NIS 2 : le grand écart entre ambitions cyber et restrictions budgétaires

C'est moins sur l'intelligence artificielle que sur la transposition de la directive NIS 2 que la secrétaire d'État Clara Chappaz était attendue au Trip de l'Avicca qui s'est déroulé les 26 et 27 novembre 2024. Il faut dire que la directive cyber, qui aurait dû être transposée avant le 17 octobre 2024, est sur le haut de la pile des textes en instance au Parlement. La secrétaire d'État s'est attachée à partager sa ligne de conduite sur ce texte qui va fortement impacter des collectivités territoriales de toutes tailles.

Approche proportionnée et progressive

Clara Chappaz a commencé par rappeler l'urgence à sécuriser les systèmes d'information des collectivités avec "la moitié des départements, 12 régions touchées et 10 attaques par mois contre une collectivité en moyenne en 2023". Elle a insisté sur le caractère "coconstruit " du projet de texte présenté par le gouvernement (voir notre article du 29 octobre 2024), avec plus de 70 consultations menées par l'Anssi ces derniers mois. La secrétaire d'État a promis, sans donner de précision sur le calendrier parlementaire, "une approche proportionnée, progressive, adaptée aux moyens et à la [capacité] des acteurs". Concrètement, a précisé François Dégez, chef de division coordination territoriale de l'Anssi, il s'agit de "tirer les leçons du RGPD", en ne cherchant pas à "surtransposer". Un objectif de limiter les obligations aux seules exigences européennes qui a reçu le plein assentiment du président de la Commission supérieure du numérique et des postes (CSNP), Damien Michallet, auteur d'un avis sur la transposition (voir notre article du 6 juin 2024), et dont a pris bonne note Patrick Chaize, rapporteur du texte au Sénat.

Ouverture sur le seuil de 30.000 habitants

Concernant le périmètre d'application de la directive aux collectivités locales, le représentant de l'Anssi a tenté de clarifier les choses. Régions, départements, métropoles et grandes agglomérations, EPCI de plus 30.000 habitants ainsi que 272 communes et les centres de gestion seront concernés. "Selon nos calculs, cela fait 2.479 collectivités, ce chiffre pouvant évoluer à l'issue des débats parlementaires", a précisé le général Dégez. Il a présenté le seuil des 30.000 habitants comme "une facilité d'écriture", "pouvant être discuté", l'agence ayant conscience de la nécessaire prise en compte de "la capacité des structures à piloter effectivement la cybersécurité". Autrement dit, les intercommunalités non dotées d'une direction des systèmes d'information, notamment celles n'ayant pas de ville-centre, pourraient être exclues. 
Par ailleurs, de nombreux syndicats – eau, déchets, énergie, Sdis…- seront concernés directement par la directive. Il reviendra cependant aux organisations de déterminer par elles-mêmes, au vu des catégories NIS, si elles sont oui ou non soumises aux nouvelles obligations cyber. La CSNP soutient cependant l'idée que l'Anssi identifie et notifie les collectivités concernées en tant qu'entité "importante" ou "essentielle".

Réduction des moyens de l'Anssi en vue

Concernant les obligations, les collectivités devront a minima partager des informations cyber, déclarer les incidents et mettre en place une gestion des risques. Elles seront en revanche exonérées des amendes prévues par la directive, selon le souhait des élus locaux mais contre l'avis du Conseil d'État. 

Le président de la Commission supérieure du numérique et des postes (CSNP) a insisté sur le nécessaire accompagnement des petites collectivités et suggéré "un temps de sensibilisation, avant d'auditer les territoires et enfin de les contrôler". Damien Michallet a aussi déploré le fait que le projet de loi de finances retire les logiciels Saas – location en ligne, modèle de distribution dominant dans le cyber – du bénéfice de la récupération de la TVA en les considérant comme une dépense de fonctionnement. Un sujet partagé par le représentant de Déclic, fédération des opérateurs de services numériques mutualisés, avec lequel l'Avicca vient de signer une convention de partenariat pour accompagner les petits territoires. 
Autre élément inquiétant, l'Anssi pourrait se voir privée de tout financement pour mener des audits cyber de collectivités… En d'autres termes, l'aide de l'Etat aux collectivités ne devrait pas aller au-delà des outils existants (mon service sécurisé, mon aide cyber, suite territoriale…) ou de ce que pourront faire localement les C-SIRT, eux-mêmes très dépendants du bon vouloir de régions sous pression budgétaire.