2020. À Düsseldorf, en Allemagne, une patiente nécessitait une opération urgente. Par suite d’une cyberattaque visant la clinique universitaire, elle doit être transférée vers un autre hôpital. Une décision qui s’avère pour elle fatale.
Cet événement tragique démontre l’importance de la cybersécurité, d’autant plus pour les services essentiels d’un pays, comme la santé, l’énergie ou la banque. C’est dans cette perspective que l’Union Européenne dessine, dès 2010, les contours d’une politique commune de cybersécurité qui naît en 2013 sous les traits de la directive NIS.
Qu’est-ce que la directive NIS ?
En août 2010, la Commission Européenne demande à ses pays membres de répondre à une consultation publique visant à établir « une stratégie numérique pour l’Europe ». Parmi les différents volets est notamment évoquée la question de la cybersécurité, particulièrement au travers de la protection des données personnelles et contre le cybercrime. Avec les autres pays membres, les autorités françaises apportent les éléments finaux à la consultation en 2012. Ainsi, c’est en février 2013 que la Commission Européenne propose la directive européenne NIS, « Network and Information Systems ».
C’est là une première : auparavant, les questions de cybersécurité relevaient exclusivement de la compétence de la nation, en témoigne la loi Informatique et Libertés du 6 janvier 1978. Les Etats membres et l’Union Européenne souhaitent ainsi gagner en efficacité contre des crimes qui ne connaissent pas de frontières. Un tel dispositif vise alors à protéger les infrastructures socialement critiques des Etats membres, à l’instar de la santé, du transport et des marchés bancaires et financiers.
Adoptée par le Parlement Européen le 6 juillet 2016, la directive NIS entre pleinement en vigueur en mai 2018. Elle établit un niveau de sécurité commun afin de lutter collectivement contre les risques de cyberattaques et, pour ce faire, définit plusieurs objectifs.
Quels sont les objectifs de la directive NIS ?
La directive NIS se fonde sur 4 axes majeurs :
- Établir un cadre de gouvernance : les Etats membres doivent développer des stratégies de cybersécurité et produire des réponses aux cyberattaques et autres incidents informatiques, notamment via la technologie « CSIRT », qui fournit un tel service en permanence, sans interruptions ;
- Renforcer la coopération européenne : il s’agit de partager les informations techniques (risques, failles potentielles, etc.) via le « réseau européen des CSIRT » et de discuter des aspects politiques de la cybersécurité ;
- Sécuriser les « opérateurs de services essentiels » : des règles spécifiques doivent s’appliquer à ces acteurs cruciaux pour la bonne continuité de la vie économique et sociale de la nation, et ils sont de plus subordonnés à l’obligation de notifier tout incident ;
- Sécuriser les « fournisseurs de service numérique » : selon la même logique précédente, cela s’applique cette fois aux acteurs fondamentaux d’Internet, notamment pour le cloud computing, ainsi que les moteurs de recherche et les marketplaces.
Bien que son objectif majeur soit d’assurer une sécurité commune face aux menaces, l’Union Européenne se compose d’Etats membres hétérogènes. Ils ne disposent pas, en effet, de ressources équivalentes et leurs législations sont différentes. C’est pourquoi « NIS » est une directive, et non un règlement : elle est obligatoire dans ses fins, non dans ses moyens. Elle donne donc une latitude certaine aux Etats membres dans les actions mises en place pour atteindre les objectifs fixés.
Au-delà des aspects légaux – évidemment fondamentaux –, il s’agit ainsi pour l’UE de créer une culture de la cybersécurité, centrée sur la coopération entre les Etats membres dans la protection des infrastructures critiques. Une telle qualification répond à plusieurs critères et il incombe aux gouvernements nationaux de les désigner.
Des secteurs clés et à haut risque à identifier
Bien que tout acteur économique nécessite une protection contre les cybermenaces, la directive NIS se focalise spécifiquement sur les secteurs les plus vulnérables ET les plus essentiels au bon fonctionnement de la nation.
Sont par exemple concernés les marchés bancaires et financiers sur lesquels reposent l’économie moderne et mondialisée. De nombreux autres services fondamentaux sont concernés, comme dans les secteurs de la santé, du transport, de l’eau, de la production et de l’acheminement de l’énergie ou encore des télécommunications. En France, le gouvernement a ainsi identifié 122 opérateurs de services essentiels en 2018, auxquels « quelques centaines » s’ajoutent, et s’ajouteront.
L’économie numérique est elle aussi concernée, on le disait – ce qui n’est pas étonnant quand on sait qu’elle représentait 6% du PIB français en 2020. A cet égard, certains de ses secteurs sont aujourd’hui considérés comme de véritables services publics, comme les moteurs de recherche et ils répondent alors à la directive NIS.
On le comprend : ce dispositif de sécurité se concentre sur la protection des infrastructures cruciales et vulnérables. Il n’est donc pas à confondre avec une autre législation européenne de cybersécurité, le RGPD ou encore la Cybersecurity Act.
Quelle est la différence entre le RGPD et la NIS ?
Adopté par le Parlement européen en avril 2016, le Règlement général sur la protection des données (RGPD) entre pleinement en vigueur en mai 2018. Comme son nom l’indique, cette loi cadre vise à assurer la protection de la « donnée personnelle », à la fois dans leur collecte et leur traitement. De la même manière que la directive NIS, elle s’applique au sein des 28 (désormais 27, avec le départ du Royaume-Uni) pays membres de l’Union Européenne.
Si le RGPD et la directive NIS traitent donc tous deux d’enjeux de cybersécurité, les deux législations européennes n’ont ni le même objet, ni le même champ d’application. Là où le RGPD se concentre sur les données personnelles, la directive NIS vise à protéger les infrastructures importantes.
Directive et règlement européen : une différence de contraintes
Le RGPD est un règlement : il s’applique donc uniformément à l’ensemble des 28 (désormais 27, avec le départ du Royaume Uni) pays membres de l’Union Européenne, tant dans ses principes que dans sa mise en place et les sanctions applicables en cas de non-conformité. En comparaison, la directive NIS profite d’une meilleure décentralisation, sur la base d’une coopération renforcée avec les agences nationales de cybersécurité. Dès lors, l’implementation n’est donc pas uniforme et est dépendante des ressources, législations et infrastructures de chaque pays membre.
On comprend toutefois que ces deux réglementations partagent des objectifs communs, à savoir répondre aux enjeux sécuritaires de l’univers cyber, qu’il s’agisse de protéger les infrastructures critiques ou les données personnelles. Elles partagent également cette caractéristique de loi-cadre, dont les effets à de nombreux domaines ; c’est par exemple le cas des normes comptables, alors même qu’elles ne sont pas le coeur de ces législations.
Effectivement, si le numérique révolutionne les process en termes d’efficacité et de simplicité, il crée également de nouvelles opportunités pour les cybercriminels, à l’instar des fraudeurs.
Il est alors dans l’intérêt des entreprises et organisations d’investir dans une solution anti-fraude, ainsi de Trustpair. Ce Software-as-a-Service vérifie automatiquement et en temps réel l’ensemble des données entrées ou modifiées dans le référentiel tiers. Il contrôle ainsi le couple identifiant d’entreprise / coordonnées bancaires et vous alerte en cas d’anomalies. Grâce à Trustpair, vous vous protégez donc contre les risques de fraude, par exemple la fraude au virement.
