La directive NIS : toutes les explications

2017 a été une année particulièrement virulente en matière de cyberattaque (rassurez-vous, je sais que nous sommes actuellement en 2019). Par rapport à l’année précédente (2016), le nombre d’attaques a été multiplié par 2, pour un total de 700 millions de cyberattaques menées à l’échelle mondiale. Ce score impressionnant est la preuve que la cybercriminalité n’est plus un acte isolé qui n’arrive qu’aux entreprises concurrentes.

Face à cette hausse de la criminalité informatique, les dirigeants politiques européens avaient deux solutions :

• Faire des blagues vaseuses pour se réjouir de l’attractivité de l’Europe ;
• Prendre les choses en mains et trouver des solutions.

Bien heureusement, la seconde option a été privilégiée. C’est pour cette raison que l’année 2018 a été législativement riche en matière de cybersécurité (pour le meilleur et pour le pire). En effet, les dirigeants politiques ont choisi de partir en croisades contre les pirates informatiques. Pour éradiquer les cyberattaques, chacun avait sa méthode :

• Les américains ont préféré vaincre le mal par le mal. Pour cela, le gouvernement a estimé qu’il serait préférable d’envahir la vie privée de milliards d’individus (coucou le CLOUD Act).
• A contrario, l’Union européenne a opté pour une protection accrue des données de ses ressortissants (RGPD) et des entreprises sur son territoire (directive NIS).

Et là, vous devriez être en train de vous demander « La directive quoi ? Pourquoi vous n’en avez pas parlé sur votre blog ? ». N’ayez crainte, on va en parler. Après avoir lu cet article, vous saurez tout sur la directive NIS pour ambiancer vos soirées entre juristes à l’ANSSI.

Je vous préviens d’avance, cet article sera complet et détaillé. Pour ceux qui veulent aller droit au but, vous pouvez vous contenter des récapitulatifs en bleu.

Pour les lecteurs belges, on ne vous oublie pas ! Les encadrés en jaune indiquent les différences de transposition par rapport à la France.

Du contexte pour les amateurs d’histoire

Le contexte est bien important pour comprendre la directive NIS. Vous vous doutez bien que les députés européens ne se sont pas réveillés un matin avec une furieuse envie de parler cybersécurité. C’est un processus lent, dont la France a été chef de file.

La toute première loi de cybersécurité appliquée en France était la loi Godfrain relative à la fraude informatique, adoptée le 5 janvier 1988. Oui, à cette époque, la cybercriminalité était déjà une préoccupation des parlementaires, alors que la démocratisation d’internet était encore loin.

Étant donné qu’un fait est toujours plus croustillant avec une petite anecdote personnelle, Jacques Godfrain explique le contexte qui l’a amené à proposer cette loi aux autres députés : en 1987, un ami journaliste lui a fait découvrir un véritable marché noir du logiciel. Des pirates informatiques avaient réussi à extraire des logiciels contenus dans une base informatique pour les revendre au plus offrant. À cette époque, la Cour de cassation venait tout juste de reconnaître les logiciels comme des œuvres de l’esprit dans le fameux arrêt Pachot, mais tant que l’affaire n’était pas jugée par la Cour d’appel d’Amiens, la solution de l’arrêt n’était pas applicable. Par conséquent, les logiciels n’étaient pas encadrés par la propriété littéraire et artistique, et le vol de données informatiques l’était encore moins !

Outré par ce qu’il venait de découvrir, Monsieur Godfrain était bien décidé à remédier à ce vide juridique. Il a donc proposé une loi visant à rendre illégale l’intrusion dans un système d’information pour y extraire des données.

Pendant près de 25 ans, la loi Godfrain était la seule qui existait en matière de cybersécurité. Mais ce fut jusqu’au 18 décembre 2013, puisque la loi de programmation militaire est venue apporter un nouveau vent de fraîcheur dans le domaine de la cybersécurité en France. Alors que les attaques informatiques devenaient de plus en plus courantes, les têtes pensantes du pays se sont aperçues que ces menaces constituaient un réel danger pour la nation, à l’image de ce qu’a vécu la ville de Tallin, en Estonie.

