Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 345

doctrine

cybersécurité

La directive SRI :
vers un cadre harmonisé ?

A

près trois ans de négociations, le Parlement européen et le Conseil de l'Union
européenne ont adopté le
6 juillet 20161 la directive concernant des
mesures destinées à assurer un niveau
élevé commun de sécurité des réseaux et
des systèmes d'information dans l'Union,
dite « Directive SRI » ou bien « Directive
NIS ». S'agissant d'une directive et non
d'un règlement, sa transposition dans les
droits nationaux de chaque Etat membre
devra intervenir avant le 9 mai 2018.
Notons que cette date est déjà bien
connue des praticiens : il s'agit également
de l'entrée en application du Règlement
général sur la protection des données2.
En d'autres termes, les prochaines procédures de mise en conformité devront
concerner tant la sécurité que la protection des données.

Une volonté européenne de
renforcer la coopération entre
Etats membres, institutions et
acteurs économiques
Cette directive illustre la volonté de
l'Union européenne de mettre en place
une véritable stratégie pour un marché
unique numérique3 ainsi qu'un cadre
juridique en matière de cybersécurité.
Ainsi, indépendamment de lutter contre
la cybercriminalité4, la Commission
européenne souhaite créer un environnement numérique de confiance et fiable
pour la réalisation du commerce international des services. Force est de constater
que cette directive s'inscrit dans le mouvement initié par la Commission depuis
dix ans, qui rappelait déjà en 2006 que
« la disponibilité, la fiabilité et la sécurité
des réseaux et des systèmes d'information sont de plus en plus primordiales
pour nos économies et pour la structure
et la cohésion de la société »5.
Cette volonté d'avoir un environnement
digital fiable et sécurisé6 est renforcée
par les récents chiffres communiqués
par la Commission européenne6, « au
moins 80% des entreprises européennes
ont connu au minimum un incident lié

Un cadre juridique destiné à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d'information dans l'Union,
à l'horizon 2018
à la cybersécurité au cours de l'année
écoulée et le nombre d'incidents de
sécurité tous secteurs confondus dans le
monde a augmenté de 38% en 2015 ».
Malgré l'existence de l'ENISA (agence
européenne chargée de la sécurité des
réseaux et de l'information) qui émet
des recommandations et assiste les Etats
membres dans la mise en œuvre de
solutions de cybersécurité, aucun cadre
commun n'était prévu et ces enjeux
étaient traités à l'échelle nationale.
Les entreprises étaient donc confrontées
à un patchwork de réglementations nationales, avec toute l'insécurité juridique
que cela entraîne. A titre d'illustration, en
ce qui concerne les obligations de notification des failles de sécurité impliquant
des données à caractère personnel, on
constate une grande diversité. Ainsi, en
France ou en Pologne, des obligations de
notification existent pour certains acteurs
(opérateurs de télécommunication, etc.).
En Italie, les obligations de notification
s'imposent en cas de fuite de données de
santé et/ou biométriques. Au RoyaumeUni ou en Irlande, ces notifications sont
recommandées par les autorités mais ne
sont pas imposées par la loi. En outre, les
modalités de notification sont loin d'être
identiques. Dans ce contexte, la directive insiste sur la nécessaire coopération entre les autorités compétentes, à
l'échelle nationale et européenne, afin
de lutter contre les risques et les incidents
touchant les réseaux et systèmes d'information. Le rôle de l'ENISA sera ainsi
renforcé, il lui sera notamment demandé
de mettre son expérience à contribution
en tant que conseil des autorités. Autre
création européenne mise à l'honneur, le
Centre européen de lutte contre la cybercriminalité au sein d'Europol avec lequel
les autorités devront échanger.
Chaque Etat membre devra par ailleurs
désigner une ou plusieurs autorités nationales et mettre en place une stratégie
pour gérer les cybermenaces. En France,
l'Agence nationale de la sécurité des
systèmes d'information (Anssi) sera en
charge de « piloter la transposition »8 et
sera certainement « le point de contact

EXPERTISES OCTOBRE 2016

unique »9 en matière de sécurité des
réseaux et des systèmes d'information.

Les nouvelles obligations en
matière de sécurité
La directive définit deux notions importantes, à savoir les opérateurs fournissant des services essentiels et les
fournisseurs de services numériques.
Par « opérateur fournissant des services
essentiels », les institutions européennes
entendent toute entreprise qui joue un
rôle important pour la société et l'économie, et qui évoluerait dans les secteurs
suivants : l'énergie (électricité, pétrole et
gaz), les transports (aérien, ferroviaire,
par voie d'eau et routier), les services
bancaires (établissements de crédit), les
infrastructures de marchés financiers
(plateformes de négociation, contreparties centrales), la santé (prestataires de
soins de santé) ou encore l'eau (fourniture
et distribution d'eau potable)10. Les Etats
membres doivent identifier quelles seront
les entités qualifiées comme telles11,
dans un délai de six mois à compter du
9 mai 2018, date à laquelle ils devront
avoir transposé la directive. Les trois
critères d'identification de ces opérateurs
sont la fourniture d'un service essentiel
au maintien d'activités sociétales et/ou
économiques critiques ; la fourniture de
ce service étant tributaire des réseaux et
des systèmes d'information ; et tout incident aurait un effet disruptif important
sur la fourniture dudit service.
Il est probable que les autorités françaises s'appuient sur le cadre déjà mis
en place, relatif aux Opérateurs d'importance vitale (OIV) que l'on considère
comme des infrastructures critiques. En
France, il y en a environ 150 OIV dans sept
secteurs dont l'alimentation, la gestion de
l'eau ou encore l'énergie. En effet, la loi
de Programmation militaire adoptée en
201312 renforçait déjà les obligations de
sécurité concernant les systèmes d'information des OIV, en mettant à leur charge
les obligations de notifier les incidents. Le
champ d'application de la directive est
donc plus large que celui couvert par la
loi de programmation militaire.

345



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417

Couverture
Editorial & Sommaire
MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
DOCTRINE
CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 316
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 317
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 318
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 319
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 320
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 321
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 322
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 323
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 324
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 325
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 327
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 328
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 329
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 331
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 332
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 333
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 334
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 335
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 337
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 338
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 339
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 340
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 341
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 342
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 343
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 344
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 346
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 348
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 349
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 351
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 352
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com