Florian Dèbes

La directive NIS a vocation à harmoniser les mesures de sécurité prises dans chaque pays. Sa révision était au coeur des débats de la Paris Cyber Week, qui se tenait les 8 et 9 juin.

A six mois de la présidence française du Conseil de l'Union européenne, les débats entre les Etats membres restent vifs sur les dossiers de cybersécurité. Alors que les attaques informatiques se multiplient, les Vingt-Sept entendent mieux se protéger en renforçant leurs règles communes. C'était l'un des principaux sujets de discussion à la Paris Cyber Week qui s'est déroulée en début de semaine, réunissant tout le gratin européen du secteur.

Les réflexions ont beaucoup tourné autour de la fameuse directive NIS (Network and Information Security), adoptée en 2016 et qui a vocation à harmoniser les mesures de sécurité prises dans chaque pays. En fin d'année passée, la Commission européenne a lancé une révision de ce texte qui a déjà imposé un premier volet d'obligations à des milliers d'organisations publiques ou privées dont l'activité est considérée comme indispensable au fonctionnement normal du continent.

Alors que la menace s'est accrue ces dernières années, avec des attaques de plus nombreuses et sophistiquées, la Commission européenne propose d'élargir le champ des organisations concernées. Elle veut par ailleurs transformer en obligation ce qui n'est aujourd'hui que recommandation. Par exemple, l'usage du chiffrement ou la mise à l'épreuve ponctuelle des défenses numériques via des tests de pénétration.

« C'est l'occasion d'inclure dans le dispositif des secteurs auxquels personne n'avait pensé il y a cinq ans, par exemple l'industrie pharmaceutique, les équipements médicaux ou les services postaux », se réjouit Maria-Manuela Catrina, l'ex-secrétaire d'Etat au Numérique en Roumanie, présente à la Paris Cyber Week. Cependant, l'Europe peine pour l'instant à s'accorder sur la liste des entreprises qui seront bientôt soumises à de nouvelles contraintes.

« Le problème, c'est que les questions de sécurité relèvent de la compétence nationale de chaque Etat membre », note l'observatrice. Certains Etats rechignent à alourdir les exigences pour leurs administrations publiques. Côté français, le discours est totalement inverse. « Etre régulé n'est pas une punition, ça demande des efforts mais c'est une chance », expliquait récemment devant des sénateurs Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). De la fenêtre des grands groupes français, il n'y aura pas de gros changements à attendre, dit-il aussi en substance. La loi française prévoit déjà un statut d'opérateur d'importance vitale plus contraignant que le statut européen.

Querelle géopolitique

Les mêmes types de débats agitent les milieux européens au sujet des critères de certification des technologies que l'Europe entend garantir après une analyse technique et juridique. Là aussi, la France comme l'Allemagne sont en avance sur leurs homologues européens.

Mais, à vingt-sept, les discussions virent parfois à la querelle géopolitique. Quand la ligne française se méfie des solutions américaines exposées aux législations extraterritoriales des Etats-Unis, des pays de l'Est, eux, ne voient pas de raison de ne pas faire confiance aux technologies de l'allié qui les protège de leur voisin russe au sein de l'OTAN… « Si vous voyagez en Europe, je suis presque sûr que vous entendrez 27 définitions de la souveraineté numérique », pointe le danois Casper Klynge, vice-président chargé des relations avec les gouvernements européens pour Microsoft.

Les entreprises européennes de la cybersécurité demandent cette harmonisation simplificatrice qui leur éviterait de faire certifier leurs technologies auprès de 27 guichets. Pour l'Alliance pour la Confiance Numérique, la certification permet même de « déplacer la compétition non plus uniquement sur le terrain du prix mais également sur celui de l'excellence technique, favorisant ainsi naturellement les acteurs français ».

Publié il y a quelques jours, l'observatoire de cette organisation représentative du secteur indique que le marché de la cybersécurité a enregistré 11 % de croissance en 2020 en France. Mais aussi que les acteurs français ont continué à perdre des parts de marché au profit de concurrents américains.