Cette loi de programmation militaire a donc donné naissance à un nouvel acronyme : les OIV (opérateurs d’importance vitale). Par définition, les OIV sont des organismes désignés par le Premier Ministre français comme nécessaires au bon fonctionnement de la nation. En cas d’incident quelconque sur l’un de leurs systèmes d’information, la sécurité ou la capacité de survie de la nation seraient fortement impactées. Cela s’applique aussi pour tout incident mettant gravement en péril la santé ou la vie de la population.

Par conséquent, tous les opérateurs concernés (dont la liste demeure secrète à ce jour) doivent prendre des mesures de sécurité conséquentes pour prévenir les cyber-risques. Leurs systèmes d’information doivent être protégés en tout temps par des solutions performantes, de manière à éviter toute cyberattaque.

Grosso modo, voilà à quoi correspond cette loi. Lorsque l’Union européenne a appris l’existence d’une telle législation, elle a été très emballée par l’idée. Tellement emballée qu’elle a décidé de créer un projet similaire pour les 27 autres États membres.

C’est ainsi que le 6 juillet 2016, après moults débats sur une durée de trois ans, la directive NIS (« Network and Information Security ») a enfin été adoptée par les institutions européennes ! Les États membres avaient jusqu’au 9 mai 2018 pour transposer la directive dans leur droit national. La France a fait office de bon élève puisqu’elle a transposé la directive le 26 février 2018, contrairement à la Belgique qui a effectué la transposition le 3 mai 2019… soit avec un an de retard. Pour la défense des belges, leur transposition de la directive NIS est bien plus complète qu’en France.

EN BREF : Peu de lois existaient en matière de cybersécurité. La loi Godfrain de 1988 a fait cavalier seul pendant près de 25 ans en France. En 2013, la loi de programmation militaire institue les OIV, opérateurs devant prendre toutes les mesures nécessaires pour protéger leurs systèmes d’information, et qui sont nécessaires au bon fonctionnement de la nation. L’Union européenne a beaucoup aimé la loi de programmation militaire, donc elle a décidé de créer une loi similaire applicable dans toute l’Union : la directive NIS.

C’est bien beau, mais que prévoit la directive NIS ?

La directive NIS prévoit tout un tas de nouveautés, dont certaines sont des évolutions de la loi de programmation militaire.

Pour être plus précis, la liste des secteurs encadrés par la directive est bien plus large que celle de la loi française sur les OIV. En conséquence, davantage d’opérateurs doivent renforcer leurs mesures de sécurité au sein de leur structure dans l’optique d’éviter toute cyberattaque. Pour reprendre les termes exacts employés par la directive, ce sont les systèmes d’information des opérateurs qui devront être protégés. Bon, si vous avez bien lu attentivement cet article (ce dont je ne doute pas), vous devriez voir que j’emploie « système d’information » pour la troisième fois, sans avoir donné de définition. Au sens de l’article 4 de la directive, un système d’information est un dispositif interconnecté assurant un traitement automatisé de données numériques. Il contient des données numériques stockées, traitées, récupérées ou transmises en vue de leur fonctionnement, utilisation, protection et maintenance.

Pour en revenir à nos moutons, la directive NIS s’adresse à deux catégories d’acteurs : les OSE (« opérateurs de services essentiels ») et les FSN (« fournisseurs de services numériques »). Dans un souci de lisibilité, je vous propose de distinguer ces deux catégories.

EN BREF : La directive NIS institue deux nouveaux acteurs : les OSE et les FSN. Chacun aura ses propres obligations, dans le but de protéger son système d’information contre tout incident.

1^ère catégorie visée : Les opérateurs de services essentiels (OSE)

Comme toute bonne introduction digne de ce nom, il faut commencer par définir le sujet. Alors, qu’est-ce qu’un opérateur de services essentiels ? Selon la définition donnée par le législateur européen, un OSE est un opérateur, public ou privé, qui offre des services essentiels au fonctionnement de la société ou de l’économie. Si un incident venait affecter les réseaux ou systèmes d’information de cet opérateur, la société ou l’économie du pays pourraient être paralysées.

