La législation sur la cybersécurité se renforce avec la nouvelle directive européenne sur la sécurité des réseaux et des systèmes d’information

Sur le blog IOS, nos articles consacrés aux cyberattaques ont porté principalement sur les vols, par des hackers, d’informations à caractère personnel et d’autres données personnelles à caractère sensible. Les nouvelles lois et règlementations faisant obligation de signaler les atteintes à des données, que nous commentons régulièrement, n’exigent de notification que lorsqu’il y a eu acquisition ou divulgation de données à caractère personnel par un utilisateur non autorisé. Pour parler simple : lorsqu’il y a vol de données.

Mais ces lois restent en partie défaillantes à deux titres.

D’une part, ces hackers peuvent subtiliser des données non couvertes par la règlementation, c’est-à-dire des données autres qu’à caractère personnel et pouvant inclure par exemple de la propriété intellectuelle d’entreprise, des e-mails sensibles écrits par le DG et autres informations exclusives de valeur. D’autre part, le réel objectif des agresseurs n’est pas tant de subtiliser des données que de semer la perturbation, par exemple en opérant par attaques massives des serveurs de l’entreprise pour les saturer (DoS) ou en détruisant d’importantes données système ou autres, en évitant les données à caractère personnel.

Que ce soit sous l’empire des lois fédérales américaines HIPAA et GLBA ou des lois sur les atteintes aux systèmes informatiques au niveau de chaque Etat, ou encore de la nouvelle règlementation GDPR de l’UE, aucun des deux types d’agressions mentionnées ci-dessus ne ferait règlementairement l’objet d’une notification aux autorités compétentes.

Le problème, c’est que les lois relatives au respect de la vie privée et à la préservation de la sécurité se focalisent sur les données et non sur les systèmes informatiques dans leur globalité. Maintenant, cela ne signifie pas non plus que les pouvoirs publics ne cherchent pas à légiférer dans ce champ plus large de la cybersécurité globale.

On ne s’est pas assez intéressé, récemment, à la directive sur la Sécurité des réseaux et des systèmes d’information, au Modèle de référence de la sécurité des infrastructures critiques américain (“Critical Infrastructure Security Framework”) ou aux initiatives du Canada en matière de cybersécurité et autres lois propres aux grands pays européens.

C’est ce qui motive l’écriture, de ma part, de ce premier article d’une série de billets consacrés aux règlementations sur la cybersécurité. Ce sont là des législations qui comptent et que les entreprises devraient mieux connaître. Dans un futur relativement proche, il ne suffira plus, du point de vue légal, de protéger certaines catégories de données. Les entreprises seront tenues de protéger l’intégralité de leurs systèmes informatiques et de signaler aux autorités compétentes les atteintes visant à perturber ou à neutraliser leur infrastructure informatique.

Un devoir de protection incontournable

Les lois et recommandations qui ont été promulguées dans ce domaine visent à préserver les infrastructures critiques – de télécommunication, financières, médicales, chimiques, de transport. La raison en est que les cybercrimes ou cyberdélits commis contre le réseau informatique de, par exemple, le barrage de Grand’Maison en France ou la Réserve fédérale américaine ne doivent pas être traités de la même façon qu’une attaque dont serait victime un site Web de rencontres.

Je ne suis pas en train de dire qu’une atteinte à tel ou tel système informatique n’est pas une infraction grave et potentiellement très coûteuse. Mais dans le cas de ces infrastructures critiques, dont l’attaque n’a pas de motivations financières, nous entrons dans le domaine du cyberespionnage ou du cyberterrorisme d’Etat.

En d’autres termes, des distributeurs de billets qui cessent d’en dispenser, un réseau de téléphonie mobile sur lequel les appels peuvent être coupés à tout moment, ou encore – Dieu nous en préserve ! – Google renvoyant des résultats de recherche erronés ou volontairement trompeurs, tous ces phénomènes peuvent être les symptômes du début d’une cyberguerre ou, à tout le moins, d’une cyberattaque d’Etat.

Il y a quelques mois, nous commentions un entretien entre le présentateur TV Charlie Rose et John Carlin, l’ancien procureur général adjoint du département de la Sécurité nationale du ministère de la Justice américain. La transcription (en anglais) de cet entretien est disponible via ce lien, et il est fort intéressant à écouter et à lire ; ou bien contentez-vous de rechercher le mot « attribution » (de la responsabilité de cyberattaques marquantes).

