NIS 2 est un texte ambitieux, trop jugent certains. La directive vise à uniformiser le niveau de cyber-sécurité en Europe et à renforcer la résilience du tissu économique et du secteur public. Pour ce faire, son champ d’application est considérablement élargi. La directive couvre non seulement les secteurs déjà critiques mais aussi d’autres industries telles que les services numériques, la production alimentaire, les services postaux et les entreprises pharmaceutiques.
Les entités concernées seront divisées entre « entités essentielles » et « entités importantes » selon leur taille et/ ou leur chiffre d’affaires ainsi que la criticité de leur secteur d’activité. En France, on passe ainsi d’environ 300 organisations concernées par NIS première du nom à plusieurs dizaines de milliers soumises à NIS 2. Et c’est sans compter toutes les entreprises indirectement affectées car sous-traitantes d’entités essentielles ou importantes.
C’est d’ailleurs ce point que retient Jérôme Soyer, vice-président avant-vente pour l’Europe de l’Ouest chez Varonis : « C’est une très bonne chose que NIS 2 renforce ces exigences de sécurité pour la chaîne de sous-traitance, cela tire ces entreprises vers le haut et contribue à élever le niveau de cyber-sécurité global. » Faut-il encore rappeler l’appétence des attaquants pour les supply chain attacks, ou attaques par rebond ? À défaut de passer la grande porte d’un groupe bien défendu, il est plus simple de se glisser par la fenêtre d’un prestataire qui n’a pas les mêmes moyens pour assurer sa sécurité. Cette extension du périmètre s’accompagne d’obligations de sécurité plus strictes et surtout plus détaillées dans le texte européen, assorti de nouvelles exigences en termes de notification et d’information qui rappellent celles du RGPD. Le tout est accompagné d’un régime de sanctions administratives harmonisées, des amendes pouvant grimper jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial d’une entité prise en flagrant délit de non-conformité et la possibilité pour les États d’instaurer un régime de responsabilité pénale pour les dirigeants des entités en infraction. NIS 2 veut en effet responsabiliser les Comex mais pas seulement. La directive prend le parti d’une approche par les risques, plaçant la cybersécurité dans la stratégie globale de l’entreprise concernée, de sorte qu’elle ne soit pas seulement l’affaire du RSSI mais de tous les métiers et fonctions de l’entité.
En attendant…
Vous l’aurez compris, NIS 2 (avec DORA, REC et CRA) est à la cybersécurité ce que le RGPD est à la protection des données personnelles. Pourtant, en France, sa transposition a pris du retard. Passé en Conseil des ministres le 15 octobre, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé au Sénat en procédure accélérée mais sa première lecture n’est toujours pas à l’agenda, et ce malgré une date butoir fixée par l’UE au 17 octobre dernier. En outre, l’ANSSI a promis un délai de grâce de trois ans avant d’infliger des sanctions, le temps que les entités concernées se mettent en conformité.
Pour autant, lors des Assises de la cybersécurité de Monaco qui ont eu lieu à la mi-octobre, le patron de l’ANSSI rappelait que « trois ans, ça passe très vite ». Le régulateur « n’attendra pas trois ans pour exiger certaines choses simples, comme l’enregistrement auprès de l’ANSSI ou encore la notification des incidents », martelait sur scène Vincent Strubel.
Le régulateur « n’attendra pas trois ans pour exiger certaines choses simples », Vincent Strubel
Laurent Galvani, consultant cybersécurité chez Fidens, filiale du groupe TVH Consulting, remarque que le sujet « commence à arriver tout doucement mais les gens restent frileux et très attentistes de la transposition en France ». « Attentisme », c’est sans doute le terme qui revient le plus souvent dans nos échanges sur le sujet. Et cette attitude à l’égard de NIS 2 s’explique aisément, entre le délai promis par l’ANSSI et une transposition qui se fait attendre. Pourtant, entités essentielles, importantes et sous-traitants ont d’ores et déjà les moyens d’avancer sur le sujet de la mise en conformité. « Si vous ne pouvez pas factuellement vous mettre en conformité avec la loi en France, en attendant la transposition et les décrets, vous pouvez déjà regarder ce qui se fait ailleurs. La Belgique a transposé, la Croatie et la Hongrie aussi, la Lettonie a bien avancé, lance Baptiste David, RSSI de Tenacy. Et quand bien même on ne sait pas exactement ce que sera le texte promulgué, il y a déjà le projet de loi et les guides de l’ANSSI. Appliquer les 40 mesures de base décrites par l’ANSSI, c’est faire 80 % du travail et, pour ça, il n’est pas utile de connaître le texte à la virgule près. »
On peut d’ailleurs rassurer le Cesin, qui s’alarmait récemment de l’attentisme : le sujet n’est pas complètement passé sous le tapis. « Nous avons de plus en plus d’interrogations de nos clients par rapport à NIS 2 », nous confie Damien de la Hoz, Access Control Certification Specialist chez Genetec. Même observation chez Armatis : « Dans les renouvellements de contrat, on voit des exigences en lien avec NIS 2 et DORA sur un petit pourcentage », indique Vincent Dupont, directeur sécurité et infrastructure de ce spécialiste du BPO et donc sous-traitant d’entités importantes et essentielles. Guillaume Collard, cofondateur de l’école CSB et président de BPR Security, observe deux typologies de clients : ceux qui ont une excellente solidité et se sont lancés dans la mise en conformité sans attendre les textes d’une part, et de l’autre ceux dont les secteurs sont plus compliqués, pour qui la cyber-sécurité n’est pas la priorité et qui pratiquent donc la politique de l’autruche. « À part les bons élèves, tant qu’il n’y a pas de sanctions les autres risquent de ne pas se mettre en ordre de marche. Mais si les grands donneurs d’ordre incluent la conformité dans leurs appels d’offres, ça pourrait également avoir un effet positif. » La carotte et le bâton. On notera que, selon une étude de Veeam, les Français interrogés voient plutôt le premier : « Les Français trouvent un bénéfice à NIS 2 et regardent l’amélioration globale de la résilience aux cyberattaques », assure Christophe Fontaine, directeur avant-vente chez Veeam sur la région EMEA Sud.
