72 heures, pas une de plus : c’est le délai accordé à une entreprise française pour signaler une attaque informatique à la CNIL, sous peine de se voir infliger une sanction. Dans l’ombre de ce compte à rebours, la directive NIS2 est venue rebattre les cartes, imposant des exigences de sécurité accrues à une foule d’opérateurs, y compris des PME longtemps restées à l’écart. Pourtant, certaines administrations publiques continuent d’échapper à une partie des exigences européennes.
Le découpage des responsabilités ne colle pas toujours à la réalité des menaces. Entre exigences spécifiques à chaque secteur, normes nationales et accords passés entre États, la répartition des rôles en cybersécurité demeure éclatée.
Cybersécurité : un enjeu partagé entre acteurs publics et privés
La cybersécurité ne concerne plus uniquement les équipes informatiques. Depuis la vague d’attaques qui a frappé hôpitaux, collectivités et grandes entreprises industrielles, chaque acteur est désormais concerné, du conseil d’administration jusqu’aux prestataires techniques.
L’ANSSI, c’est-à-dire l’Agence nationale de la sécurité des systèmes d’information, joue le rôle de chef d’orchestre en France. Elle donne les grandes orientations et coordonne les démarches entre entités publiques et privées. Mais sur le terrain, la situation se révèle bien plus fragmentée. Les entreprises naviguent au milieu d’un foisonnement réglementaire venu de l’Union européenne. La directive NIS2 élève la barre, forçant désormais même les PME et ETI à s’adapter à des exigences inédites.
Les instances dirigeantes ne peuvent plus se contenter de déléguer ces enjeux à la DSI. La gestion des risques numériques s’immisce partout : dans la stratégie, la gouvernance, et jusque dans la gestion courante. Selon le rapport annuel de l’ANSSI, la majorité des incidents graves détectés en 2023 mettaient en évidence une faille dans la chaîne de responsabilité, entre maîtrise technique et choix stratégiques.
Voici comment se distribuent concrètement les rôles clés dans la sécurité numérique :
- Définition de la politique de sécurité : conseil d’administration, direction générale
- Déploiement des mesures techniques : RSSI, DSI, équipes opérationnelles
- Supervision et coordination : ANSSI pour le secteur public, prestataires spécialisés pour les entreprises privées
Le partage des tâches n’a plus rien de théorique. Les coopérations public-privé se multiplient : mutualisation des alertes, formation commune à la gestion d’incidents… La ligne de séparation entre sphère étatique et monde de l’entreprise s’efface, laissant place à une approche globale de la sécurité des systèmes d’information.
Qui porte la responsabilité en cas d’incident cyber ?
La question de la responsabilité lors d’un incident cyber révèle le niveau de préparation d’une organisation. Face à une fuite de données ou une attaque informatique, le regard ne se tourne plus seulement vers le service informatique. La direction voit sa responsabilité élargie : il ne s’agit plus seulement de valider les budgets ou d’approuver la politique de sécurité.
Avec le RGPD, la donne a changé. Le responsable du traitement des données personnelles doit rendre des comptes, y compris sur le plan civil et pénal. Si le préjudice est démontré, la direction peut répondre devant la justice, tout comme les sous-traitants si leur défaillance est avérée.
Plus concrètement, voici comment s’articulent les différents niveaux de responsabilité :
- Responsabilité civile : indemnisation des victimes, qu’il s’agisse de pertes financières ou d’atteinte à la vie privée suite à une fuite de données.
- Responsabilité pénale : les dirigeants s’exposent directement en cas de négligence avérée.
Les tribunaux analysent la traçabilité des décisions, la qualité de la gestion des risques cyber, et la réalité des mesures mises en œuvre. Certes, le cybercriminel déclenche l’attaque ; mais la chaîne de responsabilité s’étend de l’administrateur système jusqu’au conseil d’administration. Les régulateurs européens insistent : la conformité ne se transmet pas par procuration. Chaque niveau, du terrain à la direction, doit piloter la sécurité et en assumer les conséquences.
Obligations légales et réglementaires : ce que dit la loi
Le cadre européen a profondément redéfini les obligations en matière de sécurité informatique. Le RGPD impose une protection des données personnelles stricte à tout responsable du traitement actif au sein de l’Union européenne. Ce règlement va bien au-delà du simple recueil du consentement : il exige des mesures techniques et organisationnelles adaptées à chaque situation. Le moindre manquement peut entraîner des sanctions atteignant 4 % du chiffre d’affaires mondial : une perspective qui pousse les groupes internationaux à la vigilance.
La réglementation s’est densifiée : la directive NIS (sécurité des réseaux et systèmes d’information) concerne tant les entreprises privées que les entités publiques considérées comme stratégiques pour l’économie. L’éventail des acteurs concernés s’est élargi : banques, opérateurs énergétiques, fournisseurs de services numériques… Depuis 2023, la réglementation DORA (Digital Operational Resilience Act) impose, dans la finance, des exigences strictes en matière de gestion des risques cyber et de remontée d’incidents.
Du côté du code pénal, la loi encadre les comportements à risque : absence de notification lors d’une fuite de données, défaut de sécurité ou négligence dans la gestion d’un incident. Les obligations vont de la traçabilité des opérations à la rédaction de contrats précisant les responsabilités. En cas de contrôle ou d’enquête, il faut être en mesure de prouver sa conformité. L’ANSSI accompagne, supervise, et n’hésite pas à rappeler à l’ordre les structures qui manquent à leurs devoirs.
Mettre en place des pratiques responsables pour renforcer la sécurité numérique
Des garde-fous techniques et organisationnels
Au quotidien, les professionnels doivent adopter une gestion exigeante des risques cyber. Les mesures techniques et organisationnelles ne sont plus optionnelles. Segmenter les réseaux, restreindre les accès, activer le chiffrement des données… chaque action vise à limiter les opportunités pour un attaquant. La vigilance dépasse largement l’univers informatique : la sensibilisation des équipes devient un rempart contre l’hameçonnage ou les arnaques au faux ordre de virement.
Voici quelques bonnes pratiques pour renforcer la sécurité numérique de l’organisation :
- Plan de continuité d’activité (PCA) : anticiper l’incident et assurer la reprise rapide de l’activité
- PRA (plan de reprise d’activité) : permettre un redémarrage efficace des fonctions vitales
- Protection des données personnelles : appliquer le principe du moindre privilège et maintenir des registres à jour
Les audits réguliers, internes ou menés par des prestataires, servent à repérer les failles avant qu’elles ne deviennent des brèches. La traçabilité s’impose : chaque action sensible ou accès à des systèmes critiques doit pouvoir être retracé lors d’une enquête. Les entreprises qui intègrent ces pratiques placent la sécurité informatique au centre de leur stratégie. La démarche ne relève plus de l’improvisation : elle passe par la désignation d’un responsable dédié, des scénarios de crise testés, la mise à jour permanente des outils. La conformité se vit désormais au quotidien, comme la condition d’une confiance retrouvée.
