En multipliant par 40, voire 50, le nombre d’entités supervisées par l’ANSSI en France, le projet de loi Résilience fait passer la cybersécurité dans une nouvelle dimension. NIS2 constitue ainsi une avancée majeure pour accroître le niveau de sécurité des entités jugées essentielles mais aussi pour diffuser très largement une véritable culture cyber dans le tissu économique. La directive participe ainsi à créer un cercle vertueux vers un numérique plus sécurisé, levier essentiel d’innovation. Toutefois, cette réforme soulève des interrogations, détaillées par Cloud Temple lors de son audition par la Commission Supérieure du Numérique et des Postes.
L’un des premiers écueils de la transposition de NIS2 dans la loi française réside dans le risque d’empilement réglementaire, qui serait facteur d’inertie pour les acteurs visés par le texte. Face à une multitude de régulations, la lisibilité devient complexe, et les organisations peuvent être tentées de freiner leurs initiatives faute d’une compréhension claire des exigences à respecter. La question des certifications et qualifications mentionnées dans le projet de loi Résilience ajoute une couche de complexité supplémentaire. Comment ces nouvelles exigences s’intègreront-elles avec les réglementations existantes comme la Loi de Programmation militaire, le RGPD, SecNumCloud ou encore les normes PCI, HDS et ISO 27001 ?
Faciliter la preuve de conformité
Une réforme de l’ampleur de NIS2 a une portée sur l’ensemble de la relation entre client et prestataire numérique. Le processus administratif de preuve de conformité est crucial dans cette évolution car une pression accrue sur les prestataires pourrait compliquer leur tâche. En effet, la nécessité d’assurer la sécurité de la chaîne d’approvisionnement risque d’engendrer une surcharge de conformités réglementaires, avec des révisions de contrats, des demandes d’audits et des questionnaires de sécurité. Or, il est de l’intérêt de tous que les acteurs du numérique consacrent leur temps à augmenter le niveau de sécurité de leurs services plutôt qu’à démontrer qu’ils sont sécurisés. Pour éviter ces écueils, établir des critères de présomption de conformités permettrait de fluidifier les démarches côté prestataire comme côté commanditaire. Une approche efficace serait de construire une matrice de conformité avec des référentiels reconnus et des présomptions de conformité indiscutables, renforcées par des audits et des labels certifiants.
Faire des acteurs du numérique les facilitateurs de la réforme
Une autre interrogation porte sur le statut particulier des acteurs du numérique, qui feront l’objet d’un acte d’exécution européen qui n’a pas encore vu le jour. Il est donc à ce stade difficile de voir comment ils vont s’intégrer dans le dispositif. Et c’est d’autant plus important qu’il est essentiel pour la réussite de cette réforme de faire des acteurs du numérique des vecteurs et des facilitateurs de progrès cyber, et non pas des entités régulées comme les autres. Sans quoi l’ANSSI sera bien seule pour mener à bien sa mission auprès de 12 000 à 15 000 entités en France. Or, la capacité des acteurs du cloud à se mettre en conformité avec NIS2 et à accompagner efficacement leurs clients dépendra du contenu final de l’acte d’exécution. Les règles seront-elles adaptées aux spécificités du cloud, qui implique le partage des responsabilités et la mutualisation des ressources ? La publication rapide de l’ensemble des textes est clé pour garantir une transition sans heurts.
Notification des incidents : qui fait quoi ?
La notification des incidents de sécurité est un autre axe critique du projet de loi Résilience : définir des seuils de sévérité clairs, des délais limpides et déterminer l’autorité compétente pour la notification sont des éléments centraux du dispositif. Dans le contexte d’urgence d’un incident cyber, il est crucial de disposer d’un cadre de notification qui ne laisse aucune place à l’interprétation. Notifier trop tôt ou trop tard peut avoir des incidences concrètes sur la capacité à résoudre la crise, en particulier en cas de cyberattaque. Le principe de “notification dans les meilleurs délais” doit être explicité pour éviter toute incertitude en situations de crise. Le décret à venir sur les modalités de déclaration des incidents devra donc faire l’objet d’une consultation du secteur, afin de fixer des règles pragmatiques, réalistes et faciles à mettre en œuvre par les acteurs concernés.
Soutenir l’effort de montée en compétences
Enfin, les talents restent le nerf de la guerre cyber. Avec le changement d’échelle porté par le projet de loi Résilience, un grand nombre d’entreprises et de collectivités novices en la matière vont débuter leur démarche de cybersécurité, dans un contexte où le recrutement de talents spécialisés est difficile et coûteux. Garantir la capacité de l’écosystème de la cybersécurité à les accompagner est fondamentale. Les délais des prestataires pour réaliser des audits ou fournir des services peuvent également constituer un frein. L’Etat doit jouer un rôle crucial pour aider les entreprises et les organisations à se conformer tout en soutenant l’écosystème cyber et l’effort de formation des talents. Les dispositifs de financement mis en place seront clés, notamment pour les 1 653 collectivités territoriales impactées par la réforme.
L’ANSSI l’a compris : l’écoute des parties prenantes – et en particulier des acteurs du numérique – est une condition indispensable de la réussite de NIS2 en France. Le recueil des besoins et des remarques constitue une contribution pragmatique au projet de loi, pour en faire un levier inédit de cybersécurité en France et en Europe. Les auditions de la Commission Supérieure du Numérique et des Postes nourrissent ainsi cette démarche itérative de consultation. Alors que l’agenda parlementaire est bousculé par les nouvelles échéances électorales, et que la date butoir du 17 octobre approche, il est crucial de ne pas sacrifier cet effort de co-construction sur l’autel de l’efficacité législative. Une loi et des décrets d’application adoptés dans la précipitation seraient un mauvais départ pour cette réforme structurante.