La vague de cyberattaques contre les collectivités pèsera sur la transposition de la directive NIS 2
Le Parlement européen a adopté le 10 novembre 2022 la directive NIS 2 qui pourrait multiplier par dix le nombre d'entités concernées par de lourdes obligations en matière de cybersécurité. Il reviendra au Parlement français de décider du périmètre des collectivités concernées. Si le contexte cyber actuel plaide pour un élargissement, il faudra aussi que les moyens de l’État suivent.
La directive sur la sécurité des réseaux et des systèmes d’information, dite "NIS 2", a été définitivement adoptée par le Parlement européen le 10 novembre 2022. La directive met à jour un texte datant de juillet 2016 en élargissant le champ des entités concernées par des obligations en matière de cybersécurité harmonisées à l’échelle européenne. Les États membres disposent de 21 mois maximum pour transcrire la directive NIS 2 en droit national.
Entités essentielles et entités importantes
La directive distingue désormais les entités essentielles (EE) des entités importantes (EI) en fonction de la criticité des services rendus. À noter qu’il reviendra aux entreprises et opérateurs de s'autodésigner comme EE ou EI. Le nombre de secteurs concernés par la directive NIS 2 passe par ailleurs de 19 à 35 avec l’intégration de domaines tels que les services postaux, les opérateurs de réseaux télécoms, la gestion des déchets, les services numériques, le Cloud ou encore les administrations d'État. Par ailleurs, et c’est un point important car ce sont souvent des portes d’entrée pour les cybercriminels, les sous-traitants des services essentiels sont eux-mêmes soumis à la directive NIS 2. Les obligations – audits de sécurité réguliers, respect de normes strictes, désignation obligatoire d’un responsable de la sécurité des systèmes d’information, signalement des incidents dans un délai maximal de 72h… – sont accompagnées de sanctions pour obliger les entités à se mettre aux normes. Le texte prévoit des amendes comprises entre 1,4% à 2% du chiffre d’affaires.
Des attaques qui penchent pour un élargissement massif
Guillaume Poupard, directeur général de l’Anssi, dont l’agence a largement contribué à la rédaction de NIS 2, estimait lors des dernières assises de la sécurité à Monaco que le nombre d’acteurs soumis à obligations pourrait être "multiplié par dix" rien qu'en France. Combien exactement ? Comme la liste des opérateurs de services essentiels n’a jamais été divulguée, il ne s’agit que d’évaluation. Certainement plusieurs milliers, mais il reviendra au Parlement de déterminer les critères (taille, chiffre d’affaires…), et notamment ceux s’appliquant aux collectivités territoriales. Car si les administrations d’État figurent dans la liste, celles de administrations locales a été laissée à la discrétion des États membres. L’actualité récente plaide pour qu’un maximum de collectivités territoriales y soit soumises. La liste des structures lourdement impactées par des cyberattaques par rançongiciel ne cesse en effet de s’allonger. Depuis septembre 2022, les conseils départementaux de Seine-Maritime, de Seine-et-Marne mais aussi les villes de Caen (14), Brunoy (91), Frontignan (34) ou encore Chaville (92) figurent parmi les victimes. À chaque fois les mêmes scènes se reproduisent avec des services publics mis à l’arrêt pendant des jours voire des semaines et un "retour au papier" pour remettre en ordre de fonctionnement le système d’information
Un accompagnement
La mise aux normes des systèmes d’information des collectivités va cependant coûter cher. Côté Anssi – qui n'accompagne directement que les grandes collectivités dotées de RSSI – la loi de finances pour 2023 prévoit une hausse de crédits de 4,6 millions d'euros et la création de 46 postes supplémentaires, lui permettant de dépasser les 600 agents. Le plan de relance a mobilisé 100 millions pour financer des "parcours cyber" et quelque 900 collectivités en ont d’ores et déjà bénéficié. L'État a également fini par accepter de financer des équipements de protection ciblant les petites collectivités sous réserve qu’elles soient accompagnées par une structure de mutualisation. Les régions sont enfin mises à contribution pour fournir une aide de proximité en créant des centres régionaux de réponse à incidents de cybersécurité (CISRT), en complément des actions de sensibilisation du GIP Acyma et de la mobilisation des gendarmes du ComCyberGend. Toutes ces mesures sont évoquées dans la Lopmi dont le volet cyber constitue un des axes forts. Mais à ce stade, aucun financement supplémentaire n’a été évoqué pour améliorer la résilience cyber des territoires.