délai de transposition de 21 mois. Cela veut dire que la directive sera contraignante pour les États membres s’ils n’ont pas fait de loi de transposition, elle aura une application directe dans l’ensemble des États membres en octobre 2024. Cela veut dire concrètement que l’ensemble des États membres devront avoir mis en oeuvre des lois de transposition pour octobre 2024, et donc cela veut dire que les organismes qui sont soumis à NIS 2 devront être conformes à cette date, et c’est assez lourd.

Qu’est ce qui va concrètement changer avec NIS 2 ?

Ce qui va changer c’est d’abord quel secteurs va impacter enfin quel secteur sont impactés par Nice 2. Ce qu’il faut bien comprendre c’est que NIS 2 est un élargissement vraiment fondamental du champ d’applicabilité puisque s’est ajouté à NIS 1 le secteur spatial, les administrations publiques, les fournisseurs de services numériques, l’alimentation, les réseaux d’eau usés, et de gestion des déchets, les services postaux, et les fabricants de produits chimiques et pharmaceutiques. On vise l’administration publique pour que les les administrations répondent à certains critères. Je veux insister sur l’administration publique parce que c’est vraiment aussi un enjeu dans cette directive. Lorsque l’entité est l’unique prestataire d’un service de l’État par exemple, lorsqu’une perturbation du service pourrait avoir un impact sureté publique, ou la sécurité publique, ou bien la santé publique. Sont concernés également les administrations publiques si une perturbation du service pouvait introduire un risque systémique, et lorsque l’entité est considéré comme critique via son importance au niveau de sa région, ou au niveau national, parce que par exemple elle rend un service particulier ou parce qu’elle est allée dans un dans des secteurs interdépendants de l’État. Cela veut dire qu’on vise environ 600 types d’entités différentes ici au regard de l’échelle publique, c’est majeur. C’est un véritable changement pour les collectivités territoriales aussi puisqu’on a des collectivités territoriales qui par leur taille pourraient rentrer tout à fait dans ces critères, et donc c’est vraiment majeur.

Ensuite, ce qui change aussi, sur la question des seuils, ça aussi c’est quelque chose qui change de manière fondamentale, ce sont les exceptions d’application au périmètre de NIS 2, finalement elles sont assez faibles puisque c’est des entreprises de moins de 50 salariés, donc plus de 50 salariés déjà c’est une grosse partie, et c’est les entreprises de moins de 50 salariés, sauf si les services sont fournis sur le secteur réseau de communication électronique publique, ou service de communication électronique accessible au public, les prestataires de service et les prestataires de confiance, ou bien les registres de noms de domaine et les fournisseurs de DNS, donc les petites structures qui font du nom de domaine et qui fournissent des TLD ou DNS, sont visées par la directive.

Ensuite, si on évoque la question des obligations qui en découlent, on est vraiment sur des obligations qui sont liées à la criticité de l’organisme et notamment des obligations de sécurité, donc technique, opérationnelle, avec donc cette idée qu’on doit être en capacité de subir l’attaque, de remonter, donc c’est tout ce qui va concerner le plan de reprise d’activité, le plan de continuité d’activité, l’anticipation de ce type de risque avec le test concret, et puis après toutes les dispositions mais là je vais pas rentrer dans le détail qui sont vraiment des dispositions qui ont des impacts opérationnels et techniques d’un point de vue technique de cybersécurité où là vous allez avoir des obligations notamment de prise de décision par les instances en termes de cybersécurité, donc ça veut dire que le RSSI va pas faire son truc dans son coin, et le Comex ne peut pas ignorer les demandes. Il va devoir y avoir une prise de décision du mandataire, notamment dans le secteur privé, donc le président par exemple va devoir trancher, prendre des décisions avec son responsable de la sécurité. Ce n’est plus un sujet uniquement qui sera un sujet technique, c’est vraiment un sujet qui sera avec NIS 2 porté sur les plus hautes instances et avec une vue très transversale de l’obligation de sécurité qui devient là vraiment extrêmement contraignante pour les organismes qu’ils soient publics ou privés, des secteurs que j’ai rappelé.