« Dans les renouvellements de contrat, on voit des exigences en lien avec NIS 2 et DORA sur un petit pourcentage », Vincent Dupont
Des mesures organisationnelles et techniques
S’il est encore trop tôt pour fournir une liste d’exigences applicables à la sauce hexagonale, la directive NIS 2 est suffisamment détaillée pour qu’on déduise du texte les mesures qu’il faudra mettre en œuvre – surtout à la lecture des articles 20 et 21 –, qui sont aussi bien d’ordre technique qu’organisationnel. À commencer par l’élaboration d’une politique de sécurité des systèmes d’information (PSSI). Nous évoquions plus haut une approche par les risques : le texte enjoint ainsi à prendre des mesures d’analyse et de gestion des risques cyber, allant de l’identification des actifs critiques à l’évaluation des menaces. Les audits de sécurité (code, configuration, organisation, etc.) et la chasse aux vulnérabilités sont également de la partie. La sécurité des identités et des accès a évidemment sa place dans le texte, qui mentionne explicitement, au paragraphe 21.2.j, « l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue » ou encore, au point 21.2, la protection des environnements physiques des réseaux et des systèmes d’information. Une des exigences centrales de NIS 2 est la capacité des entreprises à détecter rapidement et à répondre efficacement aux incidents de cybersécurité. Et ce au sens large : « La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information », nous dit ainsi l’article 21.2.e. Ce qui couvre aussi bien la sécurisation des accès distants que les EDR et NDR ou encore les pare-feu et les WAF. Le tout doit évidemment s’accompagner de la sensibilisation et la formation des équipes aux principes de base de l’hygiène informatique. Enfin, comptez également sur les exigences en matière de résilience et de continuité d’activité puisque le risque zéro n’existe pas. PCA/PRA, politiques de sauvegarde, entraînements et simulations de crises cyber sont donc quelques-uns des composants de cette dimension de gestion des incidents.
Prise en bloc, cette énumération de mesures peut être rebutante. Pour autant, se lancer dans le chantier de la mise en conformité est une tâche moins insurmontable qu’il n’y paraît. Il est possible, avant toute autre chose, de jeter un œil à https: //monespacenis2.cyber.gouv.fr, le site dédié lancé par l’ANSSI, qui en plus d’informer sur la directive permet d’évaluer si une entité est concernée, si elle est essentielle ou importante.
« La première étape consiste à savoir ce que vous avez à protéger, ce qui permet d’investir de manière efficace et raisonnable », nous explique Benoît Grunemwald, expert cyber-sécurité chez Eset. Il s’agit de faire une cartographie, un état des lieux. « La réalisation de cet inventaire dépend de la maturité de l’entreprise. Nous conseillons à nos clients de faire une revue documentaire (PSSI, charte informatique, politique de contrôle d’accès, etc.) et des entretiens », précise Laurent Galvani. Cette cartographie permet de savoir « ce que l’on a » et « ce qui nous manque ». Elle est menée aux côtés des métiers et fonctions de l’entreprise, en évaluant leur criticité et leurs besoins. « Le côté cartographie des actifs, c’est plutôt dans un deuxième temps », estime le consultant cyber de Fidens.
« La première étape consiste à savoir ce que vous avez à protéger, ce qui permet d’investir de manière efficace et raisonnable », Benoît Grunemwald
Par où commencer ?
Après quoi une cartographie des risques s’avère nécessaire, car elle est non seulement imposée par la directive mais elle permet aussi et surtout d’identifier les principales menaces. Cette analyse ne doit pas faire l’impasse sur le risque humain, selon Anne-Élise Jolicard, Public Policy Manager chez ANOZR WAY : « NIS 2 ne veut pas faire de chaque salarié un expert cyber, elle veut en faire des cibles moins faciles. » Ces premières démarches ne sont finalement qu’un inventaire de l’actuel mais elles apportent une connaissance du système d’information et de sa gouvernance et permettent de mieux comprendre les différentes interconnexions entre tel et tel composant, voire de repérer des éléments qui ne seraient pas maîtrisés.
L’évaluation de l’état actuel des pratiques de cybersécurité, des capacités de détection à la mise en action d’un plan de reprise d’activité en passant par les moyens de réponse à un incident ou encore de triage des alertes, permet d’identifier les lacunes et de positionner l’entreprise par rapport aux objectifs de la directive, et ce de sorte à établir une feuille de route et de prioriser les actions à mener. « Comme pour ISO 27001, c’est une amélioration continue, ça ne se fait pas d’un seul coup. Il faut commencer par le début dès aujourd’hui, se focaliser sur les analyses de risques, construire sa PSSI, comment on répond à un incident, comment on le déclare… Ça doit être progressif, en se fixant des objectifs et en mesurant l’avancement », résume Pascal Antonini, vice-président de l’ISACAAFAI et directeur général du cabinet TechAndTrust.
Guillaume Périssat
