Société de l’information : vers une généralisation du signalement des incidents de sécurité

L’Union européenne va adopter deux textes majeurs qui vont étendre et renforcer les responsabilités des entreprises et des acteurs du Net dans la société de l’information : la nouvelle directive « Cybersécurité » et le règlement « Protection des données personnelles ».

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

Les prochaines adoptions, d’une part, de la nouvelle directive
en faveur d’un niveau élevé commun de sécurité des réseaux
et systèmes d’information, et, d’autre part, du règlement général sur la protection des données personnelles confirment un renforcement de la cyber-responsabilité des entreprises à travers notamment une généralisation de l’obligation de signaler les incidents et violations de sécurité.

Dépendance critique
Les promesses et la pérennité même de la « société de l’information » promue au sein de l’Union européenne (UE) dépendent de la sécurité des technologies, systèmes et traitements d’information qui la sous-tendent et la structurent. Cette dépendance est critique, à mesure tout à la fois : de la vulnérabilité intrinsèque de ces dispositifs informatiques, de la vulnérabilité systémique résultant de l’interconnexion et de la sous-traitance en chaîne de ces dispositifs dans le cyberespace, de l’actuelle dépendance vis-à-vis des dispositifs de traitement et de sécurité étrangers, ainsi que des actes, menaces et enjeux démultipliés de cyberattaques. A quoi s’ajoutent la protection et
la transparence souvent insuffisantes des entreprises devant les incidents et violations de sécurité, et, enfin, la confiance nécessaire des citoyens-consommateurs dans cette société de l’information (1).
La législation européenne a déjà défini la notion et les risques, exigences et moyens génériques de sécurité (disponibilité, authenticité, intégrité et confidentialité) des réseaux et systèmes d’information (RSI), et a imparti différentes obligations de sécurité pour les opérateurs de communications électroniques et pour les responsables de traitements de données à caractère personnel. La directive sur la sécurité des réseaux et systèmes d’information (SRI) et le règlement général sur la protection des données personnelles viendront étendre et renforcer ces obligations, et en forcer le respect par une généralisation de l’obligation de signaler les incidents et violations de sécurité et des sanctions dissuasives en cas de manquement.

C’est en février 2013 que la Commission européenne a présenté une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de SRI dans l’UE (directive dite « Cybersécurité »). Un accord « trilogue » (2) est intervenu en décembre dernier sur un texte sensiblement remanié (3).
Cette proposition de directive « SRI » s’inscrivait dans la continuité des travaux et des actes européens poursuivis depuis 2001 (voir encadré page suivante). Elle visait en particulier à établir des exigences élevées et communes de SRI pour les « acteurs du marché » concernés, recouvrant à la fois les prestataire de services de la société de l’information – tels que les services d’informatique en nuage, ou les moteurs de recherche comme Google ainsi que les plateformes de e-commerce comme eBay
ou Amazon – et les opérateurs d’infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales à identifier dans les domaines de l’énergie, des transports, des services bancaires, des bourses de valeur et de la santé – sous le contrôle dans chaque Etat membre de l’autorité compétente en matière de SRI. Cette proposition prévoyait notamment l’obligation pour ces acteurs de notifier à l’autorité
« les incidents qui ont un impact significatif sur la sécurité des services essentiels
qu’ils fournissent » avec pouvoir de l’autorité d’« informer le public, ou demander
[aux acteurs] de le faire, lorsqu’elle juge qu’il est dans l’intérêt général de divulguer
les informations relatives à l’incident ».

Opérateurs d’importance vitale
Cette proposition « SRI » de 2013 était fortement soutenue et inspirée par la France dans la continuité de ses préoccupations et de sa stratégie de défense et de sécurité des systèmes d’information des infrastructures nationales devant la menace majeure des cyberattaques, et de son propre dispositif – adopté dans sa loi de programmation militaire de décembre 2013 (4) – de cyber-protection des opérateurs répertoriés d’importance vitale (OIV), placé sous l’autorité du Premier ministre et de la direction
de l’Agence nationale de défense des systèmes d’information (Anssi) (5).
L’accord trilogue intervenu en décembre 20015 a sensiblement remanié le schéma
de la proposition. Il établit deux régimes de réglementation et de contrôle SRI. L’un concerne les « opérateurs de services essentiels » à identifier par chacun des Etats membres dans les secteurs de l’énergie, des transports, des services bancaires,
des marchés financiers, de la santé, de l’eau et des infrastructures numériques, caractérisés par leur rapport direct avec des infrastructures physiques. L’autre
concerne les « fournisseurs de services numériques » génériquement et limitativement appréhendés dans les domaines des places de marché en ligne, des moteurs de recherche et des services d’informatique en nuage ou cloud, également regardés comme critiques mais différenciés par leur nature transfrontière et internationale.

