Comprenez vos responsabilités et obligations selon votre secteur : collectivités, TPE, hôpitaux, industries, prestataires IT. Nous reviendrons sur chacun de ces thèmes.
🏛️ Collectivités territoriales : des cibles privilégiées sous forte contrainte réglementaire
Les collectivités (communes, départements, régions, EPCI…) gèrent un large éventail de services publics sensibles : état civil, élections, urbanisme, scolarité, aide sociale, etc. Elles sont souvent visées par des attaques (notamment ransomware), en raison de leur niveau de maturité hétérogène et de leur fortes dépendances aux systèmes d’information.
1. 📌 Obligations réglementaires
✅ Loi de Programmation Militaire (LPM)
- Certaines collectivités peuvent être classées OIV ou OSE, selon leur taille ou leur impact (ex : opérateurs d’eau, transport urbain).
- Obligation de déclarer les incidents à l’ANSSI.
- Mise en conformité avec des référentiels de sécurité (ex : PDIS, PRIS, PACS).
✅ RGPD (Règlement Général sur la Protection des Données)
- Obligation de désigner un DPO.
- Tenue d’un registre des traitements.
- Mise en place de mesures de sécurité proportionnées (article 32).
- Obligation de notifier les violations de données personnelles sous 72h à la CNIL.
✅ Référentiels CNIL / ANSSI
- Respect des guides et référentiels (ex : Référentiel Général de Sécurité – RGS, désormais remplacé par PGSSI-S).
- Adoption de politiques de mots de passe robustes, cloisonnement des accès, journalisation, sauvegardes hors ligne.
2. ⚙️ Obligations techniques et organisationnelles
- Réalisation d’une analyse de risques (EBIOS RM ou équivalent).
- Mise en œuvre d’un PSSI (Politique de Sécurité des SI).
- Sensibilisation régulière des agents.
- Sauvegardes régulières et testées.
- Supervision des systèmes critiques.
- Plan de reprise d’activité (PRA) et de continuité (PCA).
3. 🧩 Enjeux spécifiques
- Mutualisation des ressources : beaucoup de petites communes dépendent de centres de gestion ou de prestataires.
- Hétérogénéité des outils : systèmes parfois obsolètes, ou hérités sans documentation.
- Budgets contraints : la cybersécurité reste souvent un « poste sacrificiel », ce qui aggrave l’exposition.
4. 🧭 Ressources utiles
🧱 TPE : pas d’exemption, mais un enjeu de survie
Les Très Petites Entreprises (moins de 10 salariés) représentent la majorité du tissu économique français. Leur exposition aux risques cyber est massive, et pourtant, elles restent souvent peu protégées.
1. 📌 Obligations réglementaires
- RGPD : même une TPE est responsable des données personnelles qu’elle traite (clients, salariés).
- Registre simplifié acceptable.
- Sensibilisation du gérant et des collaborateurs.
- Pas de régulation sectorielle spécifique, mais la responsabilité civile et pénale peut être engagée en cas de négligence.
2. ⚙️ Obligations techniques et bonnes pratiques
- Installation de mises à jour régulières.
- Choix de mots de passe robustes.
- Sauvegardes hors ligne ou externalisées.
- Sensibilisation minimale des employés.
- Usage d’un antivirus et pare-feu à jour.
- Vérification des prestataires (hébergeurs, outils SaaS) : sont-ils RGPD-compliants ?
3. 🧩 Enjeux spécifiques
- Méconnaissance des risques et absence de budget dédié.
- Externalisation mal contrôlée (sites web, boîtes mails, cloud).
- Risque accru d’hameçonnage et de rançongiciels.
- L’ANSSI publie des kits de cybersécurité gratuits pour les TPE-PME.
🏥 Hôpitaux et établissements de santé : hautement critiques, sous tension permanente
Les structures hospitalières gèrent des données de santé à caractère personnel, très sensibles, et sont donc ciblées régulièrement par des cyberattaques.
1. 📌 Obligations réglementaires
- Code de la santé publique et RGPD renforcé (traitements sensibles).
- Obligation d’un DPO.
- PGSSI-S (Politique Générale de Sécurité des SI de Santé).
- Certification HDS (Hébergeur de Données de Santé) pour les prestataires.
- Déclaration à l’ANS (Agence du Numérique en Santé) et à l’ANSSI en cas d’incident majeur.
2. ⚙️ Obligations techniques et organisationnelles
- Plan de sécurisation des SI (conforme PGSSI-S).
- PRA et PCA obligatoires.
- Audit régulier de sécurité.
- Authentification forte pour accéder aux dossiers patients.
- Journalisation des accès et traçabilité.
3. 🧩 Enjeux spécifiques
- Systèmes souvent obsolètes ou non patchables (matériel médical).
- Contrainte budgétaire majeure.
- Impacts vitaux possibles (blocage du SIH, impossibilité de soigner).
- Sensibilisation du personnel soignant essentielle mais difficile.
🏭 Industrie : entre espionnage économique et sabotage potentiel
Les entreprises industrielles sont confrontées à une double menace : le vol de savoir-faire (cyberespionnage) et le sabotage de lignes de production (cyberattaques OT).
1. 📌 Obligations réglementaires
- LPM pour les infrastructures industrielles critiques.
- NIS2 (dès 2024/2025) imposera des obligations aux industriels de taille intermédiaire.
- RGPD si des données personnelles sont collectées.
2. ⚙️ Obligations techniques et organisationnelles
- Segmentation réseau entre IT et OT.
- Analyse de risques EBIOS.
- Contrôle d’accès granulaire.
- Mise en place de SOC ou externalisation de la supervision.
- Maintien en conditions de sécurité (MCS) des automates.
3. 🧩 Enjeux spécifiques
- Coût du redémarrage industriel après incident.
- Complexité des systèmes embarqués (PLC, SCADA).
- Manque de formation des techniciens aux bonnes pratiques cyber.
- Besoin de coordonner cybersécurité avec sûreté de fonctionnement.
💻 Prestataires IT : la sécurité par devoir… et par contrat
Les prestataires informatiques ont un devoir d’exemplarité, car ils sont souvent à la source ou au cœur des systèmes de leurs clients. Ils sont aussi des chaînes de contamination privilégiées (attaques de type « supply chain »).
1. 📌 Obligations réglementaires
- RGPD : prestataire = sous-traitant → obligations de sécurité + clauses contractuelles.
- NIS2 : s’appliquera aux ESN dépassant certains seuils.
- Clause de confidentialité et PSSI client/partagée.
- Contrats de type CSPN, SecNumCloud, ou certification ISO 27001 pour les plus gros.
2. ⚙️ Obligations techniques et organisationnelles
- Authentification forte sur les outils d’administration.
- Journalisation des connexions.
- Contrôle des accès clients.
- Plan de gestion des incidents formalisé.
- Sensibilisation continue des équipes techniques.
3. 🧩 Enjeux spécifiques
- Responsabilité partagée mais parfois floue.
- Risques de reproche juridique en cas de défaut de conseil.
- Nécessité d’adopter une cybersécurité “by design” dans les produits/services vendus.
