La multiplication des cyberattaques contre les entreprises, les institutions et les infrastructures stratégiques au cours des dernières années n’a pas échappé à l’Union européenne. Avec la directive SRI 2 («Sécurité des réseaux et des systèmes d’information 2»), l’UE se fixe pour objectif d’augmenter les exigences minimales de cybersécurité de tous les États membres et de renforcer la résilience des systèmes de réseau et d’information, ainsi que la coopération internationale. La plupart des États membres de l’UE devraient appliquer la directive SRI 2 dans leur droit national dans le courant de l’année.
La directive SRI 2 est une évolution de la première directive SRI, entrée en vigueur dès 2016. Cette dernière a été la première réglementation européenne complète visant à renforcer la cybersécurité des systèmes de réseau et d’information. En décembre 2020, l’élaboration de la directive suivante a débuté, la SRI 2, qui a intégralement remplacé la SRI 1 et est finalement entrée en vigueur en janvier 2023.
En quoi consiste la directive SRI 2?
Comme nous l’avons déjà mentionné, la directive SRI 2 vise à renforcer la cybersécurité en Europe et étend également les exigences aux entreprises qui n’exploitent pas d’infrastructures stratégiques. La directive définit au total 18 secteurs, répartis en deux catégories:
-
Services essentiels («Essential Entities»):
les entreprises qui emploient plus de 250 personnes ou dont le chiffre d’affaires dépasse 50 millions d’euros sont considérées comme particulièrement sensibles si elles appartiennent, par exemple, aux secteurs de l’énergie, des transports, de la banque, de la santé, de l’approvisionnement en eau ou encore de l’administration publique. -
Services importants («Important Entities»):
les entreprises qui emploient plus de 50 personnes ou dont le chiffre d’affaires annuel dépasse 10 millions d’euros sont considérées comme importantes, mais moins sensibles que celles relevant des services essentiels. Il s’agit par exemple des services postaux et de messagerie, des entreprises du secteur de la chimie, des producteurs de denrées alimentaires, mais aussi des fournisseurs de services numériques. Les petites entreprises, telles que les fournisseurs de services de noms de domaine, peuvent également être considérées comme «essentielles» si leurs services sont indispensables à la sécurité de l’approvisionnement ou à d’autres infrastructures stratégiques.
En principe, la directive SRI 2 exige des entreprises une solide gestion des risques. Elles doivent être en mesure de gérer les incidents de sécurité et de rétablir le fonctionnement après des perturbations. En outre, les chaînes d’approvisionnement doivent être intégrées dans la gestion des risques, en complément de mesures telles que la cyberhygiène, la formation à la cybersécurité, le contrôle d’accès, l’authentification multi-facteurs et la communication sécurisée.
Impact de la directive SRI 2 sur les domaines
La directive SRI 2 entraîne également certaines conséquences pour Hostpoint et nos clients de domaines. L’article 28 de la directive stipule que les opérateurs de registres de domaines de premier niveau dans l’espace européen doivent conserver des informations actualisées et vérifiées sur les propriétaires de domaines. La collecte de ces données incombe à l’opérateur de registre du domaine concerné, mais aussi aux registraires de domaines comme Hostpoint.
Concrètement, il s’agit des données suivantes:
- Nom de domaine
- Date de l’enregistrement
- Nom, adresse e-mail et numéro de téléphone du propriétaire du domaine
- Adresse e-mail et numéro de téléphone de la personne de contact si le domaine est géré par un tiers
Quels domaines de premier niveau sont concernés?
Les domaines de premier niveau de l’UE sont par exemple .de, .at, .fr et .it. En revanche, les extensions de domaine de pays hors de l’UE, comme le domaine de premier niveau national suisse .ch, ainsi que les domaines de premier niveau génériques comme .com, .org ou .net ne sont pas concernés par cette réglementation.
Afin que les données des propriétaires de domaines soient toujours à jour, l’UE impose des obligations aux opérateurs de registres, qui imposent à leur tour des exigences aux registraires concernés, auprès desquels le domaine a été enregistré. Hostpoint, en tant que premier registraire de domaines en Suisse, n’échappe pas à ces exigences. Nous faisons office d’interface entre les registraires des différents pays et les propriétaires de domaines. Notre tâche consiste à collecter les informations nécessaires auprès des clientes et clients et à effectuer une vérification supplémentaire à la demande d’un opérateur de registre.
Pour illustrer le processus, prenons un exemple: une personne ou une entreprise souhaite enregistrer chez Hostpoint un nom de domaine avec l’extension .de. Pour cela, nous demandons à la personne de fournir quelques données de contact lors de la commande du domaine. Celles-ci sont vérifiées par Hostpoint et bien entendu traitées de manière confidentielle. Il se peut toutefois que ces données doivent faire l’objet d’une vérification supplémentaire à la demande de l’opérateur de registre compétent (dans le cas des domaines .fr, il s’agit de AFNIC).
La vérification des données des propriétaires de domaines doit permettre de s’assurer qu’ils peuvent être facilement contactés dans des cas présentant un risque pour la sécurité. Cela permet également de réduire l’utilisation abusive de domaines (par exemple pour l’hameçonnage) via des données d’enregistrement fausses ou incomplètes. L’enregistrement de domaines de premier niveau nationaux de l’UE avec de fausses données sera donc plus difficile à l’avenir.
Qu’est-ce qui change pour les utilisateurs et utilisatrices pour la consultation des domaines (WHOIS)?
Avec la directive SRI 2, les personnes morales pourraient à nouveau voir davantage de données lors de la consultation du WHOIS. Ce qui sera publié exactement dépendra des règles de l’opérateur de registre concerné. Pour les utilisateurs privés, les données à caractère personnel resteront protégées.
Dois-je faire quelque chose en tant que propriétaire de domaine?
Si vous disposez d’un domaine de premier niveau national de l’espace européen et qu’il a été enregistré chez Hostpoint, cela ne signifie pas nécessairement que vous devez agir. Si des coordonnées doivent encore être vérifiées, nous vous contacterons de manière proactive et mettrons à votre disposition un processus aussi simple que possible.
Vous trouverez de plus amples informations sur le processus de vérification dans notre Centre d’assistance. Si vous avez des questions sur les domaines et la directive SRI 2, n’hésitez pas à contacter notre service d’assistance par e-mail (domain@hostpoint.ch) ou par téléphone (0844 04 04 04). Nous sommes à votre disposition 7 jours sur 7, de 8h00 à 18h00, dans votre langue.
