Sécurité informatique : un droit en formation accélérée
Quelles sont les obligations formelles des entreprises en matière de sécurité informatique ? Elles existent mais sont souvent à la fois impératives et bien floues.
PublicitéIl y avait le droit « mou », il y a maintenant le droit « flou ». Le droit mou est constitué de toutes ces « recommandations », « lignes directrices », etc., émanant d'autorités administratives, la Cnil par exemple, qu'il est conseillé de suivre sans que cela soit vraiment obligatoire. Face à sa croissance incontrôlée, le phénomène avait eu la faveur d'un rapport du Conseil d'Etat en 2013.
On pourrait dire, par analogie, que le droit « flou » est constitué de règles qu'il est obligatoire de suivre mais dont on ne connait pas précisément le contenu... Malheureusement, le droit flou est lui aussi en extension.
La sécurité informatique a la faveur récente du droit « flou ».
En mai 2018, deux textes européens entreront en applications : le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et la directive 2016/1148 adopté le 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (NIS).
Ces deux textes viennent faire porter sur les entreprises une responsabilité nouvelle en matière de sécurité de leur système d'information. Jusqu'alors réservé aux opérateurs d'importance vitale (OIV), le droit de la sécurité informatique a vocation à s'étendre rapidement à toutes les entreprises. Mais commençons par les règles de sécurité applicables aux OIV qui ont été fixées cet été.
Le régime juridique de la « cybersécurité » des OIV complété
A l'été dernier, 3 arrêtés ministériels sont venus compléter le dispositif légal organisant les obligations des opérateurs d'importance vitale en matière de sécurité informatique. Les opérateurs d'importance vitale (OIV) sont des entreprises publiques ou privées dans les secteurs suivants : santé, gestion de l'eau, alimentation, énergie, communications électroniques, audiovisuel et information, transports, finances, industrie qui, de par leur importance stratégique pour le pays, sont soumises « à leurs frais » à des obligations renforcées notamment en matière de sécurité de leur système d'information. Les OIV sont désignés par acte réglementaire et leur liste exacte est tenue secrète. Ils sont aujourd'hui environ 200.
Depuis la loi de programmation militaire de 2013, les OIV sont tenus de suivre les règles de sécurité nécessaires à la protection de leurs systèmes d'information et de se soumettre à l'inspection de l'ANSSI (Art. L1332-6-1 du code de la défense nationale). Les règles de sécurité en question ont été définies récemment, par trois arrêtés des 10 juin, 17 juin et 11 août pris respectivement pour les OIV des secteurs de la santé, alimentation et transport terrestres.
PublicitéSi ces arrêtés n'ont vocation à s'appliquer qu'aux OIV, ils peuvent être instructifs pour toutes les entreprises qui vont voir arriver à l'horizon 2018 des obligations assez similaires les concernant.
Chacun de ces trois arrêtés détaille de manière précise, dans une annexe, l'ensemble des mesures techniques et organisationnelles que les entreprises doivent prendre en matière de sécurité de leur SI.
Les OIV doivent d'abord dresser la cartographie de leurs systèmes d'information d'importance vitale, la tenir à jour et la fournir à l'ANSSI.
Ils doivent définir et tenir à jour une PSSI approuvée par la direction de l'entreprise. La mise en oeuvre de cette PSSI doit faire l'objet d'un rapport annuel à la direction.
L'OIV doit procéder à « l'homologation » de son SI. En réalité, il s'agit d'une « auto » homologation. En effet, l'homologation est une décision formelle prise par l'opérateur, à la suite d'un audit de sécurité, qui atteste que les risques pesant sur la sécurité de son système ont été identifiés et que les mesures nécessaires pour le protéger, sont mises en oeuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'opérateur.
Les arrêtés, qu'il est impossible de présenter ici dans le détail compte tenu de leur niveau de précision, fixent également des règles en matière d'authentification et de journalisation des accès au SI, d'analyse des logs, de système de détection d'intrusion, de traitement des incidents et alertes de sécurité, de comptes d'administration, de cloisonnement des applicatifs, etc.
