Augmenter la cybersecurite des personnes publiques : dans quel cadre juridique ?

01/10/21
Augmenter la cybersecurite des personnes publiques : dans quel cadre juridique ?

Le sujet de la cybersécurité est omniprésent. Il l’est encore davantage chaque année au cours du mois d’octobre qui lui est dédié. D’où une belle opportunité de faire le point sur les enjeux de cybersécurité des personnes publiques, qui y sont particulièrement exposées, comme a pu le relever le rapport annuel 2020 de l’ANSSI[1], sans y être toutes bien préparées.

 

I: Cybersécurité des personnes publiques : des réglementations diverses

Les personnes publiques telles que notamment l’Etat, les collectivités territoriales ou encore les hôpitaux publics sont soumises aux mêmes contraintes que les personnes privées en matière de cybersécurité. Mais leur statut particulier conduit également à leur imposer certaines contraintes spécifiques.

 

 

1) Réglementations générales auxquelles les personnes publiques sont également soumises

 

a) Pour celles qualifiées d’opérateurs d’importance vitale (OIV)

Certaines personnes publiques exerçant leur activité dans l’un des douze secteurs listés ci-après – et dont la continuité est essentielle au fonctionnement de la société ou de l’économie – sont qualifiées d’opérateurs d’importance vitale ou OIV au sens du Code de la défense. Leur liste est gardée confidentielle pour des raisons de sécurité. Parmi les obligations qui s’imposent aux OIV figure celles en faveur de la sécurité de leurs systèmes d’information d’importance vitale (« SIIV »)[2] : déclaration d’incidents, mise en œuvre d’un socle de règles de sécurité et recours à des pro­duits et à des prestataires de détection qualifiés.…

 

Source : De Gaulle Fleurance & Associés

 

b) Pour celles qualifiées d’Opérateurs de Services Essentiels (« OSE »)

Au niveau européen, la Directive Network and Information SystemsNIS »)[3] – transposée par la loi du 26 février 2018[4] – a pour ambition d’assurer un niveau élevé de sécurité des réseaux et des SI commun à tous les Etats membres. Bien que l’ANSSI qualifie les deux dispositifs de « complémentaires », cette réglementation s’avère en pratique proche de la réglementation nationale des OIV, puisque :

  • Elle s’applique aux opérateurs de services essentielsOSE»), entendus comme les opérateurs – publics ou privés – offrant des services essentiels[5] au fonctionnement de la société ou de l’économie dont la continuité pourrait être gravement affectée par des incidents touchant leurs réseaux et systèmes d’information. Les catégories de services visées sont, pour beaucoup, similaires à celles des OIV. La liste des OSE évolue, pour réagir notamment aux menaces : les groupements hospitaliers de territoire (GHT), particulièrement exposés, devraient par exemple y être prochainement intégrés.
  • Elle leur impose des obligations assez proches à celles de la réglementation des OIV. Il s’agit par exemple pour les OSE (i) de déclarer les réseaux et SI nécessaires à la fourniture des services essentiels, (ii) de notifier les incidents survenus, (iii) d’effectuer des contrôles de sécurité…

La directive NIS est actuellement en cours de révision, puisqu’un premier réexamen du dispositif était dès l’origine prévu au plus tard le 9 mai 2021[6]. En décembre 2020, la Commission européenne a publié une version révisée de la directive NIS (« NIS 2 ») pour répondre à l’évolution des menaces et tenir compte de la mutation numérique. La France fera d’ailleurs de la révision de cette directive une de ses grandes priorités la présidence du Conseil de l’UE, dans la perspective d’une publication fin 2022 ou 2023. Mais pour les personnes publiques comme privées, l’harmonisation entre les cadres juridiques européen et national sera nécessaire…

 

c) En cas de violation de données personnelles

Le règlement général sur la protection des données (RGPD)[7] s’applique également aux traitements de données personnelles effectués par les personnes publiques. Au-delà des règles générales encadrant ces traitements, le RGPD impose des obligations déclaratives et documentaires en cas de violation de données à caractère personnel.

 

Si une cyberattaque engendre une violation de données personnelles et un risque pour les droits et libertés des personnes concernées, une notification à la CNIL doit être effectuée dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette déclaration s’effectue par un téléservice sécurisé dédié de la CNIL. Si le risque d’atteinte aux droits et libertés des personnes concernées est élevé, une notification – dans les meilleurs délais – doit également être faite à la personne physique concernée[8].

 

Par ailleurs, le responsable de traitement doit dans les cas documenter toute violation de la sécurité, au sein d’un registre des violations de données[9].

 

 

2) Réglementations spécifiques : la sécurité des échanges numériques entre les usagers et l’administration

 

Deux textes encadrent plus spécifiquement les échanges numériques entre les autorités administratives et les usagers des services publics : le Référentiel Général de Sécurité (RGS) et le Règlement eIDAS.

 

Le Référentiel Général de Sécurité[10] fixe en droit interne les règles auxquelles les systèmes d’information d’échange numérique entre les usagers et l’administration (systèmes de déclaration d’imposition, de règlement de contravention, de transmission de demandes de renouvellement de papiers d’identité, etc) doivent se conformer pour assurer la confidentialité et l’intégrité des informations échangées . Il instaure également un processus de qualification des prestataires de confiance auxquels les personnes publiques peuvent avoir recours dans le cadre de la mise en place de leurs téléservices.

 

Le règlement eIDAS[11] est un texte similaire à l’échelon européen, qui régit à la fois l’identification électronique aux services de confiance et l’effet juridique donné aux documents électroniques.

