Stand: 31
1. ------IND- 2014 0635 D-- FR- ------ 20150122 --- --- PROJET
Projet de loi
du gouvernement fédéral
Projet d’une loi visant à augmenter la sécurité des systèmes d’information (loi sur
la sécurité informatique)
A. Problème et objectif
L’utilisation de systèmes d’information (systèmes informatiques) et d’Internet avec son
grand nombre d’offres s’intensifie continuellement au niveau de l’État, de l’économie et
de la société. Une partie significative et grandissante de la vie privée et publique est
désormais mise en ligne ou influencée par Internet. Aujourd’hui, plus de la moitié des
entreprises implantées en Allemagne dépendent d’Internet tous secteurs d’activité
confondus. La numérisation de la société touche dans presque tous les aspects de la
vie, offrant de nouveaux potentiels, ainsi que de nouvelles marges de manœuvre et
synergies. Corrélativement, la dépendance aux systèmes informatiques augmente d’un
point de vue économique, sociétal et individuel, renforçant l’importance de l’accessibilité
et de la sécurité des systèmes ainsi que du cyberespace.
En Allemagne, la sécurité informatique mise en œuvre est désormais accrue. L’Office
fédéral de la sécurité informatique («Bundesamt für Sicherheit in der
Informationstechnik» ou BSI) collecte et analyse une multitude d’informations en
permanence afin d’évaluer en temps réel la menace présente sur l’espace cybernétique.
Ces collectes et analyses sont entre autres réalisées par CERT-Bund (équipe fédérale
d’intervention en cas d’urgence informatique) et par le centre fédéral informatique, ainsi
que dans certains cas par le centre fédéral de cyberdéfense créé en 2011. Les attaques
sont de plus en plus ciblées et elles sont de plus en plus pointues et complexes d’un
point de vue technique.
La loi doit permettre d’améliorer de manière significative la sécurité des systèmes
d’information (sécurité informatique) en Allemagne. Les nouvelles dispositions prévues
permettent de renforcer la protection des systèmes et plus particulièrement des biens
protégés pour assurer une sécurité informatique (accessibilité, intégrité, confidentialité et
authenticité) afin de faire face efficacement aux menaces informatiques actuelles et
futures. La loi a pour objectif d’améliorer la sécurité informatique des entreprises et la
protection déjà renforcée des citoyens sur Internet, ainsi que de conforter le BSI et
l’Office fédéral de la police criminelle (BKA) de ce point de vue.
- 2 -
La sécurité informatique des infrastructures situées au cœur du fonctionnement de notre
communauté est particulièrement cruciale. Les systèmes informatiques de ces
infrastructures critiques doivent être protégés et les réseaux nécessaires à leur
fonctionnement sont donc d’autant plus importants. Le niveau de sécurité informatique
des infrastructures critiques est actuellement très variable. Il existe des dispositions
juridiques précises en matière de sécurité informatique dans les infrastructures de
nombreux secteurs. Dans d’autres, elles sont cependant inexistantes. De nombreux
domaines sont dotés d’un vaste dispositif de gestion des risques et de sécurité, réalisent
des audits, échangent des informations et participent à des exercices. Dans d’autres
domaines, ces mesures n’existent pas ou sont encore rudimentaires. Cette situation
n’est pas acceptable compte tenu de l’intense interconnexion entre les infrastructures
critiques des différents secteurs et des importantes interdépendances qui en résultent.
B. Solution
Il faut combler les déficits en matière de sécurité informatique. Les exploitants
d’infrastructures critiques sont les principaux à devoir maintenir un niveau minimal de
sécurité informatique et à devoir notifier le BSI de tout incident en la matière en raison
des répercussions sociétales importantes pouvant résulter d’une défaillance ou d’une
atteinte à leurs infrastructures et en raison de la responsabilité qui leur incombe par
rapport à l’intérêt public. Les informations recueillies par le BSI sont analysées et mises
à la disposition des exploitants d’infrastructures critiques afin qu’ils puissent renforcer la
sécurité de leurs infrastructures dans les meilleurs délais. Les exploitants contribuent
également à l’amélioration de la sécurité informatique dans la mesure où ils ont pour
obligation d’informer le BSI de tout incident. En contrepartie, ils profitent également des
déclarations déposées par d’autres exploitants et de leur analyse par l’intermédiaire du
BSI, obtiennent une multitude d’informations et disposent de savoir-faire. Cela permet
en même temps de renforcer la fonction de conseil du BSI dans ce domaine.
Pour renforcer la protection des citoyens, les opérateurs de télécommunication, qui
jouent un rôle clé dans la sécurité de l’espace cybernétique, ont pour obligation de
fournir une sécurité informatique en prenant en compte l’état de la technique non
seulement pour protéger la confidentialité des télécommunications et les données
personnelles, mais aussi pour garantir l’accessibilité de leurs systèmes de
télécommunication et systèmes informatiques. L’Agence fédérale des réseaux contrôle
régulièrement que les dispositifs qui sont à la base de la sécurité informatique sont mis
en place au sein des entreprises. Cela permet globalement d’améliorer la résistance des
infrastructures de communication et de sécuriser la confidentialité, l’intégrité,
- 3 -
l’authenticité et l’accessibilité des systèmes informatiques et des données qu’ils
contiennent. Indirectement, la responsabilité des fabricants s’accroît du fait qu’ils doivent
également proposer des produits adaptés.
En outre, les opérateurs de télécommunication doivent immédiatement avertir le BSI par
l’intermédiaire de l’Agence fédérale des réseaux en cas d’incident informatique pouvant
impliquer un accès illicite aux systèmes des utilisateurs ou une dégradation de
l’accessibilité. Ils doivent informer également au plus vite les utilisateurs concernés par
les perturbations identifiées qui ont été occasionnées par des logiciels malveillants sur
les systèmes informatiques des utilisateurs.
