Dans son point-presse du 8 juin sur le FIC à Lille, au milieu d’un bilan et d’un panorama de la situation préoccupante de la cybersécurité, Guillaume Poupard officialisait son départ prochain de l’Anssi. Il a fait au passage une annonce qui représente une bombe à retardement dans le secteur des sociétés de services numériques.
Cybersécurité : les entreprises de services numériques sous l’oeil de l’Anssi
Dans les coulisses européennes, des négociations ont eu lieu pour mettre à jour « NIS1 » , la directive Network and Information Security (NIS). « Un accord provisoire sur la révision de la directive NIS a été obtenu sur l’ensemble des dispositions normatives lors d’un trilogue politique le 12 mai dernier » nous a confirmé le service communication de l’Anssi.
Précisions : « L’échelon politique s’est ainsi accordé sur l’ensemble des points majeurs de la négociation ; la rédaction des considérants d’ordre technique ainsi que quelques articles qui dépendaient des arbitrages politiques, désormais obtenus, sera prochainement complétée. Extrêmement ambitieux, ce texte dédié à la cybersécurité est une avancée majeure pour la cybersécurité et la souveraineté numérique de l’Union européenne. Il s’agissait par ailleurs d’une des priorités législatives de la PFUE. Le texte devrait être finalisé avant fin juin, son adoption formelle n’étant possible qu’au 2e semestre. »
Un texte attendu pour fin juin, applicable au 2nd semestre
Le périmètre des sociétés sous la surveillance de la CNIL est étendu. Les nouveaux secteurs stratégiques sont l’espace et les entreprises de services numériques.
« Une catégorisation des entités comme “essentielles” ou “importantes” selon leur niveau de criticité, (mesures de sécurité, règles de supervision proportionnées et adaptées au niveau du risque) », précise l’accord.
Les administrations publiques entrent également dans le champ de la directive en tant qu’ « entités essentielles » (à l’exception des administrations relevant du champ purement régalien). Chaque Etat membre pourra également inclure ses administrations régionales, après avoir effectué une analyse de risque.
Obligations et sanctions
Les entreprises de services numériques étaient restées dans une forme de zone d’ombre alors qu’elles peuvent par rebond ou contagion transmettre des malware à leurs clients, a reconnu Guillaume Poupard lors de sa conférence de presse. Les attaques qu’ont subies Altran, Econocom ou Sopra-Steria entre autres ont été le déclencheur de cette révision de la directive.
On peut faire un parallèle avec le fait, qu’en 2021, l’Anssi avait étendu sa surveillance aux hôpitaux et CHU, après la vague de ransomwares de 2020 et 2021.
Les ESN sont d’autant plus sensibles que ces prestataires de confiance gèrent souvent les données, voire tout l’IT des entreprises.
Elles devraient donc dès l’application des textes dans l’Hexagone connaître les obligations suivantes :
-avertir l’autorité nationale cyber de tout incident majeur (dans les meilleurs délais et au plus tard sous 24h) ;
– adopter des mesures de sécurité de base : “pratiques d’hygiène cyber, d’analyse des risques, de gestion des incidents, de continuité des opérations et de sécurité de la chaine d’approvisionnement”
Le non-respect de ces mesures sera puni par une amende pouvant représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise. Seules les sociétés de plus de 50 employés sont concernées.
Un nouveau défi pour les milliers d’entreprises de services numériques, et aussi … pour l’Anssi !