Au fil des ans, de nombreux pays, dont la France, ont élaboré des lois et des réglementations pour faire respecter la cybersécurité. Les orientations, les normes et les réglementations font désormais partie de l’arme cybernétique. Que les organisations soient des Opérateurs de services essentiels (OES) ou Opérateurs d’importance vitale (OVI), elles doivent se conformer aux réglementations européennes, nationales ou internationales. Dans tous les cas, elles ont des obligations, des règles et des sanctions. S’appuyer sur des solutions de confiance est donc un impératif stratégique.
Prendre en compte des spécificités et réglementations multiples
Les acteurs industriels ne sont pas uniquement des entreprises qui évoluent sur des marchés purement domestiques ou nationaux. Dans ce contexte, si elles doivent respecter des normes nationales, elles ne peuvent se limiter à ces seules démarches. En effet, elles vont devoir nécessairement prendre en compte d’autres normes et spécificités pour pouvoir être utilisées à large échelle dans un contexte mondial. Il s’agit d’une donnée souvent oubliée par de nombreux industriels et qui va profondément impacter leur développement. En ce sens, les acteurs industriels doivent se poser les bonnes questions et prendre en compte les territoires où ils souhaitent opérer et mener à bien leurs activités.
Mais de quelles exigences et réglementations parlons-nous ?
Sur ce sujet, comme nous l’avons précisé, les réglementations sont multiples et variées en fonction des secteurs et des pays. Afin de donner quelques exemples concrets en Europe, voici quelques exemples concerts.
La loi de programmation militaire française (LPM)
La France a été le premier pays à réglementer un système de cybersécurité efficace et obligatoire pour les infrastructures critiques. La LPM française est à l’origine de la directive NIS. Ce système a permis d’identifier les Opérateurs d’importance vitale (OIV) privés et publics, qui exploitent ou utilisent des installations jugées indispensables à la survie de la Nation. 12 secteurs sont définis : énergie, industrie, espace et recherche, etc. Cette directive passe notamment par l’application d’un certain nombre de règles de sécurité.
La Directive européenne NIS
Inspirée de la LPM française, la directive sur la sécurité des réseaux et des systèmes d’information (directive NIS) a été élaborée par le Parlement européen en août 2016. Les États membres doivent transposer la directive dans leur droit national et identifier les opérateurs de services essentiels (OES). Le règlement NIS énonce des obligations de conformité strictes pour les OES afin de s’assurer qu’ils prennent des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans leurs opérations.
La loi européenne sur la Cybersécurité
Elle renforce le rôle de L’ENISA (« Agence de l’Union européenne pour la sécurité des réseaux et de l’information ») et prévoit un cadre européen de certification de cybersécurité, indispensable pour renforcer la sécurité du marché unique numérique européen.
L’ENISA fournit un soutien aux États membres, aux institutions de l’UE et aux entreprises dans des domaines clés, notamment la mise en œuvre de la directive SRI.
Les agences de sécurité nationale
Il s’agit des agences de sécurité nationale comme l’ANSSI en France. Ces dernières vont référencer des technologies de confiance et émettre des bonnes pratiques et directives à suivre pour des acteurs stratégiques comme pour les industriels.
Au regard de ces éléments, les industriels doivent veiller à se conformer à l’ensemble de ces agences et directives avant de s’équiper de technologies pour sécuriser leurs infrastructures et SI. Il convient donc d’étudier avec attention les solutions proposées sur le marché par les fournisseurs et s’assurer qu’elles soient bien conformes à ces orientations et réglementations.
Par Xavier FACELINA, CEO Seclab