La nouvelle directive sur la sécurité de l'information et des réseaux (NIS) adoptée hier, à une large majorité, par les membres du Parlement européen omet d'exiger des géants de l'Internet comme Google, Amazon, eBay et Microsoft, le signalement des incidents de sécurité.
Alors que dans les propositions initiales, il était demandé aux « facilitateurs de services de la société d'information » de signaler à une autorité nationale toute violation de sécurité « affectant de manière significative la continuité des services critiques et leur accès », accompagnée on non de la fuite de données, la loi approuvée hier par les parlementaires européens ne concerne désormais que les entreprises « qui possèdent, exploitent ou fournissent la technologie à des infrastructures critiques ».
Une directive très discutée au Parlement
Les organisations professionnelles ont été promptes à saluer la loi, félicitant « le Parlement européen d'avoir judicieusement limité la directive aux infrastructures critiques ». Selon Thomas Boué, directeur des relations avec les gouvernements au sein de la Business Software Alliance (BSA), « la présente directive ne réussira que si elle repose sur des définitions claires et pérennes et sur une approche proportionnelle [de la sécurité] basée sur le risque, qui permet au secteur privé de continuer à innover ».
Pour sa part, Amelia Andersdotter, membre du Parti Pirate au Parlement européen, a dit qu'elle avait voté contre la directive, parce que, selon elle, « cette loi valide toutes les mauvaises mesures ». Quant à Mme Neelie Kroes, commissaire européenne responsable de la stratégie numérique, qui a présenté la proposition, elle a estimé que « ce vote était une très bonne nouvelle pour les citoyens européens ». Ajoutant : « Les États membres doivent être prêts à répondre à des cyberattaques. Aujourd'hui, certains pays présentent des lacunes et nous avons besoin de les combler. Nous sommes aussi forts que le maillon le plus faible ».
93% des entreprises victimes d'un cyberattaque
Il reviendra aux États membres de traduire cette directive en droit national, si bien que les sanctions applicables pour avoir omis de déclarer un incident varieront d'un pays à l'autre. Cependant, l'article 15 stipule que les États membres devront enquêter sur tous les cas de non-conformité. Nelly Kroes a dit qu'elle voulait parvenir à un accord avec les États membres de l'UE avant la fin de l'année 2014.
Selon la Commission, 93 % des grandes entreprises ont été victimes d'une cyberattaque en 2012. Pourtant, près de trois quarts des 160 répondants à une enquête en ligne réalisée par la Commission européenne ont déclaré que l'obligation de signaler les incidents de sécurité n'entraînerait pas de coûts supplémentaires, et plus des deux tiers ont répondu que la mise en oeuvre d'un système de gestion des risques NIS performant n'aurait aucun impact sur les coûts.