« Les acteurs du numérique ne seront pas nécessairement tous concernés par NIS 2 »
En charge des activités de réponse aux incidents de Synacktiv et avec une dizaine d’année au compteur passées à l’Anssi, Arnaud Pilon nous éclaire sur la question des organisations concernées par NIS 2 dans le secteur du numérique et nous partage son point de vue quant aux impacts de la Directive mais aussi de la Loi de Programmation Militaire fraîchement revue fin août dernier.
En tant que prestataire de service dans le numérique, pensez-vous être soumis à NIS 2 ?
Concernant NIS 2, de nombreux acteurs attendent encore les conclusions des consultations engagées par l’Anssi, en particulier sur le sujet du périmètre des entités régulées et des mesures de sécurité à mettre en œuvre. Lorsqu’on consulte les annexes 1 et 2 de la directive européenne, en tant que société de conseil en cybersécurité, nous ne nous sentons pas concernés en première intention comme peuvent l’être des hébergeurs, des cloud providers d’infrastructure (IaaS) des moteurs de recherche ou des fournisseurs de résolution de noms de domaine. Néanmoins, l’Anssi peut aussi désigner des entités sur la base de son analyse de risque. En pratique, en tant que prestataire qualifiée LPM et partenaire de confiance pour nos clients (potentiellement impactés par NIS 2), nous avons déjà des engagements de sécurité forts afin de prendre en compte les recommandations et les guides de l’Anssi (guide d’hygiène, guide des PME, etc.).
Concernant la Loi de Programmation Militaire justement, comment vous impacte sa révision toute récente ?
Pour la LPM 2023, l’article 66 introduit dans le code de la Défense L2321-4-1 nous concernera dans la mesure où nous fournissons des solutions de sécurité sur le territoire national – nous commercialisons notamment des plateformes de cassage de mots de passe ou encore un kit de spearphishing. En particulier, la notification à l’Anssi en cas de présence d’une vulnérabilité critique sur un de nos produits ou d’un incident de sécurité devra être pleinement intégrée dans nos processus de conformité au même titre que ceux déjà en place (RGPD, PASSI, etc.). MoveIt transfer, le VPN SSL de Fortigate, ou encore Citrix Netscaler sont autant de produits ayant fait l’objet d’une alerte du CERT-FR en 2023 et démontrant une nouvelle fois de l’importance d’avoir des processus de gestion de vulnérabilités efficaces. La portée générale de la LPM 2023 sur le volet de la déclaration des vulnérabilités est une évolution majeure pour réduire le temps d’exposition des services vulnérables : elle devrait augmenter le niveau de transparence voire de responsabilisation de certains acteurs.
Qu’est-ce que tout cela change pour vous ?
En tant que spécialiste en sécurité offensive, nous pouvons nous attendre à des sollicitations plus nombreuses pour prendre en compte cette évolution réglementaire. Nous accompagnons déjà nos clients dans la gestion des vulnérabilités notamment dans l’identification et la compréhension des vulnérabilités que nous identifions dans le cadre de tests d’intrusion, de concours internationaux ou de notre R&D. Cette évolution de la réglementation va permettre de diffuser les bonnes pratiques dans ce domaine. En premier lieu, en renforçant l’analyse d’impact d’une vulnérabilité : ce sujet exige souvent une compréhension approfondie des pièges de certains langages de programmation tout comme la connaissance des arcanes des systèmes d’exploitation. Seule une telle analyse permet de s’assurer de l’efficacité d’un correctif et ainsi sortir par le haut de ce type de situation.
Peut-on imaginer un recours plus systématique à des audits de sécurité ?
Oui, tout-à-fait ou de CSIRT spécialisés comme celui de Synacktiv pour mieux mesurer l’impact de l’incident auprès des clients en cas d’exploitation active et ainsi fournir une réponse éclairée à l’Anssi tout comme rassurer les clients impactés. La NIS 2 va prolonger ce qui a déjà été mis en œuvre avec la première version. Notre savoir-faire pour nos clients OSE (Opérateurs de Services Essentiels) pourront être mis à profit pour les futures Entités Essentielles / Importantes. Là aussi, la diffusion des bonnes pratiques sera sans doute bénéfique si elles ne sont pas uniquement vues comme une contrainte réglementaire. Nous constatons encore trop souvent que certains incidents de sécurité auraient pu être évités si des mesures de sécurité dictées par l’Anssi (et sans doute reprises pour la transposition de la NIS 2) avaient été mises en place. Sur la base du retour d’expérience du RGPD, la principale interrogation concerne les plus petites structures retenues pour NIS 2 et leur capacité à mettre en application sur le terrain ce type de directive. Le pragmatisme sera de rigueur sur les entités de taille moyenne ou petite, comme nous pouvons le constater lors des recommandations émises lors de nos tests d’intrusion.