Avec NIS 2, la seconde version de la directive européenne Network and Information Security, l’Europe renforce son arsenal juridique en matière de cybersécurité. Dans ce contexte, le standard Smart & Secure Communication Protocol (SSCP), certifié par l’ANSSI, compte sécuriser la communication entre les équipements de sécurité. Mais avec la loi sur les Jeux olympiques et paralympiques de Paris 2024, c’est l’expérimentation de l’IA en vidéosurveillance qui est juridiquement sécurisée en France. Panorama (Partie 1).
Contrôle d’accès, détection d’intrusion, détection périmétrique, vidéosurveillance…. comment bien sécuriser un système de sécurité-sûreté ? En effet, avec l’augmentation et la diversification des attaques cyber, notamment des attaques hybrides (avec intrusion physique dans le but de prendre le contrôle du système d’information), la question se pose plus que jamais. « Il y a des cas où une clé USB infecte tout un système d’information avec un virus, d’autres où un vigile est soudoyé, d’autres encore où un équipement de sécurité est corrompu. 70 % d’entre eux relèvent de technologies obsolètes que l’on peut cloner avec un renifleur à 70 euros », avertit Mickaël Wajnglas, secrétaire général de l’alliance SPAC (Smart Physical Access Control) qui, crée il y a deux ans, regroupe une quarantaine d’industriels et d’acteurs de la sécurité physique et logique afin de défendre la souveraineté technologique européenne au travers de Smart & Secure Communication Protocol (SSCP), un protocole initialement créé par STid pour sécuriser la communication entre les équipements de sécurité.
Une réglementation européenne plus protectrice
Preuve que la sécurité physique va de pair avec la cybersécurité, « lors de l’attaque du Capitole à Washington (Etats-Unis) par les militants pro-Trump, des PC ont été dérobés qui détenaient des données confidentielles qui ont été vendues au marché noir. A la suite de cela, il y a eu une explosion d’attaques cyber », reprend Mickaël Wajnglas à l’occasion de la conférence trimestrielle de l’AN2V le 29 mars dernier. Pour se prémunir de ce genre de méfait, NIS 2, seconde version de la directive Network and Information Security (NIS) votée en 2016 s’annonce ambitieuse. Publiée au Journal officiel de l’Union européenne le 27 décembre, NIS 2 prévoit un délai de 21 mois pour que chaque Etat membre de l’UE la transpose en droit national. En France, son entrée en vigueur devrait intervenir au plus tard au deuxième semestre 2024. Point saillant, NIS 2 élargit ses objectifs et son périmètre d’application et devrait toucher des milliers d’entités européennes appartenant à plus de dix-huit secteurs d’activité économique. Soit environ 600 types d’entités différentes, aussi bien des administrations de toutes tailles que des entreprises allant des PME aux groupes du CAC40.
Améliorer la coordination européenne en cas de crise
Cette extension du périmètre est sans précédent en matière de réglementation cyber. NIS 2 conduit également les Etats membres à renforcer leur coopération en matière de gestion de crise cyber. Notamment en donnant un cadre formel au réseau CyCLONe qui, sous l’égide de l’Agence européenne pour la cybersécurité (Enisa) et de la Commission européenne, rassemble l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et ses consœurs européennes. En ligne de mire, le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) veut apporter une réponse européenne en cas d’incident cyber d’ampleur ou de crise transfrontalière. Il complète ainsi les structures de cybersécurité existantes au niveau de l’Union européenne en reliant les instances de coopération des niveaux technique [Computer Security Incident Response Team (CSIRT)] et politique [Integrated Political Crisis Response (IPCR)]. De quoi organiser rapidement des consultations sur les stratégies de réponse nationales et l’évaluation coordonnée de l’impact lors d’une crise. Et ce, en faveur des décideurs politiques, aux niveaux tant national qu’européen. Dans ce contexte, le protocole SSCP a aussi sa carte à jouer : « Dans une Europe qui affiche les plus hauts niveaux réglementaires de sécurité au monde, il est important de disposer d’un standard ouvert, certifié par l’ANSSI, qui intervient au plan physique mais aussi logique », fait valoir Mickaël Wajnglas.
La loi sur les JOP en faveur de l’IA en vidéo
Pour compléter les mesures déjà adoptées dans le cadre de la loi du 26 mars 2018 relative à l’organisation des Jeux olympiques et paralympiques (JOP) qui se tiendront à Paris et dans d’autres villes de France du 24 juillet au 8 septembre 2024, la vidéosurveillance intelligente a été adoptée ce 23 mars à l’Assemblée nationale, après le Sénat, dans le cadre d’un projet de loi porté par le gouvernement qui contient plusieurs dérogations aux règles normales ainsi que le droit d’expérimenter certaines technologies, notamment liées à la sécurité. Prévu jusqu’au 30 juin 2025, ce cadre juridique d’expérimentation ouvre la voie à la vidéosurveillance algorithmique, qui intègre de l’intelligence artificielle (IA), en vue d’assurer la sécurité des manifestations sportives, récréatives ou culturelles. « Le texte définitif sera adopté en commission mixte paritaire (CMP) et sera soumis au Conseil constitutionnel. Il devrait être publié courant avril ou mai », explique Elisabeth Sellos-Cartel, adjointe au délégué ministériel aux partenariats, aux stratégies et aux innovations de sécurité du ministère de l’Intérieur.
Pas d’IA expérimentale pour les opérateurs privés
Concernant la sécurité-sûreté et en particulier la vidéo, ce sont les articles 6 et 7 de la loi qui font le plus parler. L’article 6 propose une révision du cadre juridique de la vidéoprotection classique qui va organiser une mise à niveau au regard du Règlement général sur la protection des données personnelles (RGPD). Pour quels changements ? Sous réserve du texte définitif qui peut subir des aménagements, la demande d’autorisation d’installer des caméras augmentées se fera au niveau de la préfecture. Ensuite, selon l’article 7, les caméras pourront détecter des incidents prédéterminés, notamment des mouvements de foules, des colis suspects ou des comportements dangereux dans des lieux accueillant des évènements et dans les transports en commun. Qui pourra les utiliser ? Ces algorithmes « ne pourront être utilisés que pour le traitement en direct des alertes et par des policiers, gendarmes, policiers municipaux et pompiers ainsi que par les services de sécurité internes à la RAPT et à la SNCF, poursuit Elisabeth Sellos-Cartel. Au Stade de France, les opérateurs privés ne pourront pas s’en servir. Il faudra donc sélectionner les capteurs destinés à traiter ces alertes. » Dans la foulée immédiate de la loi, sortira l’arrêté technique qui décrira les cas d’usage retenus.
Erick Haehnsen
Commentez