L’accroissement des cas de piratages de grande ampleur ces dernières années a conduit aux institutions européennes et au gouvernement français d’établir des stratégies de lutte contre la Cybercriminalité.

Cybercriminalité : point sur les règlementations européennes et françaises

L’accroissement des cas de piratages de grande ampleur ces dernières années a conduit aux institutions européennes et au gouvernement français d’établir des stratégies de lutte contre la Cybercriminalité. Celles-ci incluent notamment des dispositifs légaux ou règlementaires. Si certaines ont été déjà adoptées, d’autres sont encore en voie d’adoption.

 En France, les obligations prévues dans les dispositifs légaux ou règlementaires liés à la cybercriminalité ne s’adressent qu’aux opérateurs d’importance vitale ou OIV, un concept plus large que celui d’opérateurs d’infrastructure essentielle.

Les opérateurs visés par ces règlementations

Le texte européen adopté par la commission en 2013 concerne, initialement, les administrations publiques et deux types acteurs du marché : prestataires de services de la société de l’information et opérateurs d’infrastructure essentielle. Mais après amendement par le parlement, seul le second type d’acteurs est retenu.

En France, les obligations prévues dans les dispositifs légaux ou règlementaires liés à la cybercriminalité ne s’adressent qu’aux opérateurs d’importance vitale ou OIV, un concept plus large que celui d’opérateurs d’infrastructure essentielle.

 La proposition de directive donne aux autorités compétentes des États membres le droit de vérifier la soumission des acteurs précités aux obligations édictées.

Obligations de respect des dispositions

La proposition de directive donne aux autorités compétentes des États membres le droit de vérifier la soumission des acteurs précités aux obligations édictées. D’où la nécessité, pour ces opérateurs, de disposer de pouvoir leur donnant la possibilité de fournir des instructions contraignantes et d’obliger ces acteurs à leur soumettre des preuves de la mise en place des mesures prévues.

Cette règle a été transposée au niveau français avec, d’une part, l’exigence d’une soumission des OIV aux dispositifs de sécurité établis par le chef du gouvernement et, d’autre part, l’obligation de passage des systèmes d’information à des audits.

 

Mesures préventives exigées

Au niveau européen, les acteurs sont obligés par la proposition de directive d’adopter des mesures préventives pour une meilleure détection et gestion de risques pouvant compromettre la sécurité de leurs réseaux et systèmes informatiques.

La transposition française de cette mesure prévoit la mise en place de dispositifs de détection d’évènements pouvant porter atteinte à la sécurité des systèmes d’informations des OIV. On y trouve également une obligation de passer un contrat contenant plusieurs mentions légales avec l’exploitant du système de détection.

Au niveau européen, les acteurs sont obligés par la proposition de directive d'adopter des mesures préventives pour une meilleure détection et gestion de risques pouvant compromettre la sécurité de leurs réseaux et systèmes informatiques.

Déclaration des incidents à impact significatif

Dans le projet de directive européenne, on trouve également une obligation pour les opérateurs d’infrastructure essentielle d’aviser le plus rapidement possible l’autorité compétente après des incidents à « impact significatif ». La notion « impact significatif » dépend des paramètres suivant : nombre d’utilisateurs victimes, durée et étendue géographique.

En France, une obligation de déclaration des incidents portant atteinte au fonctionnement et à la sécurité des systèmes informatiques des OIV existe également. Cette déclaration devra être adressée au premier ministre.

 

Qu’en est-il de la qualification ?

La proposition de directive européenne fait mention de qualification sans vraiment fournir d’autres détails. La règlementation française, elle, est plus précise, notamment depuis la mise en vigueur d’un décret allant dans ce sens. Ce texte invite tout acteur à adresser sa demande de qualification de produit ou de prestataire à l’ANSSI. Ce dernier effectuera par la suite un premier examen du dossier avant d’évaluer le produit ou les services touchés. Le destinataire recevra, à la fin de l’évaluation, un rapport exprimant sa décision de présenter ou non la qualification au chef du gouvernement.