La législation et la réglementation autour de la cybersécurité

BIG BROTHER IS WATCHING YOU. Ou plutôt, les pirates informatiques vous surveillent. Le développement rapide des nouvelles technologies expose les entreprises et les particuliers à des risques de plus en plus nombreux en matière de cybersécurité. L’actualité est en effet souvent marquée par des attaques informatiques massives.

Ainsi, en janvier dernier, deux opérateurs de tiers payant, Viamedis et Almerys, ont été victimes d’une attaque sans précédent entrainant la fuite de données de plus de 33 millions de personnes. On peut également citer la célèbre affaire impliquant la société britannique Cambridge Analytica qui a collecté les données de plus de 50 millions d’utilisateurs de Facebook, sans autorisation, afin de bâtir un programme informatique permettant de prédire et d’influencer le choix des électeurs américains en 2018.

Selon une enquête de l’Union Européenne publiée en mai 2022, 28 % des PME européennes ont été victimes de cybercriminalité en 2021[1]. La cybersécurité est un enjeu mondial. En effet, le coût annuel de la cybercriminalité pour l’économie mondiale en 2020 est estimé à 5 500 milliards d’euros, soit le double de celui de 2015[2].

Il est primordial de prendre au sérieux ces nouvelles menaces. Selon le Forum économique mondial, les cyberattaques font partie des dix principaux risques encourus par l’humanité[3].

Pour faire face à ces risques, le droit offre tout un arsenal. Nous allons nous intéresser aux différentes réglementations permettant d’encadrer et d’appréhender les enjeux de la cybersécurité.

Le RGPD, un outil de prévention contre les cyberattaques

Le Règlement général sur la protection des données (RGPD)[4] est un règlement européen adopté le 27 avril 2016 et entré en vigueur le 25 mai 2018, ayant pour objectif la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Il vient compléter et renforcer les prérogatives prévues au sein de la loi Informatique et Liberté de 1978[5]. L’obligation de sécurité est un outil préventif indispensable pour éviter les risques de récupération de données par un tiers malveillant.

En effet, si la sécurité est l’un des principes fondamentaux de cette dernière loi, le RGPD vient compléter et renforcer cette obligation (article 32). Il prévoit notamment la mise en place de mesures techniques et organisationnelles pour sécuriser les données (article 25), la tenue d’un registre de violation des données (article 33), la réalisation d’une analyse d’impact pour les traitements sensibles (article 35), la notification à la CNIL de toute violation de données (article 33) ainsi que l’information des personnes de la violation de leurs données (article 34) et surtout le RGPD élargit la sécurité en y intégrant la lutte contre les risques menaçant la disponibilité des données là où la Loi Informatique et Liberté ne visait que la protection de la confidentialité ainsi que de l’intégrité des données.. Le non-respect de ces règles peut entraîner la condamnation à une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires (article 83).

Le RGPD est le seul texte à prévoir des obligations concrètes et précises en matière de cybersécurité. S’il impose certaines contraintes aux entreprises, il permet de prévenir au mieux les cyberattaques en permettant aux entreprises de renforcer leur défense.

NIS et NIS 2, la mise en place d’un socle commun de protection

La directive “Sécurité des réseaux et de l’information” dite NIS 1 (Network and Information System Security) a été adoptée le 6 juillet 2016 afin d’aider les États membres de l’UE à faire face aux enjeux cyber en assurant un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne.

La directive NIS 2 du 27 décembre 2022 renforce les exigences de la directive NIS 1 et instaure un niveau élevé de cybersécurité dans l’ensemble de l’Union européenne. Le champ d’action est élargi et les exigences en matière de sécurité sont renforcées.

Ainsi, alors que la directive NIS 1 couvrait sept secteurs d’activité (l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les infrastructures numériques), la directive NIS 2 en couvre dix-huit (les secteurs couverts par NIS 1 auxquels s’ajoutent les eaux usées, l’espace, les services TIC, l’administration publique, les services postaux et d’expédition, les déchets, les denrées alimentaires, la recherche, la fabrication, la production chimique et les fournisseurs numériques) répartis entre deux catégories d’entreprises : les Entités Essentielles et les Entités Importantes. La distinction entre les deux types d’entités dépend de critères de taille ou de sensibilité des secteurs d’activité.

Les Entités Essentielles sont les organisations ou entreprises qui opèrent dans un secteur considéré comme critique pour le fonctionnement de la société et de l’économie de l’Union européenne comme EDF, TotalEnergies, Air France-KLM ou encore les Hôpitaux de l’AP-HP. Les Entités Importantes sont les organisations ou entreprises opérant dans des secteurs qui, bien qu’ils ne soient pas aussi critiques que ceux des entités essentielles, jouent néanmoins un rôle significatif dans l’économie et la société de l’Union européenne comme Danone, La Poste, Amazon ou Google.