Ces dispositions sont entrées en vigueur le 1er octobre. Au-delà de leur caractère maintenant obligatoire pour les OIV concernés, elles peuvent aussi servir de référentiel pour toutes les entreprises qui recherchent une mise en conformité de la sécurité de leur SI par rapport à ce qui constitue maintenant « l'état de l'art » juridique en la matière. Ces règles sont également intéressantes en ce qu'elles préfigurent les contraintes qui pèseront bientôt sur les entreprises dans le cadre de la transposition de la directive NIS.
Les futures obligations de sécurité des « fournisseurs de services numériques »
La directive NIS part du constat qu'il existe une disparité importante parmi les Etats membres en matière d'organisation de la lutte contre les cybermenaces mais que, dans le même temps, la dépendance aux réseaux et systèmes d'information de tous les secteurs de l'économie et de la société européenne est aujourd'hui critique. Cette disparité nuit au niveau global de la sécurité des réseaux et des systèmes d'information dans l'Union Européenne.
La directive entend d'abord harmoniser sur un socle minimum l'ensemble des réglementations prises au niveau national pour assurer la « cybersécurité » des opérateurs de services essentiels. La France était déjà bien dotée en la matière avec l'ensemble des règles entourant les OIV.
Mais ce qui retiendra notre attention ici est l'extension du champ d'application des obligations de sécurité aux « places de marché en ligne », « moteurs de recherche en ligne » et « services d'informatique en nuage » (SIC).
Ces « fournisseurs de service numérique » doivent : « identifier les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent » ; « prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer » et « [prendre] des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d'information et réduire au minimum l'impact de ces incidents sur les services ».
Ces mesures doivent « [garantir], compte tenu de l'état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information adaptée au risque existant et [prendre] en considération les éléments suivants : la sécurité des systèmes et des installations ; la gestion des incidents ; la gestion de la continuité des activités ; le suivi, l'audit et le contrôle ; le respect des normes internationales ».
On est frappé par la généralité, pour ne pas dire la banalité, des termes employés par la directive NIS. Gageons que la grande majorité des entreprises concernées n'a pas attendu ce texte pour veiller à la sécurité de leurs systèmes dans les termes prévus par la directive.
Le texte opère une forme de « renversement de la charge de la preuve » du non-respect de la loi. Lorsqu'une entreprise ne respecte pas une obligation légale, il appartient à l'autorité qui la contrôle de prouver qu'elle est en défaut. Avec les dispositions du type de celles de la directive NIS, il appartient à l'entreprise de se préconstituer la preuve de ce qu'elle a mis en place les mesures destinées à la protection de son système d'information. Mais quelles mesures plus précisément ? Espérons que la loi française de transposition de la directive saura être plus précise pour fournir les règles de comportement attendues des entreprises, comme cela est le cas pour les OIV depuis les arrêtés de l'été 2016.
Car les autorités compétentes (l'ANSSI en France) pourront prendre des mesures, au besoin dans le cadre de mesures de contrôle a posteriori, lorsqu'un fournisseur de service numérique ne satisfait pas aux exigences qui viennent d'être présentées. Elles pourront imposer aux fournisseurs de service numérique de communiquer les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité et de corriger tout manquement aux obligations fixées. Faudrait-il qu'une entreprise se fasse contrôler pour savoir plus précisément ce que l'on attend d'elle ?
Les fournisseurs de service numérique auront également l'obligation de notifier à l'autorité compétente, en France l'ANSSI, tout incident ayant un impact significatif sur la fourniture d'un service. Voici une obligation de notification qui viendra en chevauchement de celle prévue par le RGDP.
La sécurité du SI également au menu du RGDP
Les données personnelles doivent être traitées de façon à en « garantir une sécurité appropriée ». Le RGDP consacre son article 32 à cette question, une nouvelle fois en des termes à la consistance normative assez floue : « Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
De surcroît, lorsqu'un traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques », le responsable du traitement doit effectuer une « analyse de l'impact ».
Cette analyse d'impact, aux contenu et contour imprécis doit contenir « les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel ».
La sécurité informatique, au-delà des moyens et techniques employés pour la garantir, va devenir un nouveau terrain pour la rédaction d'une littérature technico-juridique (« procédures », « politiques », « étude d'impact », etc.) dont l'objet est moins d'atteindre la sécurité recherchée que de prouver qu'on s'y essaye.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire