Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Syndicat Force Ouvrière des Services Publics de la Marne

COLLECTIVITES LOCALES

24 Octobre 2024 , Rédigé par FO Services Publics 51

L’État appelé à renforcer l’accompagnement des collectivités sur leur cybersécurité

La commission numérique du Parlement a rendu un rapport sur la transposition à venir de la directive européenne NIS 2. Cette directive élargit le champ des organisations soumises à des obligations de sécurité informatique, l’étendant notamment aux collectivités locales. Des collectivités que l’État doit prendre par la main pour les aider à respecter ces nouvelles règles, selon les parlementaires.

Voilà une commission qui n’a pas chômé pendant l’été. Malgré la dissolution de l’Assemblée nationale en juillet, la commission supérieure du numérique et des postes (CSNP), commune aux 2 chambres du Parlement, a poursuivi ses travaux et rendu, ce jeudi 3 octobre, un rapport sur les “enjeux de la transposition de la directive NIS 2 en France”.

Cette directive européenne, publiée au Journal officiel européen en décembre 2022, a pour objet d’élargir le périmètre des organisations publiques et privées soumises à des obligations de sécurité informatique, plus ou moins fortes selon leur niveau de sensibilité et de risque : obligations de partage d’informations avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), de mise en place de mesures de gestion des risques, de déclaration des incidents… Ce texte prend en effet la suite de la directive “Networks and Information Security” (NIS), première du nom, qui remonte déjà à 2016.

La menace “cyber” plane toujours plus sur les collectivités locales

La nouvelle mouture doit toutefois encore être transposée en droit français. Et cela n’est pas sans poser quelques “défis”, selon la CSNP. Cette dernière s’inquiète notamment de la capacité des acteurs à se conformer aux nouvelles règles et de celle de l’Anssi à superviser correctement cette mise en conformité. Précisément parce que le champ des acteurs concernés s’est considérablement élargi, mais reste encore un peu flou. “Alors que la directive NIS 1 concernait près de 600 entités, c’est un changement d’échelle qui est opéré avec la transposition de la directive NIS 2 puisque près de 15 000 entités seraient désormais concernées selon l’Anssi”, indique la commission.

Parmi ces entités, on trouve les collectivités locales, qui étaient jusqu’ici épargnées. Le premier défi consiste déjà à réussir à embarquer tous ces nouveaux acteurs, et donc à faire connaître la directive. C’est pourquoi la Commission préconise en premier lieu d’organiser une “véritable campagne de communication à destination des entreprises et des collectivités locales”, en l’axant sur les “bénéfices de la mise en œuvre de la directive NIS 2 et sur les atouts que représente le relèvement du niveau de sécurité numérique pour nos entreprises et nos collectivités locales et la sécurisation des données des clients et des usagers”

Flou persistant pour les collectivités 

Si l’on sait que les collectivités seront concernées, difficile de dire lesquelles précisément à ce stade. La directive prévoit un seuil de 30 000 habitants. L’Anssi a fait les comptes : 1 489 collectivités, groupements et organismes sous leur tutelle pourraient être concernés en tant qu’”entités essentielles” et 992 intercommunalités au titre des “entités importantes”. Malgré tout, il ressort des travaux de la CSNP une incertitude quant aux collectivités tombant réellement sous le coup de la directive.

“Le seuil de 30 000 habitants introduit par la directive NIS 2 et repris par l’article 6 du projet de loi paraît, en théorie, facilement applicable mais certaines collectivités locales qui ne sont pas concernées par ce seuil s’interrogent malgré tout sur leur possible entrée dans le champ d’application de la loi dès lors qu’elles fournissent un service qui relève de l’annexe I ou de l’annexe II de la directive NIS 2, notamment un service de gestion lié au traitement ou de gestion de fourniture d’énergie, d’eau potable, des eaux usées ou de déchets”, détaille la CSNP. Des interrogations qui valent aussi pour certaines petites entreprises exerçant néanmoins dans des secteurs critiques ou hautement critiques. Prenant exemple sur nos voisins belges, la commission parlementaire recommande de confier à l’Anssi le soin et la responsabilité de désigner les collectivités soumises à la directive.

L’État esquisse les contours de la suite numérique des collectivités locales

Lever le flou ne suffit pas. Les parlementaires s’inquiètent aussi de la capacité des collectivités locales à se conformer aux règles. Ils invitent ainsi à “introduire plus de progressivité dans la mise en œuvre de la directive NIS 2” et à “réaliser une étude d’impact plus précise pour qualifier les risques, les menaces et les coûts financiers, administratifs, démocratiques des cyberattaques pesant sur les collectivités territoriales”.

Audit de l’Anssi

Députés et sénateurs préconisent également de dépêcher l’Anssi pour auditer le “degré de maturité des collectivités locales qui seront soumises à la directive NIS 2 et en mesure de se conformer au calendrier de mise en œuvre”. Et, en fonction, de prévoir un accompagnement “spécifique, technique et financier” pour toutes celles qui n’auront pas les moyens suffisants. Et comme si cela ne suffisait pas, La CSNP souhaite renforcer le rôle des préfets dans l’accompagnement des collectivités. 

Elle en profite, au passage, pour demander la création d’une mission parlementaire chargée de mener un examen approfondi du fonctionnement et de l’utilité des centres régionaux de réponse à incident cyber (CSIRT), créés à l’initiative de l’Anssi grâce au plan de relance, pour accompagner les victimes de cyberattaques au niveau local. Et de s’appuyer sur la transposition de NIS 2 pour clarifier leur rôle.

ACTEURS PUBLICS : article publie le jeudi 3 octobre 2024 & Emile Marzolf

 

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article