La nouvelle directive sur la sécurité de l'information et des réseaux (NIS) adoptée hier, à une large majorité, par les membres du Parlement européen omet d'exiger des géants de l'Internet comme Google, Amazon, eBay et Microsoft, le signalement des incidents de sécurité.
Alors que dans les propositions initiales, il était demandé aux « facilitateurs de services de la société d'information » de signaler à une autorité nationale toute violation de sécurité « affectant de manière significative la continuité des services critiques et leur accès », accompagnée on non de la fuite de données, la loi approuvée hier par les parlementaires européens ne concerne désormais que les entreprises « qui possèdent, exploitent ou fournissent la technologie à des infrastructures critiques ».
Une directive très discutée au Parlement
Les organisations professionnelles ont été promptes à saluer la loi, félicitant « le Parlement européen d'avoir judicieusement limité la directive aux infrastructures critiques ». Selon Thomas Boué, directeur des relations avec les gouvernements au sein de la Business Software Alliance (BSA), « la présente directive ne réussira que si elle repose sur des définitions claires et pérennes et sur une approche proportionnelle [de la sécurité] basée sur le risque, qui permet au secteur privé de continuer à innover ».
Pour sa part, Amelia Andersdotter, membre du Parti Pirate au Parlement européen, a dit qu'elle avait voté contre la directive, parce que, selon elle, « cette loi valide toutes les mauvaises mesures ». Quant à Mme Neelie Kroes, commissaire européenne responsable de la stratégie numérique, qui a présenté la proposition, elle a estimé que « ce vote était une très bonne nouvelle pour les citoyens européens ». Ajoutant : « Les États membres doivent être prêts à répondre à des cyberattaques. Aujourd'hui, certains pays présentent des lacunes et nous avons besoin de les combler. Nous sommes aussi forts que le maillon le plus faible ».
93% des entreprises victimes d'un cyberattaque
Il reviendra aux États membres de traduire cette directive en droit national, si bien que les sanctions applicables pour avoir omis de déclarer un incident varieront d'un pays à l'autre. Cependant, l'article 15 stipule que les États membres devront enquêter sur tous les cas de non-conformité. Nelly Kroes a dit qu'elle voulait parvenir à un accord avec les États membres de l'UE avant la fin de l'année 2014.
Selon la Commission, 93 % des grandes entreprises ont été victimes d'une cyberattaque en 2012. Pourtant, près de trois quarts des 160 répondants à une enquête en ligne réalisée par la Commission européenne ont déclaré que l'obligation de signaler les incidents de sécurité n'entraînerait pas de coûts supplémentaires, et plus des deux tiers ont répondu que la mise en oeuvre d'un système de gestion des risques NIS performant n'aurait aucun impact sur les coûts.
Cybersécurité en Europe : les géants de l'Internet dispensés de déclarer les incidents
1
Réaction
Selon la loi sur la cybersécurité votée hier par le Parlement européen, l'obligation de signaler les intrusions ou les piratages ne concernera que les entreprises « qui possèdent, exploitent ou fournissent des infrastructures critiques ».
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Cacher la réalité aux clients est un progrès ?
Signaler un abusDécidément, les lobbyistes de la BSA ont encore bien travaillé !
Voilà comment ils protègent leurs partenaires d'éventuelles poursuites et ristournes pour service non rendu ! La frontière entre attaques extérieures et failles internes des logiciels fournis vient de sauter !
Merci encore à mère Europe pour ce petit cadeau supplémentaire pro US !