Dans la mesure où une multitude d’attaques informatiques pourraient d’ores et déjà être
écartées par la mise en œuvre de mesures de sécurité normalisées, la sensibilisation
accrue des utilisateurs permise par la publication d’un rapport annuel fournissant les
informations prévues par la loi contribue de manière significative à l’amélioration de la
sécurité informatique. Le BSI joue un rôle accru comme bureau central national de la
sécurité informatique pour les autres États et en raison de sa participation à l’élaboration
d’un manuel de sécurité destiné aux opérateurs des réseaux de télécommunications a
été renforcé. En plus de ces mesures, les droits du BKA ont été élargis dans le domaine
de la cybercriminalité étant donné le nombre croissant d’attaques informatiques à
l’encontre des structures fédérales et des infrastructures critiques dans toute
l’Allemagne.
Les dispositions destinées aux exploitants des infrastructures critiques portent sur les
différentes exigences imposées à chaque secteur en matière de sécurité et l’obligation
de déclaration des incidents informatiques majeurs et correspondent en principe à la
proposition de la Commission d’une directive du Parlement européen et du Conseil
portant sur les mesures destinées à garantir une sécurité globale accrue dans l’Union
pour les réseaux et les systèmes informatiques.
C. Alternatives
Conservation de la situation juridique préexistante.
D. Dépenses budgétaires sans charges d’exécution
Aucune.
E. Charges d’exécution
E.1 Charges d’exécution pour les citoyens
- 4 -
Aucune charge d’exécution n’incombe aux citoyens.
E.2 Charges d’exécution pour le secteur économique
En ce qui concerne les charges d’exécution d’un point de vue économique, on distingue
parmi les titulaires d’un agrément aux termes de la loi sur l’utilisation de l’énergie
nucléaire les exploitants de réseaux d’approvisionnement en énergie et de dispositifs de
production d’énergie, certains opérateurs de télécommunication, d’autres exploitants
d’infrastructures critiques et certains prestataires de services télématiques.
Les charges d’exécution pour les exploitants d’infrastructures critiques sont les
suivantes:
respecter le niveau minimal de sécurité informatique;
réaliser un audit sécurité pour confirmer le respect ce niveau;
instaurer et maintenir des modes opératoires permettant de déclarer les incidents
informatiques majeurs au BSI et;
gérer un organisme de liaison.
Les charges d’exécution pour les titulaires d’un agrément aux termes de la loi sur
l’utilisation de l’énergie nucléaire sont les suivantes:
instaurer des modes opératoires permettant de déclarer les incidents
informatiques au BSI.
Les charges d’exécution pour les exploitants de réseaux d’approvisionnement en
énergie et de dispositifs de production d’énergie considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont les suivantes:
instaurer des modes opératoires permettant de déclarer les incidents
informatiques au BSI.
Les charges d’exécution des exploitants de dispositifs de production d’énergie (y
compris les titulaires d’un agrément aux termes de l’article 7, paragraphe 1 de la loi sur
l’utilisation de l’énergie nucléaire) qui sont considérés comme des infrastructures
critiques au sens de la loi sur le BSI sont de plus les suivantes:
respecter les exigences complémentaires imposées en matière de sécurité
informatique et;
réaliser des contrôles afin de vérifier le respect des exigences imposées en
matière de sécurité.
- 5 -
Les charges d’exécution pour les prestations de services télématiques sont les
suivantes:
assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique.
Les charges d’exécution pour les exploitants des réseaux de télécommunications et des
services de télécommunications publics sont les suivantes:
assurer la protection de leurs dispositifs techniques par la mise en œuvre de
mesures respectueuses de l’état de la technique;
maintenir et compléter des modes opératoires permettant de déclarer les
incidents informatiques à l’Agence fédérale des réseaux et;
notifier aux utilisateurs que leurs systèmes informatiques ont été piratés lorsque
cet incident est identifié.
L’obligation de respecter un niveau minimal de sécurité informatique entraînera des
coûts supplémentaires dans les cas où l’actuel niveau de sécurité informatique est
insuffisant. Les dépenses occasionnées dépendent d’une part du niveau de sécurité
requis et d’autre part de l’état actuel des choses pour les destinataires de la loi. Les
dépenses occasionnées ne peuvent pas être quantifiées à l’avance. Il en est de même
pour les dépenses liées à l’audit sécurité ayant pour objectif de contrôler le respect du
niveau de sécurité requis. Les dépenses et les coûts occasionnés pour une certification
ou pour un audit dépendent fortement de la méthode de certification choisie et des
conditions de certification dans l’entreprise. Ces dépenses ne peuvent donc pas être
quantifiées à l’avance. L’obligation de gérer un organisme de liaison entraîne des
dépenses supplémentaires en l’absence d’un organisme de liaison adapté. Les coûts
qui en résultent dépendent de la manière dont son accessibilité est concrètement
assurée par l’exploitant de l’infrastructure critique. Sur ce point, la création d’un centre
principal commun peut faire baisser les coûts.
Les charges d’exécution annuelles devant être supportées par le secteur économique
pour la procédure de déclaration dépendent:
du nombre d’entreprises soumises à l’obligation de déclaration;
le nombre d’incidents devant être déclarés par année et par entreprise et;
des dépenses occasionnées pour chaque déclaration.
Concrètement, le coût total pourra seulement être calculé lors de la promulgation du
décret aux termes de l’article 10 de la loi sur le BSI en se basant sur la méthode de
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
1
/
70
100%