Ce qui en ressort principalement, c’est que Carlin indique et argumente que l’appareil de renseignement américain est de plus en plus compétent pour découvrir qui est responsable de ces cyberattaques. Au point que le ministère de la Justice se sent suffisamment éclairé sur ces affaires pour nommer publiquement ces responsables et pour les poursuivre. Au passage, rappelons que Carlin s’est occupé personnellement des hackers iraniens accusés d’intrusions dans les systèmes de certaines banques et d’un petit barrage situé près de New York. Heureusement, dans ce dernier cas, les vannes du barrage étaient encore commandées manuellement et non connectées à Internet.

Carlin juge qu’il est désormais pertinent de communiquer publiquement sur les actions en justice intentées contre des responsables nommément identifiés. Il y voit une tactique efficace de découragement susceptible d’éviter de futurs cyberincidents. Comme il le dit lui-même : « si vous en arrivez au point où vous êtes capable de désamorcer ces attaques, vous vous devez de faire savoir au monde entier que vous êtes en mesure d’identifier les agresseurs. »

Il y a donc tout lieu d’exiger des entreprises et des organismes publics qu’ils signalent toute cyberattaque aux autorités publiques compétentes, désormais capables de compiler toutes les informations utiles pour en avoir le cœur net et d’entreprendre différentes actions, y compris en justice, pour mettre en cause les responsables.

Première étape : la nouvelle directive européenne sur la sécurité des réseaux et des systèmes d’information

Comme dans le cas de la directive sur la protection des données, adoptée en 1995, l’UE a une fois de plus pris de l’avance sur les autres pays ou fédérations pour formaliser les obligations de déclaration des cyberincidents. La première mouture de sa nouvelle directive sur la Sécurité des réseaux et des systèmes d’information date de 2013, et son texte finalisé a été approuvé par le Parlement européen en juillet dernier.

Cette règlementation ayant désormais le statut de directive en vigueur, chaque Etat-membre de l’UE est tenu de la transposer dans sa législation nationale. Le délai pour s’y conformer est de deux ans. Et un délai supplémentaire de six mois est prévu pour que chaque Etat-membre sélectionne ses « opérateurs de services essentiels » (voir l’annexe II de la directive).

A l’article 14 de la directive, il est fait obligation auxdits opérateurs de services essentiels de prendre « des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ». Ils sont également tenus de notifier, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent à l’autorité compétente ou à un Centre de réponse aux incidents de sécurité informatique (CSIRT).

Des injonctions similaires sont faites à l’article 16 à l’intention des fournisseurs de service numérique, ce qui, dans le langage de l’UE recouvre le commerce électronique et les places de marché, les services informatiques sur le cloud et les services de recherche en ligne.

Les CSIRT jouent un rôle central dans le cadre de la directive sur la sécurité des réseaux et des systèmes d’information. Outre le recueil de toutes les données relatives aux cyberincidents, ils sont également chargés de surveiller et d’analyser les menaces au niveau national, d’émettre des alertes et des avertissements, et de partager leurs informations et leur connaissance pointue vis-à-vis de ces menaces avec les autres CSIRT. (Aux Etats-Unis, le plus proche équivalent est le service NCCIC du Département de la Sécurité intérieure.)

Dans le cadre de la directive sur la sécurité des réseaux et systèmes d’information, qu’est-ce qui peut être qualifié « d’incident » ?

Il s’agit de « tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ». Les entreprises désignées comme fournisseurs de services essentiels disposent ainsi d’une certaine marge de manœuvre concernant ce qu’ils sont tenus de signaler à un CSIRT. Pour qu’un incident puisse être dit avoir « un impact négatif réel » et, de ce fait, s’inscrire dans le champ des incidents qui doivent être signalés, l’entreprise doit considérer le nombre d’utilisateurs affectés, la durée de l’incident et sa couverture géographique.

Les opérateurs de services numériques essentiels doivent également prendre en compte l’effet de la perturbation sur les « fonctions économiques et sociétales ».

Est-ce qu’il faut en déduire qu’une attaque éventuelle contre, mettons, Facebook sur le territoire de l’Union européenne, qui entraînerait des perturbations des échanges de messages privés Messenger ou dans les publications sur les « murs » des utilisateurs devrait être signalée ?

Sans avoir de compétence juridique particulière, il me semble bien que les échanges via Facebook relèvent d’une « fonction sociétale critique ».

Eh oui, il y a des imprécisions dans le texte de la directive sur la sécurité des réseaux et des systèmes d’information, et des indications complémentaires de la part des autorités compétentes seront nécessaires.