in Informatique

la loi européenne sur la cybersécurité contre les cybermenaces

by

la loi européenne sur la cybersécurité contre les cybermenaces

L’Europe comprend que la menace de la cybersécurité est un problème qu’elle ne peut pas résoudre depuis Bruxelles. Pour cette raison, et en passant le relais aux entreprises et aux fabricants, elle a lancé l’année dernière la loi sur la cyber-résilience, qui, un an et un peu plus tard, constitue la première réglementation clé que doit suivre toute entreprise souhaitant vendre sur notre territoire. Tout cela, évidemment, motivé par le cyberespionnage massif soutenu par l’IA que pratiquent depuis un an et demi la Chine et les États-Unis : il s’agit de la directive européenne NIS2.

L’Europe a compris qu’elle ne peut pas faire face à une menace mondiale et qu’elle ne peut encore moins mettre fin au cyberespionnage par la politique. Les gouvernements sont également incapables de protéger la vie privée et la sécurité de chacun. La décision était donc évidente : rendre les entreprises responsables de la cybersécurité de leurs produits ou services, ce qui provoque une file d’attente.

L’Europe en a dit assez après les attaques de pirates informatiques contre des entreprises et des gouvernements : il n’y aura pas de « plan de sauvetage »

La contrainte consistant à introduire des informations dans le réseau ou à les vendre, ou simplement à déverrouiller des équipements et des systèmes au moyen de diverses attaques, a aujourd’hui franchi une nouvelle étape vers la fin, du moins en partie. Les Américains disent qu’ils ne négocient pas avec les terroristes, et ils ont raison, car l’Europe va suivre cette voie, sauf qu’elle sera avec les hackers et les groupes cybercriminels.

La loi Cyber-résilience, qui s’accompagne de la loi générale Cybersécurité, aborde quatre points principaux sur lesquels l’Europe est faible :

  • Un niveau insuffisant de cyber-résilience des entreprises opérant dans l’UE.
  • Résilience incohérente entre les États membres et les secteurs.
  • Compréhension commune insuffisante des principales menaces et défis parmi les États membres.
  • Absence de réponse commune aux crises.

C’est un problème qui repose sur les différentes manières d’aborder un problème entre les 27 États membres, et donc, en général, ils veulent mettre fin à leur indépendance pour créer un État central commun comme les États-Unis d’Amérique.

A lire également  Le MSI MEG X670E GODLIKE a un VRM 26 phases

Il s’agit de la directive NIS2, le complément de la loi européenne sur la cybersécurité

Cybersécurité-Droit-Europe

NIS ou National Network and Information Systems pour son acronyme en anglais, va de pair avec SRI, en fait, il est complémentaire. Dans les deux cas, le NIS et le SRI en sont à leur deuxième version, à savoir les directives NIS2 et SRI2, ce qui a impliqué les évolutions suivantes selon Bruxelles :

  • S’appuyant sur la stratégie SRI1 sur la sécurité des réseaux et des systèmes d’information, afin d’atteindre un niveau élevé de préparation des États membres, la directive SRI2 impose aux États membres d’adopter une stratégie nationale de cybersécurité.

  • Les États membres sont également tenus de désigner des équipes nationales de réponse aux incidents de cybersécurité (CSIRT), responsables de la gestion des risques et des incidents, une autorité nationale compétente en matière de cybersécurité et un point de contact unique (SPOC).

    02/11/2025 à 22:25

  • Le SPOC devrait exercer une fonction de liaison pour assurer la coopération transfrontalière entre les autorités des États membres avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’ENISA, ainsi que pour assurer la coopération transsectorielle avec d’autres États membres, autorités compétentes de votre État membre.

Que recherche l’Europe avec ce nouveau NIS2 et quels secteurs couvre-t-il ?

Secteurs réglementés par NIS2

Bruxelles prend toute cette question très au sérieux et c’est pourquoi, désormais, avec NIS2, de nouveaux secteurs sont ajoutés en fonction de leur degré de numérisation et d’interconnexion, introduisant ainsi une norme plus claire. Pour cette raison, la distinction entre opérateurs de services essentiels et numériques est supprimée, en la divisant en deux catégories :

  • Entités essentielles.
  • Entités importantes.

Ces noms ressemblent un peu à une plaisanterie, mais ils sont réels, même si l’important est que tous deux ont été nommés pour quelque chose d’essentiel : ils auront des régimes de surveillance différents. Dans cette optique, l’Europe définit les secteurs suivants pour la directive NIS2 :

  • Secteurs à haute criticité : énergie (électricité, chauffage et refroidissement urbains, pétrole, gaz et hydrogène) ; transport (aérien, ferroviaire, maritime et routier); bancaire; infrastructures des marchés financiers; la santé, y compris la fabrication de produits pharmaceutiques, notamment de vaccins ; eau potable; eaux résiduelles; infrastructure numérique (points d’échange Internet ; fournisseurs de services DNS ; registres de noms de domaine de premier niveau ; fournisseurs de services de cloud computing ; fournisseurs de services de centres de données ; réseaux de diffusion de contenu ; fournisseurs de services de confiance ; fournisseurs de réseaux publics de communications électroniques et de services de communications électroniques accessibles au public ; TIC gestion de services (prestataires de services gérés et prestataires de services de sécurité gérés), administration publique et espace.

  • Autres secteurs critiques : services postaux et de messagerie ; la gestion des déchets; produits chimiques; nourriture; fabrication d’appareils médicaux, d’ordinateurs et d’appareils électroniques, de machines et d’équipements, de véhicules automobiles, de remorques et semi-remorques et d’autres équipements de transport ; les fournisseurs numériques (marchés en ligne, moteurs de recherche en ligne et plateformes de services de médias sociaux) et les organismes de recherche.

Par conséquent, toutes les entreprises qui gouvernent et travaillent dans ces secteurs devront évaluer elles-mêmes les risques de cybersécurité présents dans leurs produits et fournir des déclarations de conformité, ainsi que prendre les mesures appropriées pour résoudre les problèmes causés dans la durée de vie utile de ces produits.

A lire également  Rockstar travaillerait à amener GTA VI sur Nintendo Switch 2

Ou, au contraire, si le produit était intangible dans le temps et dans la forme, pendant au moins 5 ans. Comme on le voit, l’Europe veut s’attaquer à la cybercriminalité des fabricants avec la directive NIS2, qui doivent prendre les choses en main sous peine d’amendes de plusieurs milliards de dollars, en plus de réparer leurs produits en cas de panne.

La question est : cela signifie-t-il des produits ou des services plus chers ? La cybersécurité a un coût croissant, et il faut s’attendre à ce que cela se reflète dans les prix finaux, mais ni la Commission ni les directives n’ont évidemment rien dit à ce sujet.

02/11/2025 à 22:25