Maire-info
Le quotidien d’information des élus locaux
Édition du mercredi 29 janvier 2025
Cybermalveillance

Cybersécurité : la transposition de la directive « NIS 2 » avance lentement mais sûrement

En octobre dernier, le projet de loi de transposition de la directive européenne « NIS 2 » a été présenté en Conseil des ministres. Cette semaine, la ministre Clara Chappaz a présenté le texte au Sénat. Le retard s'accumule et de nombreuses questions restent sans réponse.

Par Lucile Bonnin

Une transposition complexe dans une situation politique instable. C’est le défi auquel tente de répondre le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, présenté officiellement en octobre dernier et depuis en attente d’examen par le Parlement. 

C’est sur ce sujet que Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a été interrogée mardi au Sénat par la commission spéciale résilience cybersécurité. L’occasion de rappeler pour la ministre l’importance de ce texte notamment pour les collectivités et de préciser la part que le gouvernement va prendre dans ce gigantesque chantier. 

Les collectivités peuvent d’ores et déjà se préparer 

Le projet de loi de transposition de la directive européenne « NIS 2 »  a été présenté en Conseil des ministres début octobre (lire Maire info du 18 octobre). 1 489 collectivités territoriales et 992 communautés de communes métropolitaines et d'outre-mer devraient être concernées par ces nouvelles règles de cybersécurité. Concrètement, trois directives européennes vont être transposées via un projet de loi « visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber » , dont la directive NIS 2. Ce projet de loi ne sera sans doute pas examiné en séance publique au Sénat avant le mois de mars. 

« Nous ne partons pas de rien, rassure la ministre devant les sénateurs. La France disposait dès 2013 d’une réglementation robuste pour renforcer la cybersécurité des systèmes d’information d’importance vitale. Ce cadre a été complété avec la directive NIS 1. Cependant, comme le directeur général de l’Anssi l’indiquait, la menace cyber a évolué ces dernières années. Les attaques par rançongiciel, les campagnes de phishing, les attaques d’origine étatique concernent maintenant l’ensemble du tissu économique et social. Toutes les organisations sont concernées avec une hausse de 30 % des attaques dont 60 % d’entre elles concerne les TPE PME et les collectivités territoriales. » 

Une fois le décor planté, Clara Chappaz a rappelé que « les collectivités territoriales ne sont pas en reste »  puisqu’elles sont une cible privilégiée des attaques par rançongiciel. « Entre janvier 2022 et juin 2023 l’Anssi a compté dix attaques par mois contre une collectivité, tous départements confondus » , a-t-elle indiqué.

C’est pourquoi la transposition de la directive européenne « NIS 2 »  est « une transcription fidèle du texte européen »  mais qui « fixe des obligations adaptées au profil de chaque acteur », « tenant compte de sa taille de son secteur de sa capacité financière ou encore de son degré de criticité » . Ainsi, les entités essentielles et importantes devront selon leur classification répondre à certaines obligations. Les régions, les départements, les métropoles, les communautés urbaines et d’agglomérations et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles »   (elles auront davantage d’objectifs à remplir que les entités importantes).

Pour les entités importantes, sont notamment concernés « les communautés de communes et leurs établissements publics administratifs ». La ministre a tenu à préciser hier que par conséquent « l’immense majorité des communes ne seront concernées que par leur intercommunalité de rattachement. » 

Pour les entités importantes, la ministre a indiqué que les obligations sont centrées sur « les bonnes pratiques d’hygiène numérique ». « Pour se préparer, ces entités peuvent d’ores et déjà s’appuyer sur le guide de l’Anssi »  qui présente les 42 mesures d’hygiène informatique essentielles pour assurer la sécurité de votre système d’information et les moyens de les mettre en œuvre, outils pratiques à l’appui. Les entités importantes sont soumises à « un filet de sécurité minimal »  tandis que pour les essentielles « les exigences sont plus strictes et les contrôles plus accrus » , a résumé la ministre. 

Manque de portage politique 

Au moment des questions adressées à la ministre, le sénateur Patrick Chaize, co-rapporteur du projet de loi au Sénat, a rappelé que c’est « un changement majeur de paradigme qui est à l’œuvre »  et a dénoncé le « manque de portage politique »  du gouvernement sur ce sujet. « Une campagne de communication institutionnelle ne serait-elle pas pertinente ? » , a demandé ce dernier. 

D’autant qu’il faut rappeler que les 15 000 entités concernées (essentielles et importantes) devront s’enregistrer auprès de l’Anssi et indiquer elles-mêmes leur catégorie d’entité ; autant donc être bien informé. Pour le sénateur de l’Ain, « nous ne sommes pas prêts, alors que nous sommes déjà en retard ». 

Du côté du gouvernement, on se dit « bien conscient des efforts que certaines collectivités devront faire ». « Nous avons été sensibilisés à plusieurs reprises sur cette question par les associations d’élus » , a expliqué la ministre qui a souligné qu’un besoin d’accompagnement était attendu. L’accompagnement « sera placé au cœur de la mise en œuvre » , a-t-elle indiqué sans donner pour l’heure plus de précision. 

En matière de communication, « le gouvernement doit prendre sa part », selon la ministre, qui a annoncé que des interventions du ministère mais aussi des évènements et une campagne de communication étaient à l’étude, en concertation avec l’Anssi. Clara Chappaz compte aussi sur les fédérations professionnelles pour sensibiliser à ces sujets parfois complexes à appréhender par les collectivités, surtout les plus petites. 

Du côté des associations d’élus, on espère qu’il sera donné aux collectivités concernées les moyens et le temps suffisants pour respecter le futur référentiel de cybersécurité. Le rapport de la CSNP (lire Maire info du 4 octobre) plaide pour qu’un accompagnement « spécifique, technique et financier »  soit prévu pour les collectivités n’ayant pas les moyens nécessaires. 

Consulter le guide d'hygiène informatique de l'Anssi. 

Suivez Maire info sur Twitter : @Maireinfo2