Exigence de la loi sur la cybersécurité pour la mise en œuvre du système de protection par niveaux de sécurité réseau par les entreprises
Bonjour à tous, je suis Maître Liu de Jiaxi Fiscal et Comptabilité. Après plus d'une décennie à accompagner des entreprises étrangères dans leur implantation et près de quinze ans dans les méandres des formalités administratives, j'ai vu évoluer les priorités réglementaires. Aujourd'hui, au-delà du capital social et des statuts, une question revient avec insistance dans les dossiers de nos clients : la conformité à la Loi sur la Cybersécurité (CSL) et, plus spécifiquement, la mise en œuvre du Système de Protection par Niveaux de Sécurité Réseau (MLPS). Pour les investisseurs et les dirigeants, il ne s'agit plus d'une simple question technique, mais d'un impératif stratégique et légal qui conditionne la pérennité des opérations en Chine. Cet article se propose de décortiquer cette exigence souvent perçue comme complexe, en l'éclairant par des aspects concrets tirés de notre expérience de terrain.
Le cadre légal : une obligation, non une option
Beaucoup d'entreprises, surtout celles nouvellement établies, abordent le MLPS avec l'idée que c'est un « plus » réservé aux géants du numérique. C'est une erreur de perception courante. La mise en œuvre du MLPS est une obligation légale directe découlant des articles 21 et 31 de la Loi sur la Cybersécurité de la Chine. Le texte est clair : les opérateurs de réseaux doivent mettre en place des mesures de sécurité techniques et des procédures de gestion adaptées à leur niveau de risque désigné. La classification (de 1 à 5) n'est pas laissée à l'appréciation de l'entreprise ; elle est déterminée par les autorités en fonction de l'impact potentiel qu'aurait une violation de sécurité sur l'ordre public ou l'intérêt national. Pour faire simple, si votre entreprise traite des données sensibles ou opère dans des secteurs critiques (finance, énergie, santé, etc.), vous serez inévitablement soumis à un niveau élevé (généralement 2 ou 3). Ignorer cette obligation, c'est s'exposer à des sanctions administratives lourdes (amendes, suspension d'activité) et, dans les cas graves, à des poursuites pénales pour les responsables.
Je me souviens d'un client, une PME allemande dans la robotique industrielle, persuadée que sa taille la protégeait. Ils avaient déployé un système informatique performant mais sans documentation formelle ni audit de sécurité. Lors d'une inspection inopinée, l'absence de politique de classification des données et de procédures de réponse aux incidents a été pointée du doigt. Le processus de rectification a été bien plus long et coûteux qu'une mise en conformité proactive ne l'aurait été. Le premier enseignement est donc que le MLPS n'est pas une certification ISO facultative ; c'est une condition sine qua non pour opérer légalement. Les autorités, notamment la Cyberspace Administration of China (CAC) et le Ministère de la Sécurité Publique (MPS), renforcent leurs contrôles, et la simple bonne foi ne suffit plus.
La classification des données : le point de départ incontournable
Tout l'édifice du MLPS repose sur une étape préalable souvent sous-estimée : l'inventaire et la classification rigoureuse des données et des systèmes d'information. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Concrètement, cela implique de cartographier tous les flux de données : données personnelles des clients et employés, secrets commerciaux, données de production, échanges avec la maison-mère, etc. Chaque catégorie doit être évaluée selon son niveau de sensibilité et l'impact d'une fuite ou d'une altération.
Dans notre pratique, c'est là que nous intervenons souvent en coordination avec des experts techniques. Nous aidons l'entreprise à établir un cadre de gouvernance des données, documentant qui a accès à quoi, depuis où, et pour quel usage. Par exemple, pour un fabricant de composants électroniques, les plans de conception relèvent d'un niveau de protection bien plus élevé que le menu de la cantine. Cette classification détermine ensuite les mesures techniques (chiffrement, contrôle d'accès, journalisation) à déployer. Sans ce travail fastidieux mais fondamental, la suite de la mise en œuvre du MLPS manque de fondement et ne résistera pas à un audit.
Les mesures techniques : au-delà du pare-feu
Lorsqu'on parle « sécurité réseau », beaucoup pensent immédiatement à un pare-feu (firewall). Si celui-ci est nécessaire, il est loin d'être suffisant pour satisfaire aux exigences du MLPS. Le système exige une défense en profondeur, une approche dite « multi-couches ». Cela englobe la sécurité physique des serveurs, la segmentation du réseau pour isoler les zones critiques, le contrôle strict des identités et des accès (IAM), le chiffrement des données sensibles au repos et en transit, la surveillance continue (SOC) pour détecter les intrusions, et des sauvegardes robustes.
Pour une entreprise de commerce électronique que nous accompagnons, la mise à niveau a été salutaire. Ils avaient un bon pare-feu, mais leurs serveurs de base de données clients n'étaient pas segmentés et les logs n'étaient pas centralisés. En cas d'attaque, ils n'auraient pas pu tracer l'origine ni évaluer l'étendue des dégâts. La mise en conformité MLPS niveau 2 les a obligés à revoir toute leur architecture. Aujourd'hui, non seulement ils sont conformes, mais leur résilience opérationnelle s'est considérablement améliorée. L'investissement technique, bien que substantiel, se double donc d'un gain en maturité et en fiabilité.
