1.
Résilience. Terme technique ou de physique, emprunté à l’anglais resilience, de même sens, la résilience est une « grandeur qui exprime la résistance aux chocs d’un matériau et qui correspond à l’énergie nécessaire par unité de surface pour provoquer la rupture d’un échantillon de forme et de taille déterminées » ; en psychologie, elle est définie comme l’« aptitude à affronter les épreuves, à trouver des ressources intérieures et des appuis extérieurs, à mettre en œuvre des mécanismes psychiques permettant de surmonter les traumatismes »2.
On a déjà dit, ailleurs3, ce que l’on pensait de l’emploi incantatoire de ce mot magique de « résilience », devenu le slogan d’une basse époque. Mais l’on n’imaginait pas qu’il puisse faire une telle entrée dans le droit dur européen (et donc français), à l’occasion de ce que l’on pourrait nommer le « paquet Résilience numérique ».
Il faudra tout de même, à un moment, pointer chacun des usages de ce terme et, un par un, restituer tous ceux qu’il a supplantés, toutes les nuances de vocabulaire qui font le trésor d’une langue, y compris juridique. Mais pour l’heure, « à l’ère numérique »4, la résilience en son royaume offre trop de commodités pour s’en passer.
2. JOUE, L. 333, 27 décembre 2022. Ce n’est pas moins de quatre textes (un règlement et trois directives5) relatifs à la résilience – trois d’entre eux portent le mot dans leur intitulé, le quatrième y renvoie directement –, qui ont été publiés au JOUE du 27 décembre 2022 :
– le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (le fameux « règlement DORA », pour Digital Operational Resilience Act) ;
– la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive « SRI 2 » ou « NIS 2 », pour Network and Information Security) ;
– la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36 /UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier (sur laquelle on passera, dès lors que son objet est de modifier à la marge les directives citées afin d’assurer la cohérence avec le règlement DORA) ;
– la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil.
Une observation générale : « numérique » ou « cyber » ne sont-ils pas de grands mots pour désigner, en fin de compte, les bonnes vieilles TIC (technologies de l’information et de la communication) du droit de l’informatique, auxquelles ramènent toutes les définitions figurant dans les textes nouveaux ? Ainsi, dans DORA, point de « risque numérique », mais un « risque lié aux TIC », entendu comme « toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique »6. À l’inverse, « cyber » retrouve son emploi lorsqu’il s’agit... de ne rien dire, comme au considérant 50 de la directive Cybersécurité : « La sensibilisation à la cybersécurité et la cyberhygiène sont essentielles pour améliorer le niveau de cybersécurité au sein de l’Union, compte tenu notamment du nombre croissant de dispositifs connectés qui sont de plus en plus utilisés dans les cyberattaques » (sic).
3. Qui et quand ? Le plus important lorsque l’on rend compte de nouvelles lois n’est pas immédiatement le « quoi ? », mais davantage le « quand ? » et le « qui ? ».
Le « Quand ? », d’abord : le paquet Résilience n’entrera pas tout de suite en application, et c’est tant mieux, tellement la régulation par la résilience va lourdement peser sur les acteurs du numérique (ou des TIC). Ainsi, la transposition des directives (UE) 2022/2555 et 2022/2557 devra être achevée au plus tard le 17 octobre 2024, pour une application à compter du 18 octobre 2024. Quant au règlement (UE) 2022/2554, il s’appliquera à partir du 17 janvier 2025, date à laquelle la directive (UE) 2022/2556 devra également être transposée dans les droits nationaux.
Venons-en au « qui ? », ensuite, dont l’identification s’avère délicate, car plusieurs textes sont amenés à se chevaucher. On commencera par le dernier, dans la mesure où son objet est circonscrit à certaines entités qualifiées de « critiques » et qui devront être recensées, selon différents secteurs et sous-secteurs, par chaque État membre, d’ici le 17 juillet 20267. Parmi les onze secteurs référencés en annexe de la directive (énergie, transports, santé, etc.), figurent le secteur bancaire et celui des infrastructures des marchés financiers, composés des catégories d’entités suivantes : établissement de crédit, d’une part, exploitants de plates-formes de négociation et contreparties centrales, de l’autre. Le champ d’application rationae personae de la directive Résilience des entités critiques recoupe-t-il celui de la directive Cybersécurité8 ? du règlement DORA ? Les risques de doublon sont avérés ; la délimitation du champ de chacun des textes, ainsi que le partage de compétences entre autorités, ne manqueront pas d’être sophistiqués, puisqu’il s’agit toujours, en fin de compte, de résilience.
Relatif à son champ d’application, l’article 2 de la directive (UE) 2022/2555 sur la cybersécurité, de son côté, se révèle plutôt comme un champ... de mines, sous la forme de renvois, d’options, d’exceptions, etc. Deux annexes détaillent les « secteurs hautement critiques » et les « autres secteurs critiques », sur le modèle, pour la première, de la directive (UE) 2022/2557. Parmi les autres secteurs critiques, figurent les « fournisseurs numériques » que sont les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux.