Présentée de cette façon, cette définition s’apparente au scénario d’un film hollywoodien, ou à une tragédie grecque (en supposant que les hackers sévissaient déjà dans l’Antiquité).

Si un OSE venait à subir une cyberattaque ou un incident technique grave, les conséquences économiques pourraient avoir des répercussions importantes sur la qualité de vie des citoyens européens.

Et là, je vous vois venir : « bon, je suis soumis à cette directive ou non » ? La liste officielle des OSE n’a jamais été rendue publique, pour des raisons de confidentialité et de protection des intérêts de la nation. Seule la liste des domaines concernés par la directive est publique :

• L’énergie (électricité, pétrole, gaz)
• Les transports (aérien, ferroviaire, guidé, par voie d’eau, routier)
• La logistique (uniquement en France)
• Les banques
• Les infrastructures de marchés financiers
• Les assurances (uniquement en France)
• Le social (uniquement en France)
• L’emploi et la formation professionnelle (uniquement en France)
• La santé (établissements de santé et produits pharmaceutiques)
• La fourniture et la distribution d’eau potable
• Le traitement des eaux non-potables (uniquement en France)
• Les infrastructures numériques
• L’éducation (uniquement en France)
• La restauration (uniquement en France)

Bref, grâce à ces domaines, vous pouvez deviner les opérateurs qui font partie de la liste « ultra confidentielle » de la directive NIS.

Toutes les entreprises dont l’activité contient l’un des domaines énumérés ci-dessus devront prendre des mesures appropriées pour prévenir les incidents qui toucheraient leurs systèmes d’information. Elles ont donc l’obligation d’anticiper les cyberattaques, et surtout, d’assurer une continuité de service si une attaque devait avoir lieu.

En France, un décret impose même aux opérateurs de signaler tout incident de sécurité à l’ANSSI dès qu’ils en ont connaissance. Les belges sont soumis à cette même obligation, mais les signalements devront être faits auprès du CCB.

Puisqu’un bonheur n’arrive jamais seul, les opérateurs peuvent être contrôlés à tout moment pour vérifier leur bonne mise en conformité. En France, le contrôle sera effectué par l’ANSSI, ou un prestataire du choix de cette dernière. Pour la Belgique, les opérateurs seront contrôlés par le CCB ou une autorité sectorielle désignée par ce dernier.

Bien évidemment, tout refus de contrôle ou tout défaut d’application de la directive NIS entraînera des sanctions lourdes (mais j’aborderai ce point ultérieurement dans cet article).

Petite spécificité belge pour les OSE ! Selon la transposition belge de la directive, les OSE doivent réaliser chaque année un audit interne de leurs réseaux et systèmes d’information. Cet audit doit être réalisé aux frais de l’opérateur, et doit être transmis annuellement à l’autorité sectorielle. Le but est d’obliger les opérateurs à toujours améliorer la protection de leurs systèmes d’information.

EN BREF : Les OSE sont des opérateurs essentiels à la société ou à l’économie. Sans eux, la nation serait paralysée et ne pourrait plus fonctionner normalement. Les secteurs d’activité soumis à la directive NIS doivent donc prendre d’importantes mesures pour anticiper les cyberattaques et assurer la continuité de leur service en cas d’incident. L’ANSSI (France) ou le CCB (Belgique) seront chargés de contrôler la bonne application de la directive, et pourra même infliger des amendes aux opérateurs qui ne seraient pas conformes.

2^ème catégorie visée : Les fournisseurs de service numérique (FSN)

Il s’agit des deuxièmes acteurs visés par la directive NIS : les fournisseurs de service numérique.

Tout comme les OSE, la liste des FSN est large, à cause de la définition donnée par la directive NIS. En effet, un service numérique correspond à tout service fourni contre rémunération, que ce soit à distance ou par voie électronique.

Les institutions européennes, conscientes que la définition des FSN englobe la moitié des sites de l’internet, décident « d’étroitifier » la liste des services soumis à la directive (fermez vos dictionnaires, « étroitifier » n’existe pas).

