Bientôt une directive sur la sécurité des réseaux et de l’information (SRI)

sécurité des réseaux et de l'informationLa sécurité des réseaux et de l’information devient une question préoccupante avec le développement exponentiel des réseaux et des systèmes d’information. La directive proposée en février 2013 vise à assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) au sein de l’Union européenne. Dans ce projet, il est demandé aux États membres d’améliorer leur niveau de préparation et leur coopération mutuelle et aux acteurs du marché d’adopter les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes.

Les acteurs du marché concernés sont :

  • les prestataires de services de la société de l’information qui permettent d’autres services de la société de l’information (réseaux sociaux, moteurs de recherche, services informatiques en nuage, etc.) ;
  • les opérateurs d’infrastructures critiques (fournisseurs d’électricité et de gaz, transporteurs aériens, établissements de crédit, hôpitaux, etc.).

Les administrations publiques et les acteurs du marché doivent :

  • prendre les mesures techniques et organisationnelles nécessaires pour gérer les risques qui menacent la sécurité des réseaux et de l’information qu’ils contrôlent et utilisent dans le cadre de leurs activités (systèmes et réseaux privés qui sont gérés par leur propre service informatique ou dont la gestion de la sécurité a été sous-traitée) ;
  • notifier à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent.

En janvier 2012, seules 26% des entreprises de l’Union européenne avaient une politique de sécurité des réseaux et de l’information en bonne et due forme (source Eurostat).

C’est pourquoi, la proposition de directive donne pour mission à l’autorité compétente:

  • d’informer le public lorsqu’elle jugera qu’il est de l’intérêt général de divulguer les informations relatives à l’incident ;
  • de donner des instructions contraignantes aux acteurs du marché et aux administrations publiques ;
  • d’exiger des acteurs du marché et des administrations publiques qu’ils fournissent les documents relatifs à leur politique de sécurité des réseaux et de l’information et se soumettent à des audits ;
  • de coopérer avec l’autorité chargée de la protection des données en cas d’incident portant atteinte à des données à caractère personnel ;
  • de notifier aux services répressifs les incidents pouvant constituer une infraction pénale grave.

En France, l’autorité compétente serait l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui est depuis 2009, l’autorité nationale en matière de sécurité et de défense des systèmes d’information.

Elle a notamment pour mission d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique

Doc Sénat COM (2013) 48 final du 7-2-2013

Laisser un commentaire