La documentation et la gestion : prouver sa conformité
Un aspect qui distingue le MLPS de simples bonnes pratiques informatiques est l'accent mis sur la documentation et la gestion procédurale. Les autorités ne se contentent pas de vérifier que vous avez un logiciel ; elles veulent voir les preuves d'un système de gestion de la sécurité de l'information (SMSI) opérationnel. Cela signifie un ensemble de documents politiques : politique de sécurité globale, procédures de réponse aux incidents, accords de confidentialité, registres des formations du personnel, rapports d'audits internes, etc..
C'est souvent le point de friction pour les entreprises étrangères, plus habituées à une approche pragmatique qu'administrative. Mais en Chine, « si ce n'est pas écrit, ça n'existe pas » est une règle qui s'applique pleinement à la cybersécurité. Nous aidons nos clients à constituer ce dossier, en nous assurant qu'il n'est pas qu'une coquille vide mais qu'il reflète la réalité opérationnelle. Lors d'une inspection, pouvoir présenter un classeur bien organisé (ou son équivalent numérique sécurisé) démontre immédiatement le sérieux de l'engagement de l'entreprise et facilite grandement le processus.
L'évaluation et l'audit : le passage obligé
La mise en œuvre ne s'arrête pas au déploiement technique et à la rédaction de documents. Pour les systèmes classés niveau 2 et au-dessus, une évaluation de sécurité par un organisme agréé est obligatoire avant la mise en service, puis périodiquement (tous les deux ans pour le niveau 2, tous les ans pour le niveau 3). Cet audit est approfondi : tests de pénétration, revue de code, entretiens avec le personnel, vérification de la conformité des configurations. C'est l'épreuve de vérité.
Notre rôle est souvent de préparer l'entreprise à cet examen, en réalisant un pré-audit pour identifier les lacunes. Les non-conformités relevées par l'auditeur agréé doivent être corrigées dans un délai imparti, sous peine de ne pas obtenir le certificat de conformité. Pour une entreprise française dans la logistique, cette phase a révélé des faiblesses dans la gestion des comptes à privilèges de ses sous-traitants techniques. La correction a été complexe mais essentielle. Cet audit externe, bien que contraignant, est un gage de crédibilité et de robustesse.
La gouvernance et la responsabilité
Enfin, un point crucial souvent négligé : le MLPS impose une clarté absolue sur la chaîne de responsabilité. La loi désigne clairement l'opérateur du réseau comme le responsable ultime de la sécurité. Dans une entreprise, cela se traduit par la nomination formelle d'un responsable de la sécurité des réseaux, qui doit souvent être une personne de nationalité chinoise résidant en Chine, et l'implication active de la direction générale. La sécurité ne peut plus être reléguée au seul service informatique ; c'est une affaire de C-suite et de conseil d'administration.
Nous conseillons à nos clients de créer un comité de sécurité interne, associant les directions juridique, financière, RH et opérationnelles. Les décisions d'investissement en sécurité doivent être actées au plus haut niveau. En cas d'incident, ce sont les dirigeants légaux de l'entité chinoise qui devront répondre aux autorités. Une bonne gouvernance n'empêche pas les incidents, mais elle démontre la diligence raisonnable et peut atténuer les conséquences légales.
Conclusion et perspective
En résumé, l'exigence de mise en œuvre du Système de Protection par Niveaux de Sécurité (MLPS) est bien plus qu'une formalité technique. C'est un pilier fondamental de la compliance numérique en Chine, intimement lié à la Loi sur la Cybersécurité et à la Loi sur la Protection des Informations Personnelles (PIPL). Elle impose une approche holistique, mêlant technique, procédures, documentation et gouvernance. Pour les investisseurs, la conformité MLPS d'une entreprise est désormais un indicateur clé de sa maturité opérationnelle et de son engagement à long terme sur le marché chinois. Les coûts de non-conformité (sanctions, interruption d'activité, perte de réputation) dépassent de loin l'investissement requis pour se mettre en règle.
Pour l'avenir, je vois deux tendances se dessiner. D'une part, une sophistication accrue des contrôles, avec une intégration plus poussée entre le MLPS, la PIPL et les réglementations sectorielles. D'autre part, une attention grandissante portée à la sécurité de la chaîne d'approvisionnement numérique : vos fournisseurs et partenaires devront aussi démontrer leur niveau de conformité. La cybersécurité devient un écosystème partagé. Se préparer dès aujourd'hui à ces évolutions, c'est se donner les moyens de prospérer sereinement dans le paysage numérique chinois de demain.
Le point de vue de Jiaxi Fiscal et Comptabilité : Chez Jiaxi, après avoir accompagné des centaines d'entreprises dans leur implantation et leur développement en Chine, nous considérons la conformité MLPS non comme une fin en soi, mais comme une composante stratégique de la santé de l'entreprise. Notre approche est intégrée : nous ne nous substituons pas aux experts techniques, mais nous assurons le lien indispensable entre les exigences légales, la gouvernance d'entreprise et les réalités opérationnelles. Nous aidons nos clients à construire un cadre de gestion du risque cyber qui soit pérenne, auditable et aligné sur leurs objectifs business. Dans un environnement réglementaire en constante évolution, avoir un partenaire qui comprend à la fois les subtilités administratives chinoises et les impératifs des entreprises internationales est un atout décisif. Nous voyons la mise en conformité comme un voyage, pas comme une simple formalité, et nous nous engageons à guider nos clients à chaque étape, de l'évaluation initiale à la réponse aux inspections, en passant par la formation continue des équipes.