Pour des raisons de préservation de la langue française, nos chers parlementaires européens ont choisi de franciser des termes anglophones. Les informaticiens risquent donc de saigner des oreilles, pour le plus grand bonheur des conservateurs linguistiques. Bref, voici les catégories de services numériques visés par la directive NIS :

• Les places de marché en ligne (« marketplace » dans le jargon courant). Ce sont des services qui permettent à des consommateurs ou à des professionnels de conclure des contrats de vente ou de service en ligne.
• Les moteurs de recherche en ligne (une définition est-elle vraiment nécessaire ?)
• Les services d’informatique en nuage. Pour le commun des mortels, il s’agit des services de « Cloud », c’est-à-dire un service numérique qui permet d’accéder à des ressources informatiques pouvant être partagées.

Si vous ne l’aviez pas compris, nos chers GAFA sont une nouvelle fois dans le viseur des institutions européennes. Les trois catégories de FSN suffisent à englober Amazon, Apple, Google et Facebook pour les obliger à adopter de sérieuses mesures de cybersécurité.

Et pour éviter que les GAFA ne jouent sur les mots du texte en disant : « bande de maroufles, je ne suis même pas installé en Europe ! », la directive NIS a prévu un article spécialement pour eux. En effet, les entreprises étrangères devront quand même se conformer aux obligations de la directive dès lors que leurs services numériques sont disponibles sur l’un des territoires de l’Union européenne.

Pour bien enfoncer le clou et éviter que les GAFA ne répondent « on s’en fiche, l’ANSSI ne viendra pas nous contrôler à l’étranger », les institutions européennes ont encore prévu le coup ! Si l’entreprise n’est pas établie sur le territoire de l’Union européenne, il faudra qu’elle prenne la peine de désigner un représentant situé dans l’Union. Il servira d’intermédiaire avec l’ANSSI ou le CCB en cas de question ou de contrôle (là encore, nous reviendrons sur les sanctions ultérieurement dans l’article).

Et pour les GAFA qui seraient récalcitrants à appliquer la directive : le texte s’applique pour toutes les entreprises qui emploient au moins 50 salariés et dont le chiffre d’affaires annuel est supérieur à 10 millions d’euros.

Avec toutes ces subtiles références indirectes, les géants du web savent qu’ils sont visés par la directive NIS. Ils ont dorénavant pour mission d’identifier les risques qui menacent la sécurité de leurs systèmes d’information. Pour ce faire, ils sont tenus de prendre toutes les mesures techniques et organisationnelles pour gérer ces risques, et faire en sorte qu’aucun cyber-incident ne puisse les atteindre. Tout comme les OSE, ils doivent mettre en place des solutions pour assurer la continuité de leur service en cas de cyberattaque.

Évidemment, même si le « tapage » de GAFA semble être un jeu amusant pour l’Union européenne, cette directive s’applique aussi à tous les fournisseurs de services numériques proposant leurs services dans l’Union européenne. Par conséquent, des milliers de plateformes en ligne sont maintenant soumises à ces obligations.

Et tout comme les OSE, des contrôles peuvent être organisés par l’ANSSI ou le CCB à tout moment pour vérifier la bonne application des mesures énumérées par la directive. Par ailleurs, les FSN sont également soumis à l’obligation de déclaration d’incident, mais à condition qu’il ait eu « un impact significatif sur la fourniture de leurs services ».

EN BREF : Les fournisseurs de services numériques sur internet comprennent les places de marché en ligne, les moteurs de recherche en ligne et les services informatiques en nuage. Plus précisément, les GAFA sont tous visés par la directive, et doivent prendre des mesures organisationnelles importantes pour garantir la sécurité de leurs systèmes d’information. Cela s’applique à toute entreprise proposant ses services dans l’Union européenne, même si le siège social est situé dans un État tiers. Ces FSN pourront également être contrôlés par l’ANSSI ou le CCB et soumis à des peines d’amende.

Bon, parlons argent.

J’en viens au moment que vous attendiez : les sanctions applicables. En effet, que risque mon entreprise si je ne respecte pas les obligations de la directive NIS ?

