[cyber-sécurité] loi n°2018-133 du 26 février 2018 « sécurité des réseaux et systèmes d’information »

[mis à jour le 10 novembre 2018] Si vous n’avez pas encore entendu parler de la loi « sécurité des réseaux et systèmes d’information », c’est normal. La loi n°2018-133 a été publiée au JO ce mardi 27 février 2018. Il s’agit de la transposition en droit français d’une directive UE (n°2016/1148 du 6 juillet 2016) « concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et systèmes d’information » dans l’UE. Pour faire court, cette Directive est connue sous l’acronyme « NIS » pour « network and information system security« . C’est l’obligation de sécurisation des systèmes d’information numérique pour certains opérateurs « Essentiels » ou importants. 

[mise à jour du 17 octobre 2018] Pour une étude complète (Directive + loi française + décret + arrêtés de 2018) du régime applicable aux Opérateurs de Service Essentiel, cliquez sur « Opérateurs de Service Essentiel » : vous accèderez à ma nouvelle présentation en BD sur le sujet.

 


Pour mon étude (toujours en BD) de la seconde partie de la loi SRSI dédiée aux Fournisseurs de Service Numérique, il faudra attendre le 20 novembre 2018 et alors, vous pourrez cliquer sur « Cyber-Sécurité des systèmes d’information les Fournisseurs de Service Numérique« .


[27 février 2018] Vous trouverez juste en dessous mes premiers commentaires « à chaud » lors de la publication de la loi en février 2018.

Nous, les Frenchies, sommes en terrain (un peu) connu puisque cette Directive européenne s’inspirait de notre législation bleu blanc rouge sur les « Systèmes d’information d’Importance Vitale« .

sécurité des réseaux et systèmes d'information


Alors, pourquoi ENCORE une loi pour protéger les systèmes d’information ? 

Et bien, la France (pour des raisons de souveraineté numérique nationale, il faut le rappeler) avait décider de protéger certains systèmes d’information critiques via la Loi de Programmation Militaire (ou LPM) n°2013-1168 du 18 décembre 2013… Si la France avait compris l’impératif de sécurisation de certains systèmes vitaux, ce n’était pas le cas de tous les pays de l’UE. Voila l’objectif de la Directive n°2016-1148. 

Donc, pour la France, cette Directive est l’occasion d’imposer à d’autres « opérateurs » (un peu important pour je cite « la société et l’économie« ) des obligations élémentaires de sécurité numérique (informatique, ça fait trop années 90..). D’ailleurs, la loi du 26 février 2018 s’applique expressément à des « Opérateurs » qui ne sont pas classés « d’Importance Vitale » (art.5 al.2), ou s’ils sont « O.I.V.« , pas à la partie de leur système d’information classée « d’Importance Vitale« . Vous suivez toujours ?

Voyons brièvement les chapitres 1 à 3 de cette loi relative à la sécurité des réseaux et systèmes d’information (qui fera certainement bientôt l’objet d’une présentation en BD).


cyber-sécurité des réseaux et systèmes d’information : « réseaux de communications électroniques » & « dispositifs de traitement automatisé de données numériques »


Le chapitre 1 de la loi n°2018-133 traite des « réseaux de communications électroniques » et des « dispositifs de traitements automatisés de données numériques » (ça demarre fort…).

La définition des « réseaux de communications électroniques » renvoie à celle fixée dans le Code des postes et des communications électroniques (art.L.32). Pas de nouveauté donc. 

Beaucoup plus interessant, les « traitements automatisés de données numériques » sont définis comme « tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d’un programme« … un traitement automatisé de données numériques ! Cela concerne donc TOUS les éléments matériel et logiciel qui traitent des data numériques, qu’il s’agisse ou non de « données à caractère personnel« , sans se référer à la notion de « système de traitement automatisé de données » prévue aux articles 323-1 à 323-3 de notre Code pénal.

sécurité des réseaux et systèmes d'information


Quelles sont les « données numériques » concernées ? TOUTES les data « stockées, traitées, récupérées ou transmises » dans un « réseau de communications électroniques » ou dans un « dispositif de traitements automatisés de données numériques« . Difficile de faire plus large (et plus agréable à lire…).

