Directive NIS 2 : de nouvelles obligations cyber pour une liste de collectivités en pointillé

Vendredi 3 décembre 2021, le secrétaire d’Etat chargé de la transition numérique et des communications électroniques Cédric O s’est félicité que les ministres européens du numérique soient arrivés à un compromis sur le projet de directive relative à la sécurité des réseaux et des systèmes d’informations, dite NIS 2. "Un texte ambitieux et équilibré, qui doit permettre de répondre à l’état de la menace en augmentant le niveau de cybersécurité à travers l’Union", précise le communiqué du ministre qui a promis de faire de la "régulation du numérique" un sujet central pour la toute prochaine présidence française de l’Union européenne.

Toutes les grandes infrastructures concernées

Le texte a pour principal objectif d’harmoniser les exigences de cybersécurité entre les Etats membres et de définir des mécanismes de coopération pour mieux gérer les risques cyber. C’est ainsi que va voir le jour le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), chargé de coordonner la gestion des incidents majeurs et d’éviter une cybercrise passée par le maillon faible de l’Union. La directive étend surtout le périmètre des secteurs concernés par des obligations de cybersécurité. Jusqu’à présent, la liste des "opérateurs de services essentiels" était laissée à la discrétion des Etats membres, c’est désormais la directive qui en fixe les critères. Aux domaines d’ores et déjà concernés (banques, marchés financiers, énergie, transport, santé, eau potable et réseaux télécoms) vont s’ajouter de nouveaux secteurs tels que la gestion des déchets, les services postaux, les grands distributeurs alimentaires ou encore les fournisseurs d’accès à internet et les datacenters. Les obligations seront cependant modulées par secteur avec un "plafond" pour n’impacter que les "grandes et moyennes" structures.

Quels critères pour sélectionner les collectivités ?

L’entrée des administrations publiques dans le champ de la directive a été particulièrement débattu, mentionne le projet de directive (en page 5). Finalement, seules les administrations centrales vont devenir "opérateurs de services essentiels", la liste des administrations régionales et locales étant laissée à la discrétion des Etats membres. En d’autres termes il faudra attendre la transcription du texte en droit français dans les deux ans à compter de l’adoption de la directive pour connaitre la liste des collectivités soumises à ces nouvelles obligations. Parmi celles-ci, le respect de normes sur la gestion des risques, la possibilité de contrôles et de sanctions ainsi que des obligations déclaratives sur les incidents de sécurité. Quels critères seront retenus ? Type de collectivité ? Population ? Compétences exercées ? L’inconnue demeure. On voit cependant difficilement les métropoles, départements et régions, aujourd’hui principales cibles des 500 "parcours cyber" de l’Anssi, y échapper. De même, tous les syndicats informatiques et autres structures de mutualisation exerçant des compétences sensibles (hébergement, archivage, services informatiques…) devraient être impactés.

Quid des petites collectivités ?

Pour les communes et "petits" EPCI , la question reste entière même si l’allongement de la liste des victimes de rançongiciels laisse penser que ce pourrait être une bonne idée. Interrogé sur le sujet au FIC de Lille en septembre, Guillaume Poupard, le directeur de l’Anssi, nous avait expliqué qu’il fallait trouver "un équilibre" entre le périmètre à protéger et les capacités de l’Anssi à remplir cette mission, sans quoi "ça ne sert à rien". Or, rien qu’avec les grandes collectivités, l’agence va devoir recruter si elle veut faire effectivement respecter les nouvelles obligations et accompagner toutes les administrations. L’agence mise aussi sur la labellisation de prestataires de cybersécurité pour l’épauler dans sa mission de sécurisation. Des prestataires que pourront cependant difficilement s’offrir les petites collectivités, "d’autant plus que les audits de sécurité de l’Anssi sont aujourd’hui gratuits pour les grandes" nous fait remarquer une association d’élus. Les gendarmes du commandement ComCyber pourront ils prendre le relais de l’Anssi ? "L’objectif est surtout de faire de la sensibilisation (et des enquêtes) avec un périmètre bien plus large que les seules collectivités". Restent les nouveaux "Computer Emergency Response Team" (CERT) mis en place par les régions avec l’appui de l’Anssi. Ces structures pourraient-elles être dotées de moyens d’intervention en plus de leur rôle de tête de réseau et d’alerteur ? "On voit mal une région aller mettre son nez dans le système d’information d’une autre collectivité", nous fait-on remarquer. Et de conclure que la transcription de cette directive sera sans doute l’occasion de (re)structurer l’accompagnement cyber des collectivités sur un sujet devenu critique.