Pour la France, plusieurs montants sont énumérés, en fonction de l’infraction commise, et selon qu’il s’agisse d’un OSE ou d’un FSN.

Pour les OSE, les amendes sont plus lourdes :

• 100 000 € d’amende en cas de non-conformité avec les obligations prévues par la directive NIS.
• 75 000 € d’amende en cas de non-déclaration des incidents de sécurité.
• 125 000 € d’amende en cas d’obstruction aux opérations de contrôle effectuées par l’ANSSI.

Et pour les FSN, vous bénéficiez d’un « rabais » sur le montant de quelques amendes :

• 75 000 € d’amende en cas de non-conformité avec les obligations prévues par la directive NIS.
• 25 000 € d’amende en cas de non-déclaration des incidents de sécurité.
• 125 000 € d’amende en cas d’obstruction aux opérations de contrôle effectuées par l’ANSSI.

Ah oui, j’ai oublié de préciser une chose : les amendes sont directement adressées aux dirigeants des entreprises.

En gros, ce n’est pas l’entreprise qui paiera l’amende, mais seulement le dirigeant, avec ses deniers personnels. Bizarrement, le montant n’a plus l’air si ridicule…

Ne vous en faites pas, chers lecteurs belges, je ne vous oublie pas ! Manque de chance, les sanctions sont encore plus sévères qu’en France. En effet, vous risquez des sanctions pénales et administratives, en sachant que les deux sont cumulables. Concernant les sanctions pénales, voici ce que vous risquez, que vous soyez un OSE ou un FSN :
• Entre 8 jours et 1 an d’emprisonnement et/ou une amende comprise entre 26 € et 20 000 € si vous ne respectez pas l’obligation de déclaration d’incident.
• Une amende comprise entre 26 € et 50 000 € et/ou entre 8 jours et 1 an d’emprisonnement en cas de non-conformité aux obligations de contrôle.
• Entre 8 jours et 1 an d’emprisonnement et/ou une amende comprise entre 26 € et 50 000 € pour manquement à l’obligation d’information à la CCB.
• Une amende comprise entre 26 € et 75 000 € et/ou entre 8 jours et 2 ans d’emprisonnement en cas d’empêchement ou d’entrave volontaire à l’exécution du contrôle du service d’inspection.

En cas de récidive, le montant de l’amende est doublé et la peine d’emprisonnement est comprise entre 15 jours et 3 ans.

En plus des éventuelles condamnations pénales, vous vous exposez également à des sanctions administratives :
• Une amende comprise entre 500 € et 75 000 € pour défaut de notification d’incident.
• Une amende comprise entre 500 € et 100 000 € pour défaut de conformité aux obligations de sécurité.
• Une astreinte comprise entre 500 € et 125 000 € pour non-respect des obligations d’information.
• Une amende comprise entre 500 € et 200 000 € si vous faites subir des conséquences négatives à une personne agissant pour votre compte (en tant qu’OSE ou FSN) en raison de l’exécution de ses fonctions et obligations.

EN BREF : Les montants des amendes ne sont pas les mêmes pour les OSE et les FSN, et surtout, le montant diffère selon l’infraction commise. En France, l’amende sera directement adressée au dirigeant de l’entreprise, qui devra payer avec son propre argent.

Vous avez une solution pour nous mâcher le travail ?

Ne vous inquiétez pas, il existe des solutions pour tout dans la vie !

Si vous voulez tester l’efficacité de votre système d’information et savoir si vous êtes conforme à la directive, sachez que l’équipe dédiée Ziwit Consultancy Services vous propose d’auditer votre infrastructure organisationnelle. Nos équipes seront en mesure d’identifier les failles de sécurité présentes au sein de votre système d’information, et mesurer le degré de sécurité physique de votre organisation. À l’issue de l’identification des risques et de la réalisation d’un test d’intrusion, nos experts en cybersécurité vous remettront une liste de toutes les actions correctives à mettre en place pour sécuriser votre système d’information.

Si vous êtes belge, sachez que ces audits sont obligatoires et doivent être réalisés une fois par an, puis être transmis à l’autorité sectorielle pour vérifier le bon niveau de sécurité de votre système d’information !