Même la notion de « sécurité » est précisée dans l’article 1er de la loi n°2018-133 : il s’agit de la « capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement…« . Tiens, tiens… cette définition rappelle étrangement certains éléments de rédaction du projet « e-Privacy » v2 du 20 octobre 2017 sur la vie privée et les communications électroniques

sécurité des réseaux et systèmes d'information


L’article 2 de la loi n°2018-133 précise (curieusement) d’abord ceux des opérateurs qui échappent aux obligations de sécurité des réseaux et des systèmes d’information :

– les « opérateurs » au sens de l’art.L.32-15° CPCE « pour leurs activités liées à l’exploitation de réseaux de communications électroniques ou à la fourniture de services de communications électroniques« . Si vous n’avez pas deja cliqué sur le lien http, sachez qu’un « opérateur » au sens de l’art.L.32-15° CPCE désigne « toute personne… exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques« . Ah, cette définition là, on la trouvait dans l’Ordonnance de 2011 qui définissait légalement en France les « violations » de données à caractère personnel.

sécurité des réseaux et systèmes d'information


Bref…

– sont également exclus des impératifs de la loi n°2018-133 les prestataires de confiance qui délivrent (notamment) les certificats de sécurité… Ce sont les prestataires visés par un autre Règlement UE dit « eIDAS » n°2014/910 du 23 juillet 2014 « sur l’identification électronique et les services de confiance pour les transactions électroniques » (oui, oui, respirez…) 

– enfin, les « opérateurs de services essentiels » ne sont pas concernés par les articles 1 à 4 du chapitre 1er de cette loi (c’est simple, non ?), dans la mesure où ils sont régulés par le chapitre 2 (de cette même loi)…


quelle obligation de cyber-sécurité pour les « réseaux de communications électroniques » et les « dispositifs de traitement automatisé de données numériques » ?

Rien de concret dans la loi !!! (tout ça pour ça…) Il faudra attendre les décrets… « au plus tard le 10 mai 2018 » nous promet l’article 4 de la loi n°2018-133… 

[mise à jour du 28 mai 2018] Avec juste deux semaines de retard… décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique . 

Bien… passons aux « opérateurs de services essentiels » qui représentent la grande nouveauté de cette Directive transposée. C’est le chapitre 2 « Dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels« . Si le titre est long, il a le mérite d’être clair.


cyber-sécurité des réseaux et systèmes d’information : les « Opérateurs de Services Essentiels » (OSE)

Nous avons une définition légale (c’est déjà pas mal). Ce sont « Les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services… ».

Vous voulez du concret ? Et bien une fois encore, il va falloir attendre les décrets… puisque ces opérateurs « sont désignés par le Premier ministre » (par l’ANSSI par délégation). La bonne nouvelle, c’est que nous devrions disposer d’une liste… La mauvaise nouvelle, c’est qu’il va falloir attendre, non pas jusqu’au 10 mai 2018 (comme pour l’article 4) mais « au plus tard le 9 novembre 2018« . Pourquoi cela ? Parce que c’est précisé à l’article 25 « dispositions transitoires » de la loi n°2018-133… 


quelle obligation de sécurité pour les « Opérateurs de Services Essentiels » ?

L’article 6 de la loi n°2018-133 ne fixe que quelques principes, le détail devant arriver par voie de décret préparé par l’ANSSI… C’est à se demander pourquoi l’Assemblée nationale et le Sénat ont mis autant de temps pour adopter ce texte…

Les entreprises qui seront classées « O.S.E. » seront ravies d’apprendre que la mise en place des mesures obligatoires de sécurité sera à leurs frais exclusifs (comme pour les O.I.V.). Oui, il va falloir dépenser des sous pour sécuriser vos logiciels / sites web / services SaaS / etc.

« Les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information » devront, je cite la loi 2018-133, « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances« . A part l’ajout du terme « existant« , on croirait lire l‘article 32 GDPR (en version light tout de même) sur l’obligation de sécurisation des traitements de données à caractère personnel.

sécurité des réseaux et systèmes d'information


Le décret de l’ANSSI devra préciser les « mesures appropriées » (merci la GDPR) « pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d’information utilisés pour la fourniture des services essentiels ou pour en limiter l’impact afin d’assurer la continuité de ces services essentiels« . Ah, enfin, on parle de prévention ! La notion de « continuité » des services essentiels renvoie encore à l’article 32.1 GDPR qui oblige les entreprises à garantir « b) …la disponibilité et la résilience constantes des systèmes et des services de traitement et c) …la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique« .

