Plusieurs cadres réglementaires comme la directive NIS2 ou le règlement DORA sont déployés pour répondre aux menaces cyber. Pour mieux comprendre la nouvelle architecture réglementaire, Solutions Numériques & Cybersécurité s’est entretenu avec Myriam Quéméner, magistrat honoraire, experte auprès du Conseil de l’Europe et docteur en droit. Elle vient également de publier “Hacker éthique et cybersécurité : opportunités et défis” (éd. LGDJ Gualino, 2024).
SNC – Comment évaluez-vous l’évolution des cadres juridiques en France et en Europe pour répondre aux menaces cyber ?
Myriam Quéméner – La réglementation en matière de lutte contre les cybermenaces, aussi bien en France qu’en Europe, s’adapte à l’ampleur de ce fléau. Désormais, non seulement les entreprises, mais également les collectivités territoriales, les hôpitaux et les particuliers sont victimes d’attaques numériques.
Cette évolution, bien que le grand nombre de textes rende parfois leur lisibilité complexe, poursuit un objectif clair : renforcer la cybersécurité par la prévention pour anticiper les attaques, protéger les citoyens en restaurant la confiance, et sanctionner les acteurs qui ne respectent pas les nouveaux cadres juridiques.
Elle vise également à renforcer la résilience de l’Europe face aux cybermenaces et à garantir que tous les citoyens et entreprises puissent bénéficier pleinement de services et d’outils numériques fiables et dignes de confiance.
Ces textes sont-ils suffisamment adaptés à la réalité des cyberattaques ?
Ces réglementations sont pertinentes, mais leur mise en œuvre intervient souvent après un processus d’élaboration trop long, alors que les modes opératoires des cybercriminels évoluent de manière fulgurante, en particulier avec l’utilisation de l’intelligence artificielle par ces derniers.
Je pense qu’il est nécessaire d’accélérer les processus afin d’adopter des textes plus rapidement et de mieux répondre à la menace en temps réel.
Je pense qu’il est nécessaire d’accélérer
les processus afin d’adopter des textes plus rapidement et de mieux répondre à la menace
en temps réel.
Quels sont, selon vous, les défis majeurs dans la coordination entre différents pays sur les questions de cybersécurité ?
Les cyberattaques étant souvent lancées depuis l’étranger, parfois depuis l’autre bout du monde, la coopération internationale et bilatérale est essentielle.
Cette coopération se renforce avec le temps, mais elle reste fragile, notamment en fonction des contextes politiques des pays et des conflits, comme ceux liés aux guerres qui ont resurgi ces dernières années.
La cybercriminalité étant transnationale, avec des cybercriminels très mobiles et des outils numériques facilitant cette internationalisation, il est crucial de développer une véritable cyberdiplomatie. Celle-ci est en cours de structuration au niveau européen, mais elle doit constamment être renforcée.
Il est crucial de développer une véritable cyberdiplomatie.
Les entreprises ont des obligations croissantes en matière de cybersécurité. Quelles sont les responsabilités des dirigeants en cas de manquements ou de violations ?
La directive NIS2 et d’autres réglementations prévoient la responsabilité des dirigeants en cas de non-respect des exigences en matière de cybersécurité.
La loi de transposition de la directive NIS2 prévoit une responsabilité pénale ou civile à l’égard des personnes physiques chargées de veiller à la conformité d’une entité avec cette directive. Ces personnes peuvent être tenues responsables des dommages subis par des tiers en cas de violation des dispositions.
De plus, l’autorité compétente pourra demander aux organes ou aux juridictions d’interdire temporairement à une personne exerçant des fonctions dirigeantes, telles que directeur général ou représentant légal, d’assumer ces responsabilités dans une entité essentielle.
Quant au règlement DORA, il ne prévoit pas directement de sanctions en cas de non-respect, mais laisse aux pays membres la liberté d’en instaurer au niveau national. Il est probable que la France adopte des mesures similaires à celles appliquées par la CNIL dans le cadre du RGPD, pouvant aller jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires annuel mondial.
Il est probable que la France adopte des mesures similaires à celles appliquées par la CNIL dans le cadre du RGPD,