Quant à DORA, il s’agit d’un règlement « sectoriel », intéressant le seul secteur financier, et constituant à cet égard une lex specialis par rapport à la directive sur la cybersécurité9, ce qui conduira à de nombreuses intersections, à l’exemple des fournisseurs de services d’informatique en nuage, relevant naturellement de la directive, mais également, à titre complémentaire, du règlement lorsqu’ils fournissent des services TIC à des entités financières10. Quoi qu’il en soit, à son article 2, le règlement (UE) 2022/2554 offre une longue liste des « entités financières » concernées par son application11.
Mais là où le règlement est remarquable, c’est lorsqu’il ajoute à la liste de ces « entités financières » soumises à résilience, les « prestataires tiers de services TIC » (médiocrement définis à l’article suivant comme « une entreprise qui fournit des services TIC »12). Voilà que DORA s’élargit d’un seul coup aux « tiers intéressés », qui représentent à eux seuls un risque (le « risque lié aux prestataires tiers de services TIC »13), sous forme de relation de dépendance dans laquelle ils tiendraient les entités financières, a fortiori lorsqu’ils se muent en « prestataires tiers critiques de services TIC », tels qu’ils seront désignés – pour être supervisés, ce qui est remarquable – par les AES (autorités européennes de supervision). Que l’on ne s’y trompe pas : le règlement (UE) 2022/2554 dit « DORA » recompose en profondeur le droit de l’externalisation si cher à la pratique bancaire.
4. La résilience opérationnelle numérique du secteur financier. DORA, avec « MiCA »14, a fait les belles heures du Digital Finance Package du 24 septembre 202015. DORA, avant MiCA, est la première des propositions de textes de ce paquet qui accède au rang d’acte législatif. Le symbole est fort : la résilience avant même les crypto-actifs, c’est dire.
Au temps de la résilience financière, née avec la crise de 2008 et au cœur des travaux du Comité de Bâle, succède ainsi celui de la résilience opérationnelle16, de la résilience opérationnelle numérique pour être précis. La résilience, en elle-même, ne se justifie ni ne s’explique, elle « est », tout simplement ; de même de la résilience opérationnelle numérique, qui « est indispensable pour garantir la stabilité financière et l’intégrité du marché à l’ère numérique, et [qui] n’est pas moins importante que, par exemple, des normes prudentielles ou de conduite communes »17.
Il devient toutefois urgent de prendre la mesure de ce qu’elle signifie : « “résilience opérationnelle numérique” : la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations »18. Définition qu’il faudra lire et relire... et croiser avec les « exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières » exposées à l’article 1er du règlement DORA et distribuées entre :
– les exigences applicables aux entités financières en ce qui concerne (i) la gestion des risques liés aux TIC, (ii) la notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes, (iii) la notification aux autorités compétentes, par les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique des incidents opérationnels ou de sécurité majeurs liés au paiement, (iv) les tests de résilience opérationnelle numérique, (v) le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités, et (vi) les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC ;
– les exigences relatives aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières ;
– les règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC lorsqu’ils fournissent des services à des entités financières, ainsi que celles liées à l’exercice des tâches dans ce cadre ;
– les règles relatives à la coopération entre les autorités compétentes, et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.
De ces multiples exigences et règles, retenons en priorité la recomposition de celles relatives à l’externalisation, à propos de laquelle il est dit qu’« en l’absence de normes de l’Union claires et adaptées applicables aux accords contractuels conclus avec des prestataires tiers de services TIC, la source extérieure du risque lié aux TIC n’est pas traitée de manière exhaustive »19. La gestion du risque lié aux TIC20 (chapitres II et III du règlement DORA), suivie de la réalisation de tests de résilience opérationnelle numérique (chapitre IV), ne sont finalement qu’une mise en bouche avant d’aborder l’essentiel : le chapitre V relatif à la « gestion des risques liés aux prestataires tiers de services TIC ». Même récemment actualisé du risque informatique21, l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises bancaires, de paiement et d’investissement devra sans doute être remis sur le métier.
5. La cybersécurité (ou cyberrésilience) et la résilience des entités critiques. On passera plus vite sur les directives (UE) 2022/2555 et 2022/2557, dès lors que toutes deux (d’harmonisation minimale, faut-il relever) légifèrent essentiellement sur un plan institutionnel, c’est-à-dire imposent avant tout des obligations aux États membres (stratégies nationales, supervision, etc.). À quoi s’ajoute qu’elles ne sont pas véritablement neuves, puisque l’une et l’autre abrogent un premier texte : la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, pour la première (dite « NIS 1 ») ; la directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection, pour la seconde.
La directive Cybersécurité ne s’intéresse guère à caractériser son objet, dont elle renvoie la définition à un autre texte (le règlement sur la cybersécurité22), qui entend la cybersécurité comme « les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces »23. Celle sur la résilience des entités critiques adopte au contraire sa propre définition, qui pourrait valoir au-delà de celles-ci : « “résilience”, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir »24. Si l’on prend le temps de s’arrêter sur chacun de ces verbes (au nombre de huit), l’énonciation est vertigineuse !
Le 30 mars 2022, Mme Christine Lagarde, présidente de la Banque Centrale Européenne, prononçait à Nicosie un discours intitulé « Finding resilience in times of uncertainty ». Cela dit assez bien l’air du temps... n
Achevé de rédiger le 15 janvier 2023.
