Loi n° 2018-133 du 26 février 2018 : transpose en droit français la directive (UE) 2016/1148 dite directive NIS

La loi n° 2018-133 du 26 février 2018, qui transpose en droit français la directive (UE) 2016/1148 dite directive NIS (Network and Information Security), est un texte fondamental en matière de cybersécurité. Elle impose aux États membres de l’UE de renforcer la sécurité de leurs infrastructures numériques critiques et des services numériques essentiels.

Objectifs de la loi et de la directive NIS

1. Renforcer la cybersécurité des infrastructures critiques
   • La loi vise à protéger les réseaux et systèmes d’information des opérateurs de services essentiels (OSE) et des fournisseurs de services numériques (FSN) contre les cybermenaces et incidents majeurs.
   • Elle impose des obligations strictes pour sécuriser les infrastructures critiques dans des secteurs comme l’énergie, les transports, la santé, la finance et l’eau.
2. Améliorer la coopération entre États membres
   • La directive NIS oblige les États membres à mettre en place des équipes nationales de réponse aux incidents de sécurité informatique (CSIRT).
   • Elle prévoit une coopération accrue entre les autorités nationales et la Commission européenne en matière de gestion des cybermenaces.
3. Harmoniser les obligations de cybersécurité en Europe
   • Tous les États membres doivent adopter une stratégie nationale de cybersécurité et mettre en place des exigences minimales en matière de protection des réseaux et systèmes d’information.

---

Les obligations introduites par la loi n° 2018-133

1. Désignation des Opérateurs de Services Essentiels (OSE)

• La loi oblige certains acteurs stratégiques (grandes entreprises, services publics, institutions financières…) à renforcer la cybersécurité de leurs infrastructures informatiques.
• Un Opérateur de Services Essentiels (OSE) est une entité qui fournit des services cruciaux à l’économie et à la société (exemple : banques, centrales électriques, hôpitaux, infrastructures de télécommunications).

Exemples d’OSE en France :

• Opérateurs d’énergie (EDF, Engie…).
• Entreprises de transport ferroviaire et aérien (SNCF, ADP…).
• Établissements de santé et laboratoires pharmaceutiques.

2. Obligations pour les OSE et FSN

Les OSE et les Fournisseurs de Services Numériques (FSN) (comme les places de marché en ligne, les services cloud et les moteurs de recherche) doivent :

• Évaluer et gérer les risques de cybersécurité liés à leurs activités.
• Adopter des mesures techniques et organisationnelles pour garantir un niveau de sécurité suffisant.
• Notifier sans délai toute violation de sécurité majeure à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui est l’autorité nationale chargée du suivi.

3. Mise en place d’un cadre de sanction

• L’ANSSI peut imposer des audits de cybersécurité aux opérateurs pour s’assurer de leur conformité.
• En cas de non-respect des obligations, des sanctions financières peuvent être prononcées.
• La loi donne aussi un pouvoir de contrôle renforcé à l’ANSSI pour superviser les infrastructures critiques.

---

Conséquences et impact sur la cybersécurité en France

1. Renforcement de la résilience face aux cyberattaques

• La mise en conformité avec la directive NIS pousse les entreprises critiques à investir dans la sécurisation de leurs infrastructures.
• Des normes plus strictes permettent de mieux anticiper les attaques et de limiter les impacts en cas de compromission.

2. Accélération de la coopération européenne

• Les CSIRT nationaux et les autorités de cybersécurité (comme l’ANSSI en France) échangent plus facilement des renseignements sur les cyberattaques en cours et les vulnérabilités critiques.
• Cela permet une réponse plus rapide et plus efficace en cas de cyberincident à l’échelle européenne.

3. Incitation à l’adoption de technologies de cybersécurité avancées

• Les entreprises désignées comme OSE doivent investir dans :
  • Des solutions de détection et de réponse aux incidents.
  • Le chiffrement des données sensibles.
  • La segmentation des réseaux pour limiter la propagation des cyberattaques.

---

Exemples concrets d’application

Cas 1 : Attaque sur un hôpital

Si un hôpital public (désigné comme OSE) subit une attaque par rançongiciel, il doit :

• Notifier immédiatement l’ANSSI.
• Appliquer des mesures correctives pour contenir la menace.
• Évaluer l’impact sur la disponibilité des services et des patients.

Cas 2 : Fuite de données chez un fournisseur de cloud

Un fournisseur de services cloud (FSN) hébergeant des services critiques pour des entreprises européennes doit :

• Détecter rapidement toute intrusion.
• Renforcer ses protocoles d’authentification et de chiffrement.
• Alerter les autorités compétentes et ses clients.

---

Lien avec d’autres réglementations

• RGPD (Règlement général sur la protection des données) :
  • Complète la directive NIS en imposant des obligations sur la protection des données personnelles.
  • Les entreprises doivent signaler les violations de données aux autorités compétentes.
• Loi sur le Secret des Affaires (2018) :
  • Protège les informations stratégiques contre l’espionnage économique.
  • Renforce l’importance de la cybersécurité pour protéger les secrets industriels.

---

Conclusion

La loi n° 2018-133, qui transpose la directive NIS, a marqué une avancée majeure pour la cybersécurité en France et en Europe. En imposant des obligations aux opérateurs critiques et en renforçant la coopération entre États membres, elle a permis de mieux anticiper, détecter et gérer les cyberattaques.

Source : LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

ATTENTION AUX MISES À JOUR :

Aujourd’hui, cette loi reste une référence, mais elle a été renforcée par la directive NIS 2, adoptée en 2022 et qui élargit encore son champ d’application.