Éditions Sorman

En mars dernier, le Sénat a adopté le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la sécurité. Cette loi transpose notamment la directive UE n° 2022/2555 du 14 décembre 2022 destinée à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS2 ». Cette transposition devait intervenir avant le 17 octobre 2024. Pierre Caillet, responsable de la sécurité des services d’information de la plateforme collaborative « Interstis », nous explique les implications de cette directive pour les collectivités territoriales. Elle se traduit en effet par des obligations plus importantes.
Entretien.

La Lettre du Maire : quelles sont les obligations découlant de la directive NIS2 ?

Pierre Caillet : la directive NIS2 distingue deux catégories d'entités régulées : les entités « essentielles » et les entités « importantes » du point de vue de la sécurité des systèmes d'information. Un grand nombre de collectivités publiques seront soumises aux obligations liées à la directive : les communautés urbaines, les communautés d’agglomérations comprenant au moins une commune de plus de 30 000 habitants et les métropoles seront des entités essentielles. Une communauté de communes sera, quant à elle, comprise dans les entités importantes. Indirectement, la directive concernera donc toutes les communes.

La LDM : les obligations pesant sur les entités essentielles seront-elles plus fortes que celles pesant sur les entités importantes ?

P.C : oui. Pour l’instant, on ne peut pas dire beaucoup plus. La directive exige que les collectivités renforcent le contrôle de leur système d’information pour les protéger contre les attaques. Elle impose aux collectivités la réalisation d’une analyse des risques auxquels elles s’exposent, donc de bien connaître leur système d’information. Elles devront indiquer comment elles géreront la crise en cas d’attaque. Elles doivent également signaler les incidents à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui fera des contrôles. Les décrets d’application de la loi en diront plus. La directive prévoit en outre des sanctions financières pour les entreprises qui n’auront pas suffisamment protégé leurs données, une mesure exclue pour les entités publiques. Saisi pour avis du projet de loi, le Conseil d’Etat envisageait plutôt une mise en garde ou une mise sous tutelle, la solution n’est pas encore arrêtée. En cas d’attaque, il sera possible de reprocher au directeur général des services de ne pas avoir pris les mesures de sécurité qui s’imposent.

La LDM : quels facteurs peuvent placer les collectivités en situation de faiblesse ?

P.C : on identifie plusieurs causes : l’importance des données détenues par les collectivités ; les infrastructures vieillissantes ; les budgets limités pour la cybersécurité ; la complexité des systèmes d'information des collectivités souvent interconnectés, ce qui les rend plus difficiles à sécuriser ; l’insuffisance de personnel formé.

La LDM : la directive donne une liste d’activités sensibles. J’en ai recensé au moins trois qui concernent les collectivités territoriales : l’eau, l’assainissement et les déchets. Que peuvent-elles craindre ? Qu’un rançonneur capte les données personnelles des usagers ?

P.C : oui, mais pas seulement. Certains de ces services fonctionnent de manière électronique. Elles peuvent craindre que des hackers prennent le contrôle du système.

La LDM : il y a quelques semaines, nous présentions la stratégie de la commune de Ville-la-Grand en Haute-Savoie qui revendique une souveraineté numérique qu’Interstis a aidé à mettre en place (voir LDM n° 2372). Cette politique rejoint-elle les obligations découlant de la directive NIS2 ?

P.C : oui. Interstis propose un cloud français - solution équivalente à celle d’Apple ou Microsoft - avec la particularité que les données ne sont pas stockées aux Etats-Unis ni accessibles dans le cadre du cloud act ou du FISA*. Notre service est également 30 % moins cher. La commune qui souhaite se mettre en conformité avec les obligations de la directive doit, selon nous, choisir cette solution de cloud permettant de remplir un grand nombre des obligations. Mais cela ne vaut pas pour toutes les communes : par exemple, si la commune dispose d’un service informatique étoffé, cette externalisation le rend moins nécessaire, ou alors c’est l’occasion d’affecter les agents à d’autres missions.

*permettant aux agences américaines de renseignement de collecter et utiliser des données personnelles étrangères stockées sur des serveurs domiciliés aux Etats-Unis.

Michel Degoffe le 02 septembre 2025 - n°2375 de La Lettre du Maire