Rien de bien nouveau sous le soleil, donc ? Ben si… L’obligation de sécurisation s’impose à TOUTES les data numériques, « à caractère personnel » ou non. C’est donc bien une obligation générale de sécurisation des data qui s’impose à certains opérateurs « sensibles ». Et ça, c’est franchement nouveau !

Et comme dans la GDPR, il y a obligation de « remonter » à l’ANSSI « les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels » (art.7 I loi n°2018-133). Comme l’obligation de notifier les failles de sécurité / fuites de données à la CNIL (art. 33 GDPR).

sécurité des réseaux et systèmes d'information


Heureusement, ne devront pas faire l’objet d’un signalement à l’ANSSI TOUS les incidents, mais seulement ceux qui auront (je cite encore) « un impact significatif sur la continuité de ces services« . « Significatif » ? dans le Larousse en ligne, ça veut dire « clair / expressif / marquant »

Je vous passe le reste des détails des articles 5 à 8 de la loi n°2018-133… Ah, si, j’oubliais… les sanctions…


la sanction du non-respect des obligations de cyber-sécurité des réseaux et systèmes d’information

ATTENTION !!! Sont menacés d’amende les « dirigeants » des opérateurs de service essentiels, pas les personnes morales ! Les amendes vont de 75.000 à 125.000 €uros. ça ressemble fortement à de l’amende pénale, ce n’est donc pas déductible des impôts pour ceux qui seraient condamnés (vérifiez avec un fiscaliste tout de même…). Aucune peine de prison n’est prévue (histoire de voir le verre à moitié plein).

Allez, on termine avec le chapitre 3 sur la « sécurité des réseaux et systèmes d’information des fournisseurs de service numérique« .


cyber-sécurité des réseaux et systèmes d’information des « Fournisseurs de Service Numérique » (FSN)

Oui… encore une définition nouvelle… les « fournisseurs de service numérique« . Depuis le temps qu’on réclamait l’usage légal du terme « numérique », on peut dire que nous sommes servis avec la loi n°2018-133… Alors ?

Un « service numérique » ? c’est (article 10 loi n°2018-133) un « service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services« . Et « l’opérateur » d’un « service numérique » ? c’est « toute personne morale qui fournit » l’un de ces services. Et là, bonne nouvelle, la définition vise expressément et limitativement trois (3) types de prestataires :

(i) les « places de marché en ligne » qui permettent à toute personne, qu’elle agisse à titre personnel ou professionnel, de « conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne« . Pour être précis, il aurait fallu écrire « site web » plutôt que « site internet » mais bon… Cela vise bien des sites web comme Amazon, PriceMinister, FNAC, etc. sur lesquels on peut acheter des produits ou des services, neufs ou d’occasion, soit directement auprès du e-commerçant (éditeur du site), soit indirectement auprès de partenaires contractuels du site web visité.

(ii) les « moteurs de recherche en ligne« . Sont donc ici concernés les Google, DuckDuckGo, Qwant, etc. Vous voulez la définition exacte des moteurs de recherche précisée à l’article 10 ? Il suffit de demander ! « service numérique qui permet aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé« . On dit « moteur de recherche » mais, juridiquement, il s’agit bien d’un logiciel accessible en ligne.

Allez, reste une troisième et dernière catégorie de « service numérique » (et pas la moindre en pratique).

(iii) les « services d’informatique en nuage » (ça sent bon l’encadrement des service « Cloud » en BtoC ET en BtoB tout ça) : « service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées« . Si votre marque préférée de smartphone vous propose de stocker vos data dans un « cloud », ce fabricant/prestataire de service relève sans doute possiblement de la qualification de « fournisseurs de service numérique« . Vu la définition, il me semble que les premiers concernés sont les hébergeurs professionnels (cloud privés / publics / hybrides). Si vous êtes un professionnel opérant un service SaaS en BtoB et que vous stockez les data de vos clients pro dans un cloud, a priori, cette loi vous concerne (in)directement aussi, puisque contractuellement, les prestataires pourront demander des garanties contractuelles de sécurité…


cyber-sécurité des réseaux et systèmes d’information : la localisation géographique des « Opérateurs de Service Numérique » et de leur service ???

Ah, ah ! Les rédacteurs de la loi de transposition de la Directive n°2016-1148 ont bien lu la GDPR et le projet de Règlement « e-Privacy », c’est certain. Le critère principal ? Offrir un « service dans l’UE« .

sécurité des réseaux et systèmes d'information


Si votre entreprise a son « siège social » ou son « établissement principal » sur le « territoire national », votre entreprise est « fournisseur de service numérique » au sens de la loi n°2018-133.