 

Ces deux textes cohabitent donc à ce jour, contraignant les prestataires de services à poursuivre une double qualification au sens du RGS, d’une part, et du règlement eIDAS, d’autre part. Pour remédier à cette situation, les travaux de mise à jour du RGS entendent faciliter l’articulation de ces deux cadres règlementaires, qui reste donc le principal enjeu en matière de cybersécurité.

 

 

II: Mesures actuelles en faveur de la cybersécurité des personnes publiques

La mutation numérique, les exemples récents de cyberattaques et la crise sanitaire ont rappelé la nécessité pour les personnes publiques de s’adapter aux enjeux de la cybersécurité et de se doter très rapidement d’outils efficaces. C’est dans cette optique qu’a été conçu le volet Cybersécurité de France relance, et la création du Campus Cyber devrait également y contribuer.

 

 

1) France Relance, un volet Cybersécurité en cours de mise en œuvre

 

Le volet cybersécurité de France Relance, dont le pilotage a été confié à l’ANSSI, a pour objectif de renforcer la sécurité des administrations, des collectivités, des établissements de santé et des organismes publics tout en dynamisant l’écosystème industriel français.

 

Le fond correspondant est doté de 136 millions d’euros, au profit des personnes publiques et des prestataires de services en cybersécurité qui les accompagneront, avec un accent particulier au profit des établissements de santé. Les aides sont attribuées sous la forme de subventions, mais un cofinancement avec le bénéficiaire est dans tous les cas requis pour favoriser la réalisation d’investissements pérennes[12].

 

Les personnes publiques pourront tout d’abord bénéficier de ces aides sous la forme d’une offre de « sécurisation » en deux volets :

  • Un parcours de cybersécurité, permettant aux personnes publiques bénéficiaires[13] d’être accompagnées par un prestataire cyber en trois étapes : (i) pré-diagnostic, (ii) élaboration d’une feuille de route complète de renforcement de la cybersécurité et (iii) accompagnement complémentaire,
  • Un co-financement de projets de sécurisation de systèmes d’information existants, sur appel à projets, pour les ministères et certaines collectivités territoriales dont le niveau de cybersécurité est suffisamment mature.

Ces mesures sont complétées par la création d’un réseau de CSIRT locaux (Computer Security Incident Response Team) dont la mission sera de soutenir et d’orienter tous les acteurs de taille intermédiaire, publics ou privés en cas d’incident cyber.

 

En août 2021, plus de 400 candidats ont été retenus pour l’attribution de ces mesures[14].

 

Par ailleurs, le parcours de cybersécurité ouvert au profit de certaines personnes publiques repose sur l’intervention de prestataires « terrain » sur l’ensemble du territoire. L’ANSSI a donc ouvert une plateforme de référencement, permettant aux prestataires de services qui le souhaitent de se faire référencer (sans engagement de participation) pendant toute la durée de France Relance, pour réaliser les missions du parcours de cybersécurité au profit des personnes publiques bénéficiaires. De nombreuses sociétés ont déjà été retenues comme « prestataires terrain » par l’ANSSI.

 

 

2) Le Campus Cyber, vecteur de la collaboration entre secteurs public et privé

 

Le Campus Cyber, situé dans 25.000m² de la Tour Eria, à la Défense à Paris[15], devrait ouvrir ses portes sous peu pour fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs autour de quatre piliers :

  • Opération : Développer la capacité de chacun à maîtriser le risque numérique ;
  • Formation : Accroître les compétences globales de l’écosystème ;
  • Innovation : Soutenir les projets innovants en matière de cybersécurité ;
  • Animation : Dynamiser le secteur en développant les synergies entre les parties prenantes, notamment autour des communs de la cybersécurité.

Ce projet lancé en 2019 associe aujourd’hui plus de 110 personnes publiques et privées pour son développement, mais aussi dans sa gouvernance. En effet, le pilotage opérationnel de Campus Cyber est assuré par une Société par Actions Simplifiée (SAS) détenue à 51 % par le privé (industriels, PME, Start-up) et à 49 % par l’Etat. Dans ce cadre, le conseil d’administration de la SAS sera notamment composé de 8 collèges représentatifs pour permettre à toutes les structures d’être représentées : startups, ETI-PME, Start-ups, recherche, formation, association, institutionnels, bénéficiaires et campus territoriaux.

 

Et la singularité de ce projet est également de réunir ces multiples acteurs sur un même site, qui accueillera notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Institut national de recherche en sciences et technologies du numérique (INRIA).

 

 

 

[1] L’autorité nationale en matière de sécurité et de défense des systèmes d’information, qui est un acteur majeur de la cyber sécurité chargé d’accompagner et de sécuriser le développement du numérique
[2] Articles L. 1332-6-1 et s. (créés par l’article 22 de la loi n° 2013-1168 du 18 décembre 2013 de programmation militaire) et articles R. 1332-41-1 du Code de la défense et Instruction générale interministérielle n° 6600 relative à la sécurité des activités d’importance vitale du 7 janvier 2014.
[3] Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
[4] Loi n°2018-133 du 26 février 2018 « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité »
[5] Listés dans le décret n° 2018-384 du 23 mai 2018 relatif la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
[6] Article 23 de la Directive NIS
[7] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[8] Sauf cas dérogatoires prévus à l’article 34 du RGPD
[9] Article 33 du RGPD
[10] Adopté par arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques
[11] Règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques
[12] Une fois la mesure d’aide terminée, le bénéficiaire doit s’engager à consacrer au minimum 5 % de son budget informatique à la pérennisation du projet.
[13] Collectivités territoriales, organismes publics et établissements publics de santé
[14] Selon les informations fournies par l’ANSSI
[15] Avec un déploiement en région prévu dans une seconde phase
Pour aller plus loin