Les sanctions en cas de manquements sont importantes et peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les Entités Essentielles et jusqu’à 7 millions ou 1,4% du chiffre d’affaires mondial pour les Entités Importantes.

La transposition de la directive NIS 2, prévue en octobre 2024 en France, va imposer de nouvelles obligations pour les entreprises. Ainsi, la direction des entreprises est fortement impliquée puisqu’elle doit approuver les mesures de prise en charge des risques et superviser leur mise en place. Les membres de la direction doivent suivre régulièrement des formations afin d’acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis.

La directive NIS 2 impose également la mise en place de mesures techniques et organisationnelles telles que l’analyse des risques et les politiques de sécurité des systèmes d’information, la sécurité de la chaîne d’approvisionnement et la maîtrise des fournisseurs Cloud, ou encore l’usage de solutions d’authentification à plusieurs facteurs.

La directive NIS 2 impose également un cadre concernant les alertes et les notifications des incidents de cybersécurité allant de l’alerte précoce au rapport final un mois après la notification d’incident.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’autorité nationale en matière de cybersécurité et de cyberdéfense qui aura la charge d’assurer le respect des obligations issues de la directive qui seront transposées dans la loi nationale.

La transposition de la directive NIS 2 est une véritable opportunité pour les entreprises d’améliorer leur niveau de sécurité afin de faire face aux menaces de cyberattaques.

Les mesures de protection renforcées par la LPM

Enfin, la loi de programmation militaire 2024-2030 ou LPM a été adoptée le 13 juillet 2023 et a pour ambition de permettre à la France de faire face aux nouvelles menaces et de maintenir son rang parmi les premières puissances mondiales. Les cybermenaces sont ainsi prises en compte dans le champ des nouveaux enjeux.

Avec l’adoption de cette loi, le budget consacré au cyber a été multiplié par trois par rapport aux années précédentes, soit près de quatre milliards d’euros. La LPM renforcent la sécurité des systèmes d’information critique pour la défense nationale. Elle établit un cadre réglementaire pour protéger les infrastructures des cyberattaques.

Les opérateurs d’importance vitale (OIV), à savoir les entités dont le fonctionnement est essentiel à la survie de la nation, touchant des secteurs comme l’énergie, les transports, la santé, et la finance sont soumis aux respects de mesures de sécurité obligatoire. C’est également le cas pour les opérateurs de services essentiels (OSE), qui sont ceux qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Les OIV et les OSE ont ainsi l’obligation de notifier les incidents de sécurité à l’ANSSI. Par exemple, on peut citer l’obligation d’identification et la déclaration des systèmes d’information d’importance vitale par les OIV afin d’identifier les systèmes les plus critiques pour lesquels une attaque avérée entraînerait des conséquences graves pour la Nation.

Plus généralement, les entreprises, en fonction de leur catégorie d’OIV ou OSE, devront respecter des mesures de sécurité spécifiques, établir des procédures de détection et de réaction aux incidents et réaliser des audits de sécurité réguliers.

Les bonnes pratiques à adopter

Les entreprises peuvent rapidement se sentir perdues face à la multiplication des obligations imposées par les réglementations précitées. C’est la raison pour laquelle, il est recommandé de se faire accompagner par un professionnel du droit accompagné d’un professionnel de la cybersécurité, afin de mettre en place des bonnes pratiques permettant d’éviter les sanctions ou même les cyberattaques.

Concernant le RGPD, le cabinet LegalProtech-Avocats est spécialisée dans la réalisation d’audit RGPD et Maître Christelle Reyno a d’ailleurs une certification AFNOR en tant que Délégué à la Protection des Données Personnelles (DPO).

Concernant les directives NIS 1 et 2, il convient dans un premier temps de déterminer si la directive NIS 2 s’applique à votre structure (secteur d’activité listé par la directive, plus de 250 salariés, chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros). Il convient d’identifier les risques et de définir les mesures de sécurité à mettre en place.

Concernant la LPM, il convient également de mettre en place une gouvernance de la sécurité à travers une politique de sécurité claire et précise.

Ainsi, un audit de cybersécurité est nécessaire afin de comprendre les risques et d’établir les mesures à prendre. Il faut également penser à la formation des collaborateurs de l’entreprise. Pour tout cela, le cabinet LegalProtech-Avocats, avec ses partenaires, peut vous accompagner afin d’établir un plan d’actions.

[1] https://europa.eu/eurobarometer/surveys/detail/2280

[2] Site du Parlement européen : Pourquoi la cybersécurité est-elle importante et quels sont les coûts des cyberattaques ? | Thèmes | Parlement européen (europa.eu)

[3] https://www.weforum.org/publications/the-global-risks-report-2021/

[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[5] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.