Europe
04/04/2024
Numérique, réseaux sociaux

Cybersécurité : inquiétudes sur la future règlementation

L'application de la directive « NIS 2 » coûtera cher. Les élus demandent au gouvernement un soutien technique et financier.

D’ici à octobre 2024 entreront en vigueur les nouvelles règles européennes en matière de cybersécurité. Adoptée fin 2022, la directive dite « NIS 2 » (Network and Information Security) est actuellement en cours de transposition dans le droit français. Un travail que pilote l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Le projet de loi de transposition, en préparation, s’adressera aussi aux administrations locales, comme la directive européenne en laisse la possibilité. À quelques mois de l’échéance, les collectivités appellent le gouvernement à « une transposition intelligente » qui tienne compte de l’intensité des risques selon les services publics concernés, repose sur une mise en conformité progressive et s’accompagne d’un soutien technique et financier dédié.

Conséquences financières

« En fonction de leur nombre d’habitants, de leur statut et de leurs compétences, toutes les intercommunalités ne disposent pas des mêmes leviers et ne sont pas exposées à des risques de la même intensité », ont souligné France urbaine, Intercommunalités de France et le réseau des territoires innovants « Les interconnectés », dans un communiqué commun le 11 mars. Un message dans lequel l’AMF se retrouve.

L’association regrette de ne pas disposer, pour l’heure, d’étude d’impact sur les conséquences financières de cette directive pour les collectivités « alors que l’on sait qu’elles seront importantes ». Pour y faire face, l’accompagnement financier de l’État est indispensable, affirme l’AMF. Point fondamental, la directive européenne fait une distinction entre « entités importantes » et «  entités essentielles » qui seront soumises à des niveaux de contraintes différents (lire ci-dessous).

Qui se situe où ? Difficile à dire tant que le projet de loi n’est pas sur la table. « Ce que l’on comprend à l’AMF, c’est que les communautés de communes se situeraient en entités importantes ; les métropoles, agglomérations, communautés urbaines, en entités essentielles. » Le classement des communes n’est pas clair mais « on sait quand même que les petites communes ne seront pas assujetties » à la directive, indique une source proche du dossier.

Progressivité et proportionnalité

Le projet de référentiel détaillant les objectifs de sécurité qui devraient être atteints par les entités essentielles et importantes montre des différences de contraintes importantes entre les deux classifications, qui seront loin d’être neutres au niveau des coûts et des compétences requises.

C’est aussi un point sur lequel l’AMF attire l’attention : la mise en œuvre des objectifs de sécurité s’accompagnera forcément d’un besoin de compétences auquel il s’agira de répondre en interne ou en faisant appel à des sous-traitants. Dans les deux cas, la demande risque bien de dépasser l’offre, alors que la directive s’adresse à la fois à la sphère publique et privée, où elle touche aussi bien les PME que les grosses entreprises. « Il y a donc un constat unanimement partagé qu’il faut construire une filière et cela demandera un peu de temps », souligne l’AMF.

D’où l’importance d’une progressivité dans la mise en conformité. Une solution consisterait à « prévoir qu’une entité essentielle doive répondre dans un premier temps aux seules exigences prévues pour les entités importantes, ce qui lui laisserait plus de temps pour se conformer par la suite à l’ensemble des contraintes », avance l’AMF. 
 

Des contraintes à géométrie variable
Les différences de contraintes entre «entités essentielles » et «entités importantes » sont loin d’être neutres. Voici deux exemples, selon un référentiel de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : une entité essentielle devrait soumettre ses systèmes réglementés à un audit au moins tous les trois ans, ce qui ne serait pas le cas pour une entité importante.
Les deux entités devront mettre en place des mesures pour limiter l’accès de personnes non autorisées à leurs locaux et aux serveurs. Les entités essentielles devront assurer une protection physique avec un système de gardiennage, vidéosurveillance ou alarme, là où l’on serait plus dans une politique d’accompagnement des personnes externes pour les entités importantes.

 

A lire aussi :

Par Isabelle smets
n°422 - AVRIL 2024