Une menace «plus diffuse», menée notamment «par des groupes pro-russes ou russophones ». Et des cyberattaques «multipliées par trois depuis le début du conflit entre l’Ukraine et la Russie». Tel est le constat posé par Clara Chappaz, alors que le Sénat doit démarrer mardi 11 mars l'examen en première lecture du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Avec l’objectif «de s’assurer que les structures soient en conformité et prêtes à faire face à la menace», précise la ministre déléguée en charge de l’intelligence artificielle (IA) et du numérique.
Trois directives européennes transposées en droit français
Ce texte transpose en droit français trois directives européennes. La plus attendue est sans doute la directive européenne NIS2. Celle-ci élargit considérablement le périmètre de NIS (transposée en 2013 dans la loi de programmation militaire française), puisqu'elle aura un impact sur quelque 15000 entités françaises dans 18 secteurs, contre 300 précédemment dans les secteurs les plus critiques. «Avec NIS, les opérateurs étaient tenus de se sécuriser sur des points très spécifiques. Dorénavant, ils devront se projeter dans l’avenir en analysant leur chaîne de dépendance et en assurant la continuité de leur activité en cas d’incident», détaille le cabinet de Clara Chappaz.
Des exigences différenciées selon la taille et la criticité
En effet, les cyberattaques touchent aujourd’hui davantage les fournisseurs que les donneurs d’ordre, mieux protégés que par le passé, «dans un contexte marqué par une généralisation de la menace et l’augmentation des attaques par rançongiciel contre les collectivités ou les hôpitaux», a rappelé le cabinet de la ministre. Toutefois, ajoute-t-il, les obligations seront «différenciées» en fonction de la taille et du niveau de criticité des entités. Ainsi, pour les entités de «deuxième catégorie», l’exigence devrait porter sur des «pratiques de bonne hygiène générale, permettant de se protéger notamment contre les rançongiciels».
En outre, précise le cabinet de la ministre, «le texte prévoit un pouvoir de désignation d’entités individuelles, lorsque ces dernières ne rentrent pas dans le champ de la directive en terme de taille critique et de secteurs, mais nécessitent d’être protégés contre les tentatives d’intrusion malveillante». Exemple : un petit laboratoire de recherche qui échappe à la logique de seuil «mais qui fait de la recherche sur les technologies de pointe et doit être protégé contre les tentatives d’intrusion malveillantes».
L’Anssi dans un double rôle d’accompagnateur et de gendarme
Nouveauté, l’Agence nationale de la sécurité des systèmes d'information (Anssi), jusqu’alors chargée de l’accompagnement des structures en lien avec les acteurs de terrain, les fédérations professionnelles ou encore les campus cyber régionaux, endossera progressivement un rôle de gendarme. «L’Anssi a prévu de faire sa mue et de passer le relais à des prestataires privés pour la partie accompagnement», a précisé l'entourage de Clara Chappaz.
Alors que les entreprises se plaignent régulièrement d’un manque de visibilité, le cabinet évoque un texte «co-construit avec les entreprises et les associations d’élus qui animent les collectivités», mais aussi des «centres de réponse avec des accompagnements régionaux» pour permettre à chaque acteur de se saisir du texte. Côté soutien financier pour les plus petites structures, le flou demeure, dans un contexte d’austérité budgétaire.
Renforcer la résilience des systèmes numériques
La deuxième directive, dite REC, concerne la résilience des systèmes numériques. «Avec l'objectif d'assurer un niveau commun de protection contre la cybermenace mais aussi les risques de rupture d’approvisionnement qui avaient été constatés pendant la crise Covid», précise le cabinet de Clara Chappaz.
Le texte vise les fabricants et les fournisseurs de produits numériques, «qui doivent s’assurer que leurs applications respectent les normes de sécurité dès leur conception et tout au long de leur cycle de vie». Mais aussi les distributeurs et les revendeurs «qui doivent vérifier la conformité des produits numériques qu’ils mettent sur le marché européen», détaille la directive européenne.
Une troisième directive, DORA, est destinée au secteur financier et traite les risques posés par la profonde transformation numérique des services financiers. Après son passage au Sénat, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité partira à l’Assemblée nationale, en vue d’une adoption définitive courant juin.
