Le dernier volet de cette semaine est le droit de la cyberdéfense nationale. On ne peut pas étudier tout le droit de la cyberdéfense nationale – de même qu’on n’a pas étudié tout le droit de la lutte contre la cybercriminalité ni tout le droit de la sécurité des systèmes d’information.

Sans doute celui de la cyberdéfense nationale est-il celui qui a le spectre le plus large : juridiquement, il touche à la fois des réglementations très dures au sens où elles sont impératives, et des efforts juridiques qui relèvent davantage de l’ordre de la diplomatie ou de la déclaration de coopération ayant quand même des impacts sur le comportement juridique des uns et des autres.

Donc la cyberdéfense nationale, c’est un panorama qui est assez difficile à dresser : d’un côté – c’est la première extrémité du spectre – on a dans le droit de la cyberdéfense nationale les réglementations nationales de cybersécurité. Et là-dessus, il y a quelques notions qui sont importantes à connaître comme celle d’Opérateurs d’Importance Vitale (OIV). Les Opérateurs d’Importance Vitale sont des organisations, des entités, ça peut souvent être des entreprises et elles peuvent être publiques ou privées. Elles peuvent être de très petite taille ou de très grande taille, la liste est tenue secrète parce que si une entreprise avoue qu’elle est un OIV, autant mettre une cible sur son logo pour faire l’objet des cyberattaques en permanence.

Bien sûr, il y a certaines entités qu’on imagine bien être des OIV comme celles qui peuvent gérer l’énergie, l’approvisionnement en énergie de tout le pays ou l’approvisionnement en eau ou bien la capacité à avoir une fluidité dans les transports, etc. Mais officiellement, la liste ne doit pas être révélée. Deuxième et troisième catégories : ce sont les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN). Les OSE fournissent un service dont l’interruption aurait un impact significatif sur l’économie ou la marche de la société. Ils sont un degré en-dessous des OIV, en termes de nécessité de protection. Ces opérateurs ainsi que les Fournisseurs de Services Numériques (FSN) sont une création récente du droit européen de 2016, avec une directive sur la sécurité des systèmes et des réseaux d’information qu’on appelle directive SRI ou NIS. Cette réglementation aussi est très pointilleuse, comme pour les OIV. Mais elle est essentielle pour protéger l’ensemble de la société contre les cyberattaques ou pour minimiser les conséquences d’une cyberattaque.

Autre élément de la réglementation nationale de cyberdéfense : on a un grand nombre d’instructions ministérielles qui sont très détaillées, très nombreuses, on a des décrets d’application en tous sens, qu’on ne peut pas lire de manière distraite. Il faut être concentré et expert pour les connaître et pour les lire, les comprendre.

L’extrémité première du spectre du droit de la cyberdéfense nationale, c’est donc la partie dure en quelque sorte.

À l’autre extrémité du spectre, on a un ensemble de textes qui ne sont pas nécessairement des textes contraignants en tant que tels, mais qui ont un impact sur le comportement juridique de l’État français ou des entreprises françaises.

On pense par exemple à des documents stratégiques comme les livres blancs. Les livres blancs sont des documents de référence qui annoncent comment une politique va être menée sur un certain sujet. Des livres blancs en 2008 et en 2013 sur la sécurité et la défense nationale évoquent la cyberdéfense. On a surtout un document très important qui est la revue stratégique de cyberdéfense de 2018, document dont la rédaction et le caractère complet, mesuré et pertinents ont été plusieurs fois reconnus et acclamés d’une certaine manière parce que c’est un document d’une excellente qualité.

Citons un autre instrument : l’Appel de Paris pour la confiance et la sécurité dans le cyberespace qui a été lancé en 2018 à l’initiative du président Macron. C’est une déclaration de haut niveau, ça veut dire que ça n’est pas un traité international contraignant mais une sorte de charte de haut niveau dans laquelle les signataires ou les personnes qui adhèrent s’engagent à adopter un certain comportement qui va réduire les hostilités systématiques sur le cyberespace et donc améliorer la cyberdéfense nationale.