Responsabilités renforcées
Les opérateurs de services essentiels désignés et les fournisseurs de services numériques concernés devront notifier sans délai indu les incidents de SRI ayant un impact significatif ou substantiel sur la continuité de leurs services, avec information du public en cas de nécessité et après consultation. Les contrats de prestation conclus par ces opérateurs avec ces fournisseurs devront être soigneusement examinés. En effet, ces opérateurs seront seuls responsables de la notification des incidents affectant la continuité de leurs services causés par des incidents survenus chez ces fournisseurs-prestataires. Enfin, les entreprises non visées pourront volontairement notifier leurs incidents de SRI.
Quant au règlement général de protection des données personnelles (6), à intervenir prochainement à la suite de l’accord trilogue également trouvé en décembre dernier,
il viendra encore étendre et renforcer les responsabilités de SRI eu égard à la capacité des failles et incidents de SRI à affecter la sécurité des traitements et des données.
En effet, outre un renforcement des obligations propres à la sécurisation des traitements, il impartit à l’ensemble des entreprises responsables de traitement, sous peine de sanctions devenant très dissuasives de manquement, de dépister et conserver la trace documentaire de toute violation de données personnelles, et de notifier à l’autorité nationale compétente (en France la Cnil), sans retard indu et si possible sous 72 heures, toute violation constatée susceptible de présenter un risque pour les droits et libertés des personnes concernées, avec information de ces dernières en cas de risque élevé et non contrecarré.
La conformité « SRI » s’impose comme un facteur critique de responsabilité administrative, pénale, contractuelle et quasi-délictuelle (et d’assurance), de crédibilité, de réputation et de différenciation compétitive dans la société de l’information. @

ZOOM

Proposition de directive « SRI » : 15 ans de gestation
Depuis 2001, des travaux et des actes se sont enchaînés au niveau européen au nom de la sécurité des réseaux et de la cybersécurité. Parmi eux :
• La communication de juin 2001 invitant à une approche politique européenne en matière de SRI ;
• La directive 2002/21/CE de mars 2002 soumettant les opérateurs de communications électroniques à des mesures pour assurer la sécurité/intégrité de leurs réseaux et services ;
• Le règlement 460/2004 de mars 2004 instituant une Agence européenne chargée de la SRI (Enisa) et apportant premières définitions des systèmes d’information, des exigences génériques de SRI, des risques de SRI et de la SRI ;
• Le livre vert de novembre 2005 pour un programme européen de protection des infrastructures critiques (IC) mentionnant les technologies de l’information (TIC) ;
• La communication de mai 2006 proposant une stratégie pour une société de l’information sûre ;
• La directive 2008/114/CE de décembre 2008 relative au recensement et à la désignation des IC européennes soulignant l’intérêt d’examiner une inclusion des TIC ;
• La communication de mars 2009 concernant la protection des infrastructures d’information critiques (IIC) soulignant la criticité de certaines infrastructures TIC (7) et envisageant à cet égard de les soumettre à l’obligation de notification des incidents de sécurité concomitamment proposée pour les opérateurs de communications électroniques ;
• La proposition de septembre 2010 de directive relative aux attaques contre les systèmes d’information (dite « cybercriminalité ») qui aboutira à la directive 2013/40/UE d’août 2013 établissant infractions pénales communes d’accès illégal à des systèmes d’information, d’atteinte illégale à l’intégrité d’un système d’information, d’atteinte illégale à l’intégrité des données et d’interception illégale, et recommandant, pour renforcer la sécurité, des mesures incitant à notifier les failles de sécurité ;
• La directive 2009/140/CE de novembre 2009 (modifiant la directive 2002/21/CE) soumettant les opérateurs de communications électroniques à l’obligation de notifier à l’autorité nationale compétente « toute atteinte à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services » avec pouvoir de l’autorité d’« informer le public ou exiger des entreprises qu’elles le fassent dès lors qu’elle constate qu’il est d’utilité publique de divulguer les faits » ;
• La communication de février 2013 sur la stratégie de cybersécurité de l’UE introduisant notamment la proposition de directive SRI présentée à cette même date. @