Si votre entreprise est située « hors UE » (je cite) ou ne dispose d’aucun « représentant » dans un autre pays de l’UE, votre entreprise est tenue (c’est donc une obligation) de nommer un représentant auprès de l’ANSSI. Tout cela rappelle furieusement l’article 27 GDPR (cliquez ici pour accéder à ma présentation sur ce sujet précis).


cyber-sécurité des réseaux et systèmes d’information : exemption pour les FSN « qui emploient moins de 50 salariés et dont le CA n’excède pas 10 millions d’euros »

Si votre entreprise a plus de 50 salariés ou fait plus de 10 millions d’€uros de CA par an ? Votre entreprise est un « fournisseur de service numérique » tenue de respecter la loi n°2018-133. Pour lire le critère d’exemption autrement, votre entreprise n’échappera aux dispositions de cette loi que si elle réalise MOINS de 10 millions de CA avec MOINS de 50 salariés. Si votre entreprise dépasse 1 de ces 2 seuils, vous êtes bon comme la romaine… Allez (re)lire l’article 11 III de la loi n°2018-133 si vous n’y croyez pas…

[mise à jour du 28 mai 2018] et complet »tes votre lecture par celle du  décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique


quelle obligation de cyber-sécurité des réseaux et systèmes d’information pour les « Fournisseurs de Service Numérique » ?

Prenez l’article 6 de la loi applicable aux « opérateurs de services essentiels » et dupliquez le pour les « fournisseurs de service numérique » : vous obtiendrez (à quelques détails près) l’article 12 de la loi n°2018-133 !!! 

Donc ? les marketplaces, les moteurs de recherche et les opérateurs de service Cloud doivent garantir, « compte tenu de l’état des connaissances, un niveau de sécurité… nécessaire à la fourniture de leurs services dans l’UE [et] adapté aux risques existants« .

Je vous avais prévenu, c’est comme l’article 6 et comme l’article 32 GDPR (mais sans le fameux « compte tenu… des coûts de mise en oeuvre« ).

sécurité des réseaux et systèmes d'information

Et comme les « opérateurs de services essentiels« , les « fournisseurs de service numérique » sont tenus de notifier à l’ANSSI tout « incident » de sécurité « ayant un impact significatif » sur la fourniture du service… Tout pareil…


cyber-sécurité des réseaux et systèmes d’information : quelles sanctions pour non-respect des obligations de sécurité pour les « FSN » ?

Là encore, prenez l’article 9 applicable aux « opérateurs de services essentiels » et dupliquezSont concernés par l’amende (article 15 loi 2018-133) les « dirigeants des fournisseurs de service numérique« .

Au fait, les « dirigeants », ce sont seulement les « représentants légaux » des sociétés ? Les présidents des SA/SAS ou les gérants des SARL ? A creuser… 

Les amendes vont de 50.000 à 100.000 €uros (un peu moins que pour les « opérateurs de services essentiels« ). Doit-on y voir un message de politique pénale, genre les « opérateurs de services essentiels« , c’est grave et les « fournisseurs de service numérique« , c’est moins grave ? 


en conclusion sur la cyber-sécurité des réseaux et systèmes d’information…

Si vous avez eu le courage de lire tout ça jusqu’au bout, vous forcez mon admiration !!! 

Vivement les décrets (et la présentation en BD ?)…


le cadeau en téléchargement : une version « lisible » de la loi n°2018-133 du 26 février 2018

Puisque j’ai préparé avec Alice et Natacha une version « lisible » de ce texte en .docx, vous pouvez vous aussi en profiter en le téléchargeant. Il suffit de cliquer sur le lien cyber-sécurité – loi 2018-133 du 26 fevrier 2018 transposant Directive NIS 2016-1148 – JO 27-02-2018. Pour le code couleur, vous allez vite comprendre… Bonne lecture… 


Merci à Alice Gautron, Avocat à la Cour, pour son analyse détaillée et sa relecture attentive de ces (trop longues) lignes… Merci à Natacha Burzynski, stagiaire du Master 2 pro DMI pour son suivi actif de la transposition de cette directive très… technique… (alors, c’est toujours passionnant, le droit des nouvelles techno ?).


PS : j’ai fait l’impasse sur les titre II, III et IV de cette loi, je n’ai traité que le titre I qui, seul, concerne l’obligation de sécurité des SI.