S'informer sur la réglementation

Le cadre réglementaire de la sécurité du numérique englobe deux champs d’application : la sécurité des systèmes d'information et la confiance numérique.

Publié le 06 Juillet 2022 Mis à jour le 10 Octobre 2023
Corps

Le cadre réglementaire de la sécurité du numérique englobe deux grands champs d’application :

  • La sécurité des systèmes d’information, visant à renforcer la sécurité des organismes publics ou privés assurant des services ou traitant des informations de sensibilités particulières ;
  • La confiance numérique, visant à construire un cyberespace de confiance pour accompagner la transformation numérique de la société.

 Au regard de ces champs d’application, certains acteurs sont tenus à une obligation de notification des incidents de sécurité qu’ils subissent.

L’infographie ci-après présente :

  • une vision d’ensemble du cadre réglementaire de la sécurité du numérique selon les deux champs d’application introduits ci-dessus ;
  • une vue synthétique des cadres réglementaires imposant une notification d’incidents.
Sécurité des systèmes d’information
Confiance Numérique
Notification d’un incident

La sécurité des systèmes d’information

Le recours exponentiel aux systèmes d’information d’une part et l’accroissement des menaces qui les visent amènent l’Etat à investir le champ du numérique afin de définir les exigences organisationnelles, techniques ou contractuelles minimales applicables à ces systèmes d’information tout en tenant compte des enjeux de sécurité associés au domaine qu’elles adressent.

Ces exigences visent aussi bien à garantir la protection d’informations hautement sensibles qu’à préserver la continuité de services essentiels au fonctionnement de la nation. Au-delà des exigences applicables aux différentes entités concernées, la réglementation encadre également les capacités de l’ANSSI en matière de détection des événements pouvant affecter la sécurité des systèmes d’information de ces entités.

Le cadre réglementaire relatif à la sécurité des systèmes d’information peut être décliné selon les cinq catégories présentées ci-après :

L’instruction générale interministérielle 1300 définit les exigences applicables aux informations et supports soumis au secret de la défense nationale (classifiés).

L’instruction interministérielle 910 définit les exigences relatives à la mise en œuvre et à la gestion des articles contrôlés de la sécurité des systèmes d’information.

L’instruction interministérielle 300 définit les exigences relatives à la protection contre les signaux compromettants.

L’instruction interministérielle 2100 précise les particularités liées aux rôles et responsabilités associées ainsi qu’aux exigences applicables à la protection en France des informations ou supports classifiés émis dans le cadre de l’OTAN.

L’instruction générale interministérielle 2102 précise les particularités liées aux rôles et responsabilités associées ainsi qu’aux exigences applicables à la protection en France des informations ou supports classifiés de l’Union européenne.

Le dispositif de protection du patrimoine scientifique et technique (PPST) instauré par le décret n° 2011-245 définit les exigences applicables aux zones à régime restrictif (ZRR) au sein des établissements intervenant dans des secteurs scientifiques et techniques protégés.

L’instruction interministérielle 901 définit les exigences organisationnelles et techniques applicables aux systèmes d’information sensibles ou « Diffusion Restreinte ».

La loi de programmation militaire 2014-2019 a créé les exigences du code de la défense relatives au renforcement de la sécurité des systèmes d’information d’importance vitale (SIIV) mis en œuvre par les opérateurs d’importance vitale (OIV).

La directive NIS définit les exigences relatives à la sécurité des systèmes d’information essentiels (SIE) mis en œuvre par les opérateurs de services essentiels (OSE) ainsi que les obligations pesant sur les fournisseurs de services numériques (FSN).

La directive NIS II, en cours de transposition, définira les exigences relatives à la sécurité des systèmes d'information mis en œuvre par les entités importantes ou essentielles.

Le Décret n° 2022-513 du 8 avril 2022 et la politique de sécurité des système d'information de l'État définissent le cadre de gouvernance de la sécurité numérique des administrations et établissements publics d’État.

 

L’article L.33-14 du code des postes et communications électroniques (CPCE) encadre la possibilité pour les opérateurs de communications électroniques (OCE) de mettre en œuvre des dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés et permet à l'ANSSI de s'appuyer sur ces capacités.

L'article L. 2321-2-1 du code de la défense autorise l’ANSSI à déployer à des fins de caractérisation de la menace, un dispositif de détection sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur d'accès ou d'un hébergeur.

