Le Parlement européen vient de signer un accord en vue de définir des règles communes en matière de prévention des attaques informatiques mais également de leur signalement. Les Etats se sont entendus sur un principe large, à savoir que les entreprises qui utilisent des infrastructures critiques doivent être tenues de garantir des réseaux sûrs.
Ces services ne sont pas les seuls concernés puisque l'Europe précise que les marchés en ligne comme eBay ou Amazon, les moteurs de recherche mais également les fournisseurs de cloud devront satisfaire à cette obligation de sécurisation de leurs structures. Le texte va donc plus loin que les obligations qui incombent déjà aux opérateurs de réseaux d'importance vitale auprès de l'ANSSI.
Il s'agit donc d'une avancée dans ce domaine. Depuis 2013, l'Europe cherche à obliger les entreprises des secteurs de l'énergie, des transports, de la santé ou des services financiers à implémenter des mesures de sécurité minimales pour leurs installations informatiques. Baptisée NIS (pour Network and Information Security), la directive implique surtout à ces mêmes professionnels de rapporter aux autorités compétentes tout incident informatique (cyber-attaque, intrusion, perte de données...).
Sur ce point, le Parlement européen précise que ces professionnels seront tenus, dans l'ensemble du territoire communautaire de « signaler aux autorités publiques les infractions graves à la sécurité ». Les micros et petites entreprises numériques jouiront, quant à elles, d'une exemption.
Dès à présent, les Etats membres vont devoir nommer les équipes d'intervention référentes en cas d'incident lié à la sécurité informatique. Quant au texte défini par le Parlement, il doit encore être approuvé par la commission du marché intérieur du Parlement et par le comité des représentants permanents du Conseil avant son adoption.
A lire également