On peut aussi citer un document très remarqué qui est la doctrine sur le Droit international appliqué aux opérations dans le cyberespace, doctrine qui a été portée par la ministre des Armées Florence Parly. Il a été également très remarqué comme étant un vrai document porteur d’un comportement juridique de la France en matière de droit international du cyberespace.y

Nous allons nous concentrer sur un seul cas d’usage : la cybersécurité d’un OIV. Pour comprendre ce que c’est qu’un OIV, il faut comprendre « IV », parce que ces deux lettres vont apparaître beaucoup : SAIV, et SIIV. Il s’agit des lettres qui représentent l’Importance Vitale, c’est-à-dire ce sans quoi la Nation est en grave danger.

Il y a douze secteurs d’activité d’importance vitale en France, on les appelle les SAIV. Bien sûr, on peut penser à l’alimentation, l’énergie, l’espace, les transports. Les secteurs sont rendus publics dans un texte, dans un arrêté qu’on peut librement consulter sur internet, et en face de chacun de ces secteurs, il y a un ministre coordonnateur qui vient assurer le fait que ce secteur d’activité d’importance vitale va être préservé.

Imaginons dans notre cas que le ministre coordonnateur du secteur d’activité d’importance vitale de l’énergie attribue à la société ABÉCÉ le statut d’Opérateur d’Importance Vitale (OIV) en estimant que l’activité de ABÉCÉ est indispensable à la vie de la Nation. Quelles sont les recommandations que l’on peut donner à la société ABÉCÉ ? Pour simplifier, on pourrait dire d’abord de se mettre en contact avec l’ANSSI ! C’est l’ANSSI qui va gérer une grande partie de l’accompagnement de la société vers la mise en conformité juridique et technique qui est liée à son statut d’OIV. Mais profitons-en pour détailler quelques recommandations élémentaires.

La première recommandation qu’on pourrait faire consiste à déclarer à l’ANSSI ses systèmes d’information d’importance vitale, les SIIV et à les déclarer après avoir mené une étude d’impact pour pouvoir les identifier. La déclaration se fait en utilisant un formulaire qui est classé « confidentiel défense » parce qu’évidemment, on révèle la localisation et la nature de ces systèmes d’information d’importance vitale. Il n’est donc pas question que, en remplissant le formulaire, tout le monde en ait connaissance. Donc ils sont classés « confidentiel défense ».

Deuxième recommandation : quand on est un OIV, on a une liste de vingt catégories de règles de sécurité qui s’appliquent à nous. En voici quelques-unes :

• La journalisation, c’est-à-dire le fait de garder une trace de tout ce qui se passe en informatique dans ses systèmes ;
• La détection ;
• L’identification ;
• Les droits d’accès ;
• Les comptes d’administration ;
• Le cloisonnement ;
• Le filtrage ;
• L’accès à distance ;
• etc.

Vingt catégories de règles, donc.

Ce qu’il est conseillé de faire quand on est un OIV, c’est d’identifier et de mettre en œuvre pour chaque catégorie les règles spéciales de sécurité qui s’appliquent. On doit pouvoir montrer qu’on est en conformité avec ces vingt catégories de règles, le cas échéant dans son système.

Troisième élément : c’est la déclaration et le contrôle des prestataires de service qualifiés, qui sont des prestataires d’un très haut niveau de compétences et qui font l’objet d’un agrément particulier. Il faut identifier les cas dans lesquels l’OIV doit avoir recours à des prestataires de service qualifiés en matière de sécurité et de systèmes d’information et il faut réaliser des contrôles qui sont imposés. Ce que l’on demande à l’OIV, c’est d’être dans une relation non pas seulement de prudence mais de véritable contrôle. Il faut de la transparence : c’est la déclaration. Il faut du contrôle, parce qu’on doit avoir une logique de grande responsabilisation quand on est un OIV.

