A peine le RGPD est-il entré en application que les entreprises doivent déjà regarder la prochaine réglementation européenne : la directive NIS. La France vient de publier au JO les secteurs d’activité intégrant des opérateurs de service essentiel.

Vous avez aimé (ou détester) le RGPD, vous allez aimer (ou détester) NIS. La directive Network and Information Security pointe le bout de son nez en France et prévoit de renforcer la cybersécurité des opérateurs de service essentiel, ainsi que des fournisseurs de service numérique. Pour la France, cette directive s’inscrit dans la continuité de la loi de programmation militaire de 2013 créant les opérateurs d’importance vitale (OIV). La directive a été transposée en droit français à la fin février 2018.

La Premier ministre, Edouard Philippe, vient préciser une liste des secteurs d’activité concernés par NIS dans un décret publié au Journal Officiel. On retrouve bien évidemment les OIV comme les fournisseurs d’énergie, les transporteurs (ferroviaire, aérien), les banques, les assurances, etc. Mais d’autres secteurs vont être soumis à des contraintes supplémentaires en matière de sécurité. C’est le cas de la restauration où le décret cible les entreprises de restauration collective destinée aux secteurs de la santé, de l’enfance et de la détention pénitentiaire. Ces sociétés vont devoir protéger les services essentiels que sont la gestion des commandes et la gestion de l’approvisionnement, de la logistique, du stockage et de la distribution. Parmi les autres activités sensibles, on note les organismes sociaux chargés de veiller sur le calcul et paiement des prestations sociales (assurance maladie, vieillesse, allocations familiales et chômage) et la gestion du recouvrement et de la trésorerie des organismes sociaux.

Les fournisseurs de service numérique sur le grill

En dehors des opérateurs de service essentiel, la directive NIS renforce la cybersécurité des fournisseurs de service numérique. Derrière ce concept se cache les places de marché, les moteurs de recherche et les fournisseurs de cloud. Pour eux comme pour les opérateurs de service essentiel, la directive prévoit plusieurs obligations comme la sécurité des systèmes et des installations, la gestion des incidents et de la continuité des activités, le suivi, l’audit et le contrôle, ainsi que le respect des normes internationales.

Cette liste est une première étape, le Premier ministre désignera des opérateurs de services essentiels, avec les recommandations des ministères du secteur d’activité concerné et de l’ANSSI. L’agence nationale de la sécurité des systèmes d’information est au cœur du dispositif en élaborant des règles de sécurité qui définissent une méthodologie innovante pour la maîtrise du risque cyber basée sur une approche de management des risques. Elle axe ses efforts autour de la gouvernance, la protection et la défense des systèmes d’information, ainsi que la résilience des activités.