Les articles L. 33-14 al.5 du CPCE permet à l’ANSSI de s’appuyer sur les OCE pour transmettre des messages de signalement de vulnérabilité ou de suspicion de compromission auprès de leurs abonnés.

 

La confiance numérique

La transformation numérique de la société amène à un développement massif des échanges par voie dématérialisée, mettant en exergue le besoin d’un cyberespace de confiance à même de garantir la sécurité de ces échanges, en assurant notamment la fiabilité des informations transmises, l’innocuité des services utilisés et plus largement le respect de la vie privée des citoyens.

L'ANSSI participe à la construction de ce cyberespace de confiance, notamment en vérifiant la sécurité des dispositifs techniques utilisés et la fiabilité des offreurs de services en matière de cybersécurité, ainsi qu’en contrôlant la diffusion des moyens de cryptologie ainsi que la mise en œuvre des dispositifs pouvant porter atteinte à la vie privée.

Ce cadre réglementaire de la confiance numérique peut être décliné selon les quatre catégories définies ci-après :

Le référentiel général de sécurité impose aux autorités administratives françaises des règles de cybersécurité pour leurs échanges par voie électronique avec d’autres administrations et avec les citoyens. Le RGS définit également les exigences applicables aux produits et services de confiance utilisés dans le cadre de ces échanges.

Le règlement européen n°910/2014 « eIDAS » définit au niveau européen les exigences applicables en matière d'identification électronique ainsi qu'aux prestataires de services de confiance, ainsi que les effets juridiques et modalités de reconnaissance mutuelle.

Les articles L.100 à L.103 du code des postes et communications électroniques définissent au niveau national les exigences les modalités de certification relatives aux services introduits par la loi pour une République numérique : l’identification électronique, les coffres-forts numériques et la lettre recommandée électronique.

Le règlement européen n°2019/881 « Cybersecurity Act » définit un cadre de certification de cybersécurité des produits, services et processus des technologies de l’information, harmonisé à l’échelle européenne

La loi n°2004-575 du 21 juin 2004 (LCEN) et le décret 2007-663 du 2 mai 2007 définissent les modalités de contrôle domestique (fourniture, importation, transfert intracommunautaire et exportation) des moyens de cryptologie.

Le règlement délégué (UE) 2019/2199 de la Commission européenne définit au niveau européen les modalités de contrôle d’export des moyens de cryptologie.

Les articles R.226-1 et suivants du code pénal définissent le cadre réglementaire applicable aux appareils ou dispositifs techniques, listés en annexe de l’arrête du 4 juillet 2012, pouvant porter atteinte au respect de la vie privée et au secret des correspondances.

La notification des incidents et vulnérabilités

Certains acteurs soumis à des obligations réglementaires spécifiques peuvent être tenus de notifier leurs incidents de sécurité à l’ANSSI :

Les opérateurs d’importance vitale peuvent se rendre sur la page dédiée à la notification d’un incident relatif à un SIIV. 

Les opérateurs de service essentiel ou un fournisseur de service numérique peuvent se rendre sur la page dédiée à la notification d’un incident relatif à un SIE.

Les prestataires de services de confiance peuvent se rendre sur cette page pour notifier un incident portant sur un service de confiance « eIDAS ».

Pour tous les acteurs qui ne sont pas soumis à ces obligations :

Les particuliers, très petites, petites ou moyennes entreprises, les associations locales  ou les collectivités territoriales de moins de 5000 habitants peuvent contacter le dispositif d’assistance aux victimes d’actes de cybermalveillance.  

Toute personne ayant découvert une faille de sécurité ou une vulnérabilité peut la déclarer à l’ANSSI.

Dans tous les autres cas, ou en cas de doute, il est possible de contacter directement le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR).

La sécurité des systèmes d’information

Le recours exponentiel aux systèmes d’information d’une part et l’accroissement des menaces qui les visent amènent l’Etat à investir le champ du numérique afin de définir les exigences organisationnelles, techniques ou contractuelles minimales applicables à ces systèmes d’information tout en tenant compte des enjeux de sécurité associés au domaine qu’elles adressent.

La confiance numérique

La transformation numérique de la société amène à un développement massif des échanges par voie dématérialisée, mettant en exergue le besoin d’un cyberespace de confiance à même de garantir la sécurité de ces échanges, en assurant notamment la fiabilité des informations transmises, l’innocuité des services utilisés et plus largement le respect de la vie privée des citoyens.