Extension de la directive européenne « Sécurité des réseaux et des infrastructures » aux acteurs du numérique ?

Depuis l’explosion de la cybercriminalité dont le coût annuel est estimé à plus de 400 milliards de dollars, et depuis la recrudescence récente des affaires de piratage informatique aux quatre coins du monde, la cyber-sécurité constitue clairement un enjeu planétaire. L’Union européenne s’est donc emparée du sujet dès 2013 pour proposer une directive visant à augmenter le niveau de cyber-sécurité des Etats membres et établir une stratégie globale en la matière. La directive « Sécurité des réseaux et des infrastructures » ou « Network and Information Security Directive » (NIS) a été approuvée le 13 mars 2014 au Parlement Européen, et est actuellement débattue devant le Conseil Européen. Ce projet de directive se concentre sur les entités présentant le plus de risques, à savoir les opérateurs d’infrastructure critique, au sein desquels un incident peut avoir des conséquences majeures pour la santé publique, l’économie ou la sécurité. Toutefois, compte tenu de la place prise par les industries du numérique dans nos sociétés, certains Etats membres seraient favorables à l’élargissement du champ de la directive aux entreprises du secteur numérique pour assurer la stabilité de l’économie européenne.

Ce projet de directive, érigée sur des principes de sécurité des Etats et de stabilité économique, a donc pour finalité de réduire la cybercriminalité. En effet la directive a pour objectif d’établir une coopération entre les autorités nationales sur d’éventuelles menaces touchant plusieurs Etats membres. Par ailleurs la NIS contient une liste non-exhaustive des opérateurs d’infrastructure critique concernés, comprenant les opérateurs dans les secteurs de l’énergie, de la banque, de la santé, des transports et des services financiers. Ces opérateurs d’infrastructure critique sont soumis à une série d’exigences en matière de sécurité telles que les déclarations d’incident. En France, l’ANSSI traitent d’ores et déjà du respect d’obligations de sécurité similaires pesant sur de grandes banques et opérateurs télécoms, mais pas encore sur des acteurs privés du numérique.

Les obligations de sécurité pour les opérateurs d’infrastructure critique pourraient valoir pour d’autres acteurs relevant du secteur privé du numérique. Concrètement ce sont les entreprises ayant souvent un statut d’hébergeur, comme Google, Amazon, Microsoft, OVH, Dailymotion qui devraient être visées. Toutefois, lors des débats, les PME n’ont pas été formellement écartées. En outre, seulement les services les plus importants seraient concernés, c’est-à-dire ceux dont l’arrêt aurait un impact économique majeur. Par exemple, si le service de cloud d’Amazon était concerné, son site d’e-commerce ne le serait pas. Ce point est l’objet de débats houleux, et pour l’heure, les Etats membres restent divisés sur le fait de savoir s’il faut inclure ou non certains acteurs du numérique, tels que les fournisseurs de cloud, au sein de cette législation européenne.

Alors que les entreprises concernées jugent ces mesures disproportionnées, plusieurs Etats membres semblent favorables à l’extension desdites obligations de sécurité aux acteurs privés du numérique. Par exemple, le Premier Ministre français Manuel Valls, et son homologue allemande, la Chancelière Angela Merkel, y sont favorables. Mais tous les Etats membres ne sont pas d’accord sur ce point, encore moins les entreprises visées. Ces dernières estiment que les obligations de sécurité, afin qu’elles soient respectées, pourraient constituer une charge financière non négligeable. En France, l’Association française des éditeurs de logiciels et solutions internet (AFDEL) a appelé à ne pas élargir aux « entreprises de la société de l’information » le champ des opérateurs d’infrastructure critique prévu dans la directive. Bien qu’elle soutienne le projet et son objectif de renforcement de la cyber-sécurité en Europe, elle affirme que cette extension risquerait de détériorer la compétitivité des entreprises. Ainsi, pour l’AFDEL, la qualification « d’infrastructure critique » pour l’ensemble des entreprises du numérique ne se justifie pas et il serait disproportionné de leur imposer des obligations administratives supplémentaires.

Actuellement la directive n’est pas encore passée devant le Conseil Européen pour une première lecture. Les développements sont donc à suivre attentivement et concernent de près ou de loin tous les acteurs de l’internet.