La dernière série de règles, c’est la gestion des prestataires. La liste n’est pas exhaustive, mais ce serait la quatrième recommandation élémentaire. Il s’agit ici d’obliger les prestataires à respecter les règles spéciales de sécurité qui sont applicables aux OIV, les vingt catégories de règles qu’on a évoqué tout à l’heure.

Si jamais j’ai un prestataire qui vient m’installer un logiciel dans mon système d’information, il est évident que ce prestataire, même s’il n’est pas qualifié de OIV, doit respecter les règles qui s’appliquent aux OIV, surtout si ce prestataire va venir installer un matériel informatique ou un logiciel informatique sur un système d’information d’importance vitale (SIIV). Il a beau ne pas être qualifié d’OIV, il faut qu’il respecte les règles qui s’appliquent aux OIV et c’est le rôle de l’OIV de gérer cette relation de prestataires.

Sinon quoi ? Ce n’est pas seulement l’entreprise qui peut être sanctionnée, ce sont les dirigeants. 150 000 euros d’amende pour les dirigeants de l’OIV et le quintuple pour l’entreprise elle-même. On voit ici qu’il y a quelque chose de très incitatif, sinon dissuasif.

Pour conclure : ce droit des OIV est un droit qui a servi de modèle pour l’Union Européenne lorsque a été mise en place en 2016 la directive NIS dont j’ai parlé tout à l’heure, puisque c’est à partir du système des OIV qui fonctionne bien que l’Union Européenne s’est dit : « il faut la même chose pour les Opérateurs de Services Essentiels et pour les Fournisseurs de Services Numériques ». Il est intéressant de voir que la législation française sur ce point a servi de modèle à l’Union Européenne.

Il est encore plus intéressant de se rendre compte que dans un domaine aussi éminemment national que la cyberdéfense nationale, on est en train d’avoir quelque chose qui est un modèle d’harmonisation européenne puisque la catégorie des OSE et des FSN est commune à l’ensemble des pays de l’Union Européenne depuis la directive NIS de 2016.

Alors qu’on a un système de cyberdéfense nationale, on commence à avoir des possibilités d’harmonisation à l’échelle européenne, et ça c’est assez inattendu et en tout cas tout à fait remarquable.

Reste à conclure cette semaine passée ensemble. Évidemment, en une heure et quelque, on n’a pas le temps de traiter tout le droit de la cybersécurité : c’est impossible ! Mais on a traité ensemble un certain nombre de domaines qui préfigurent ce qu’est ce domaine beaucoup plus vaste qu’est le droit de la cy- bersécurité. C’est un droit qui est extrêmement complexe et lourd dans ses formulations, dans les liasses documentaires qu’il implique, dans les mesures techniques qu’il implique. Mais cette complexité et cette lourdeur ne doivent pas être vues comme un handicap, comme un défaut.

En réalité, c’est peut-être le troisième point sur lequel on pourrait conclure : peu importe que ce droit soit volumineux et exigeant sur le plan de la production documentaire et de l’adaptation des comportements techniques. Le vrai critère, c’est que si les citoyens ne s’aperçoivent pas que ce droit est en train d’être mis en place, s’ils ne s’aperçoivent pas de l’intensité et de la richesse des relations entre l’État et les entreprises pour pouvoir garantir la cybersécurité le contrôle énorme qu’exerce l’ANSSI qui est extrêmement sollicitée pour assurer la cybersécurité de notre pays et de nos entreprises, ça veut dire que ça fonctionne bien.

Ce droit est aussi lourd dans sa mise en place qu’il est léger et invisible parce qu’il est efficace. C’est un critère de réussite qu’il faudra garder à l’esprit pour pouvoir jauger les évolutions futures de ce droit passionnant, en pleine construction et qui promet encore de belles perspectives. Merci à toutes et à tous d’avoir suivi cette semaine.

◁ Précédent | ⌂ Sommaire | Suivant ▷