Cybersécurité  : frictions entre l’Etat et le monde numérique

Sueurs froides dans le petit monde du numérique. Editeurs de logiciels, hébergeurs, services de cloud et sites d’e-commerce passeront-ils sous la coupe de l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI), organisme d’Etat chargé de la cyber-sécurité française ? C’est la crainte de nombreux professionnels, alors que le Conseil européen des ministres des télécoms examine ce jeudi à Bruxelles le projet de directive « Sécurité des réseaux et des infrastructures », dite NIS. Les Etats doivent décider s’ils élargissent aux acteurs de l’Internet les obligations dévolues aux opérateurs d’importance vitale (OIV). Le texte sera ensuite négocié avec le Parlement et la Commission européenne avant son adoption finale.

Soumettre le champ privé au champ régalien

Aujourd’hui, les OIV (banques, réseaux télécoms, opérateurs d’énergies...) sont par exemple tenus de reporter systématiquement tous les incidents détectés dans les réseaux, de former des directeurs de sécurité, de répondre aux audits de l’ANSSI, etc. Autant d’obligations qui ont un coût non négligeable, en particulier pour des PME, et qui posent question quant à la légitimité d’une agence d’Etat à pénétrer dans les systèmes d’information d'une entreprise privée. « Sous couvert de cyber-sécurité, il s’agit de soumettre le champ privé au champ régalien », résume Laurent Baudart, délégué général du Syntec Numérique, qui représente les sociétés informatiques et les éditeurs de logiciels.

Manuel Valls favorable à cette mesure européenne

L’Allemagne et la France sont partisanes de cet élargissement. Selon nos informations, le cabinet de Manuel Valls l’a confirmé au Syntec Numérique mardi. Ainsi, d’après les conseillers du Premier ministre, il serait légitime pour l’ANSSI d’avoir « la main » sur les entreprises du secteur, une expression qui n’a pas tardé à transpirer à l’extérieur des murs de Matignon. « L’ANSSI n’a pas à mettre la main sur les acteurs du numérique ! », s’est révoltée dans un communiqué l’ASIC , qui représente les acteurs du Web (Facebook, Google, Microsoft, Dailymotion...). « Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ?», s’est emportée l’association. Pour l’AFDEL, qui défend les éditeurs de logiciels, une telle extension « déteriorerait la compétitivité des entreprises, en particulier des PME, et serait disproportionnée ».

Sont visés OVH, Office 365 de Microsoft et Google

Chez Axelle Lemaire, la secrétaire d’Etat au numérique, on tente de minimiser la portée d’une telle mesure. Toutes les entreprises ne seraient pas concernées, seulement « les points de connexion, les noms de domaine, les services de cloud ou de messagerie », fait-on valoir. Et seulement les plus importants, ceux dont l’arrêt aurait un impact économique majeur. Sont par exemple visés les hébergeurs comme OVH, la suite Office 365 de Microsoft, Google, et les services de cloud d’Amazon, mais pas son site d’e-commerce. Quant à Facebook, la question doit encore être tranchée.

Resterait à définir l’organisme chargé de mener ces contrôles. Le texte suggère de confier cette mission à l’ENISA, une agence européenne basée en Crète. Chez Axelle Lemaire, on souhaite évidemment que l’ANSSI conserve ses prérogatives et son indépendance.