B. NIS 2 : UN CHANGEMENT DE PARADIGME POUR LES ENTITÉS ASSUJETTIES ET POUR L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION
Le titre II du projet de loi transpose la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS2 ».
Ce texte conduit à un changement majeur de paradigme : il s'agit non plus seulement, comme avec la directive NIS 1, de sécuriser des infrastructures critiques (environ 500), mais aussi d'assurer la résilience quelque 15 000 entités « essentielles » ou « importantes », en tant qu'organisations, et de l'ensemble de leurs systèmes d'information dans la lutte contre les cyberattaques (cf. encadré ci-dessous).
Principaux types de cyberattaques contre lesquelles entend lutter la directive NIS 2
? Les attaques par rançongiciel, qui consistent à exiger une rançon pour rendre des données ou ne pas les publier ;
? Les attaques par hameçonnage, qui visent les systèmes bancaires en ligne et les données financières des clients ;
? Les attaques sur Internet, exploitant les vulnérabilités des applications ;
? Les attaques de la chaîne d'approvisionnement, qui compromettent la sécurité d'une entité en exploitant les vulnérabilités des produits, services et systèmes de tiers (par exemple, un fournisseur de logiciels) ;
? Les attaques par déni de service distribué (DDoS), qui perturbent les transactions de grande valeur et le traitement des données ;
? Les attaques à caractère social, exploitant les vulnérabilités humaines.
En outre, sur le constat étayé de l'augmentation des menaces cyber sur les collectivités territoriales (cf. grapique ci-dessous), le Gouvernement propose d'inclure dans la transposition près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle, dont l'ensemble des régions et des départements, près de 1 000 communautés de communes et de 300 communes de plus de 30 000 habitants.
Pour la commission spéciale, le choix d'inclure un grand nombre de collectivités territoriales et les établissements d'enseignement supérieur est ambitieux mais nécessaire.
|
Nombre d'incidents cyber par type de collectivité en 2024 |
|
|
En 2024, l'ANSSI a traité 218 incidents cyber affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois, dont 44 incidents affectant des départements et 29 incidents affectant des régions. Ces chiffres se révèlent élevés en comparaison du nombre de départements (101) et de régions (18). |
 |
|
Source : ANSSI - synthèse de la menace sur les collectivités territoriales en 2024 |
|
Les cyberattaques ont un coût très élevé, estimé en 2022 par le cabinet d'études économiques Asterès à 2 milliards d'euros.
Dans le secteur privé, une enquête menée en juin 2024 par l'ANSSI auprès des membres du CLUSIF, une association de professionnels de la cybersécurité, révèle qu'une cyberattaque coûte en moyenne 466 000 euros pour les TPE/PME, 13 millions d'euros pour les ETI et 135 millions d'euros pour les grandes entreprises.
Ce coût représente en moyenne 5 à 10 % du chiffre d'affaires de l'organisation, quels que soient sa taille ou son secteur d'activité, réparti entre les pertes d'exploitation (50 %), le coût des prestations externes d'accompagnement (20 %), le coût de remise en état et d'investissement dans le système d'information (20 %) et le coût réputationnel (10 %).
Dans la sphère publique, les établissements hospitaliers évoqués supra ont supporté des dégâts particulièrement importants : les coûts directs ont ainsi été estimés à 2,36 millions d'euros pour le Centre hospitalier Dax-Côte d'Argent (février 2021) et à plus de 5,5 millions d'euros pour le Centre hospitalier Sud-Francilien déjà cité.
Les collectivités territoriales et les intercommunalités ont également été lourdement affectées, avec des coûts directs estimés à 900 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 million d'euros pour la ville de Bondy (novembre 2020).
A ces coûts directs s'ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiances des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas des missions de service public.
L'adoption de la directive NIS 2 constitue une réponse à l'augmentation de la cybercriminalité
La directive NIS 2 distingue deux catégories d'entités régulées : les entités « essentielles » et les entités « importantes » du point de vue de la sécurité des systèmes d'information. Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).
Deux caractéristiques qui conduisent à qualifier une entité d'essentielle :
· son appartenance à un secteur d'activité « hautement critique » ;
· le dépassement de certains seuils d'effectifs ou d'activité, à savoir le fait d'employer 250 personnes ou d'avoir un chiffre d'affaires annuel excédant 50 millions d'euros et un bilan annuel de plus de 43 millions d'euros.
Au total, selon l'ANSSI, quelque 2 000 entreprises privées devraient ainsi être considérées comme des entités « essentielles »
S'agissant des entités importantes, le texte prévoit que sont désignées comme telles les entreprises appartenant à un des secteurs d'activité « hautement critiques » ou « critiques » qui ne sont pas des entités « essentielles » et qui emploient au moins 50 personnes ou dont le chiffre d'affaires et le total du bilan annuel excèdent chacun 10 millions d'euros.
Le tableau ci-dessous présente la classification des critères applicables aux entreprises selon qu'elles seront assujetties à l'une ou l'autre catégorie.
Seuils de classification des entités essentielles et importantes
|
Nombre d'employés |
Chiffre d'affaires (millions d'euros) |
Bilan annuel (millions d'euros) |
Secteur d'activité hautement critique |
Secteur d'activité critique |
|
Supérieur à 250 |
Supérieur à 50 |
Supérieur à 43 |
Entités essentielles |
Entités importantes |
|
Entre 50 et 250 |
Compris entre 10 et 50 |
Compris entre 10 et 43 |
Entités importantes |
Entités importantes |
|
Inférieur à 50 |
Inférieur à 10 |
Inférieur à 10 |
Non concernées |
Non concernées |
La commission spéciale a néanmoins observé qu'une certaine incompréhension demeurait quant aux différences d'approche de la définition des seuils entre la directive (qui procède par exclusion) et le projet de loi qui définit positivement les critères d'assujettissement. Un effort de pédagogie et de communication important devra être consacré à ce volet de l'application de la loi car dans en pratiques, les entités devront elles-mêmes identifier la catégorie dont elles relèvent.