Alors que cybercriminalité est allée crescendo ces dernières années, les États et organisations internationales se sont saisis du sujet et ont créé des lois et des réglementations visant à protéger  la sécurité des données et des systèmes d'information contre les cybermenaces.

Aujourd’hui, en France, différents textes législatifs et réglementaires coexistent. Certains sont à la main des autorités nationales (Président de la République, gouvernement et ministres), épaulées par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui agit en amont dans un cadre de prévention et en aval, en réaction aux attaques informatiques. D’autres sont impulsés et cadrés au niveau européen, soit par les institutions européennes, soit par l’ENISA, agence de cybersécurité européenne. REDOPUS vous en propose un rapide tour d’horizon.)

La Loi de Programmation Militaire pour la sécurisation des OIV

Les Opérateurs d’Importance Vitale (OIV) représentent les administrations et entreprises publiques et privées dont l’État juge le fonctionnement indispensable à la bonne marche de la nation. Les données sensibles qu’ils traitent quotidiennement sont protégées par la Loi de Programmation Militaire. En voici le périmètre : 

• Autorité compétente : ministère des Armées

• Périmètre : plan stratégique de défense voté tous les 5 ans 

• Territoire concerné : France uniquement 

• Acteurs concernés : 250 OIV, entités privées et publiques indispensables au bon fonctionnement de la nation

• Objectifs : permettre aux opérateurs publics et privés critiques pour la nation de mieux se protéger et à l’ANSSI de mieux les soutenir en cas d’attaque informatique.. 

• Contenus : définit des mesures à déployer (20 règles de sécurité) pour assurer la cybersécurité des  OIV.

La directive NIS adaptée aux Opérateurs de Services Essentiels (OSE)

Le statut d’OSE est un prolongement de celui des OIV. Ils représentent les acteurs dont le service, tributaire d’un ou de plusieurs systèmes d’information, est essentiel au maintien de l’activité économique et sociétale. Ces organisations sont soumises à la directive NIS (Network and Information Security) : 

• Autorité compétente : le Premier Ministre définit les OSE et l’ANSSI assure le respect de la directive NIS dans les organismes concernés.

• Périmètre : la liste des OSE, soumis aux obligations de la directive NIS, est mise à jour tous les 2 ans.

• Territoire concerné : Union européenne

• Acteurs concernés : 122 opérateurs de services essentiels (OSE) au 9 novembre 2018 en France

• Objectifs : atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d'information dans toute l'Union européenne.

• Contenus : Contient les mesures techniques et organisationnelles appropriées pour sécuriser les réseaux et systèmes d'information. Ainsi que les moyens d’identifier les nouveaux risques potentiels. Comprend également l’obligation de notifier l’autorité compétente pertinente en cas d’incident et des directives pour minimiser l’impact et assurer la continuité des services en cas d’attaques. 

Des règlementations au service de la confiance numérique

Une réglementation s'applique spécifiquement aux  administrations qui mettent à disposition du public des moyens d’identification et de paiement numérique. Elle comprend deux volets :

Le référentiel général de sécurité (RGS)

• Autorité compétente : le Premier Ministre

• Périmètre : un cadre réglementaire spécifique à l’administration française

• Territoire concerné : France uniquement

• Acteurs concernés : les autorités administratives

• Objectifs : renforcer la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives.

• Contenus : un ensemble de règles et une méthodologie orientés autour de la responsabilisation des autorités vis-à-vis de leurs systèmes d’information à travers la démarche d’homologation de leurs services. . Il s'agit notamment des téléservices tel le paiement de contraventions auprès de l'administration.

Le règlement eIDAS 

• Autorités compétentes : le parlement européen et le conseil de l’Union européenne

• Périmètre : un cadre européen en matière d’identification électronique et de services de confiance

• Territoire concerné : Union européenne

• Acteurs concernés : les organismes du secteur public et les prestataires de services de confiance

• Objectifs : accroître la confiance dans les transactions électroniques au sein du marché intérieur

• Contenus : un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques. Il répertorie les exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.

Le Cybersecurity Act 

Le Cybersecurity Act répond à la volonté de l’Union européenne de se doter d’un cadre législatif et organisationnel dans sa lutte contre la cybercriminalité. Son périmètre en 5 points :

• Autorités compétentes : l’ENISA, l’Agence européenne pour la cybersécurité, élue par l’Union européenne

• Périmètre : un cadre européen de certification de cybersécurité

• Territoire concerné : Union européenne

• Acteurs concernés : les prestataires de services numériques (IoT, Cloud, véhicules connectés, etc.) des États membres.

• Objectifs : encourager le recours à la certification et reconnaître les certificats délivrés par un État membre dans toute l'UE. Ces certifications renforcent de fait, la sécurité du marché unique numérique européen.

• Contenus : des processus de certification et une gouvernance pour l’adoption de schémas certifiants. Il précise les rôles et responsabilités des États membres et la portée de la certification avec plusieurs niveaux d’assurance. 

Pour en savoir plus sur les lois, règlements et directives en vigueur, contactez nos experts et découvrez nos services.