Europe : tous les acteurs de l'IT vont-ils devenir des OIV ?

Via la directive sur la sécurité des réseaux et les infrastructures critiques, l’Union européenne pourrait renforcer les obligations de sécurité des acteurs de la société de l’information. L’écosystème s’inquiète.

Examinée jeudi 27 novembre par la formation « télécoms, transports, énergie » du Conseil de l’UE, la proposition de directive sur la sécurité des réseaux et de l’information (SRI ou NIS en anglais) pourrait faire de tous les acteurs des technologies de l’information – des kiosques d’applications aux réseaux sociaux – des opérateurs d’infrastructures critiques, qualification jusqu’ici essentiellement réservée aux entreprises de l’énergie, des télécoms, de la santé et des transports.

Élever le niveau de cybersécurité de l’UE

La proposition « obligerait tous les États membres, les facilitateurs de services Internet clés et les opérateurs d’infrastructures critiques comme les plateformes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l’énergie, des transports, des services bancaires et des soins de santé à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE », expliquait la Commission européenne lors de la présentation, en février 2013, de son plan de cybersécurité pour l’Union européenne.

Votée en mars 2014 par le Parlement européen, la proposition de directive visant à élever le niveau commun de sécurité de l’Union européenne est soutenue par la filière IT. Mais la perspective d’une extension indifférenciée des obligations de sécurité aux entreprises de la société de l’information par le Conseil de l’UE alarme les organisations professionnelles. En particulier l’obligation de signalement des incidents de sécurité auprès d’agences nationales de sécurité des systèmes d’information.

Gestion du risque, priorisation et criticité

La chambre patronale des ESN/SSII, Syntec Numérique, redoute un détournement des ressources nécessaires aux opérateurs d’importance vitale (OIV) vers les services de messagerie, les réseaux sociaux et les jeux en ligne. Et s’oppose fermement à une extension qui ouvrirait la porte à la « balkanisation » d’Internet, selon les termes du délégué général de l’organisation, Laurent Baudart.

De son côté, l’Afdel, qui représente en France plus de 300 éditeurs de logiciels et solutions Internet, met en garde « le gouvernement français et le Conseil de l’UE contre une extension qui en réalité pourrait porter atteinte à la compétitivité des entreprises du numérique – dont de nombreuses PME… –, sans atteindre les objectifs poursuivis en termes de sécurité ». L’association considère aussi qu’à l’heure du Cloud computing, « l’absence de priorisation sur les domaines critiques porterait préjudice à la stratégie globale de cybersécurité » de l’UE. L’Afdel appelle les États membres à privilégier une approche « réaliste et proportionnée aux risques » de la directive, telle que votée en mars par les députés européens.

Lire aussi : LastPass : une alerte cyber pour rien, vraiment ?