Tout comprendre sur la nouvelle Directive NIS2

De manière concrète, la Directive NIS2 va concerner plusieurs catégories d'opérateurs en fonction de leur taille et de leur niveau de criticité.

• Les opérateurs de taille moyenne devront respecter la directive s'ils ont plus de 50 employés et réalisent plus de 10 millions de revenus/actif.
• Les entités essentielles et importantes seront également régulées en fonction de leur niveau de criticité.

La Directive NIS2 s'appliquera à plus de dix-huit secteurs qui seront désormais régulés au niveau national. Elle concernera environ 600 types d'entités différentes, des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

Les secteurs essentiels passeront de 7 à 11, incluant l'énergie, les transports, les banques, les infrastructures de marché financier, les infrastructures numériques, l'eau potable, les eaux usées, l'alimentaire (production, traitement et livraison), la santé, l'administration publique et l'espace.

Le secteur de l'énergie englobe toute la production et le transport pour l'électricité, les réseaux de chaleur et de froid, le pétrole, le gaz et l'hydrogène.

Dans le secteur de la santé, tous les prestataires de soins, les laboratoires, ainsi que toutes les entités exerçant des activités de recherche, pharmaceutiques ou de fabrication de dispositifs médicaux jugés critiques seront réglementés.

Les infrastructures numériques couvrent un large domaine et impliquent les fournisseurs de points d'échange internet, de services DNS, de solutions de cloud, de centres de données, de diffusion de contenus, de services de confiance, ou encore de réseaux de communications électroniques publics.

D'autres secteurs seront également concernés tels que les services postaux et de courrier, ainsi que tout ce qui touche aux produits chimiques, de leur fabrication à leur distribution.

L'ANSSI s'appuiera sur la notion de proportionnalité pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.

Quelles sont les principales obligations et domaines auxquels prêter attention ?

La directive NIS2 s'inscrit dans une approche par les risques et les menaces pour protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents. Elle reprend toutes les questions posées par le modèle NIST (National Institute of Standards and Technology) : identifier, protéger, détecter, répondre, restaurer.

Suis-je capable de restaurer mes appliocations dans quel ordre, est ce que j’ai défini un process de gestion de crise cyber, qui va m’aider, suis-je formé aux premiers secours, ai-je pratiqué ces exercices, ai-je un plan de réponse à incident, est ce que j’ai des outils qui vont ou qui auraient pu me permettre de détecter et de répondre à cette attaque majeure qui échappe aux contrôles de sécurité usuels et le cas échéant qui me founisse les traces pour comprendre ensuite ce qui se passe pour avoir un contrôle préventif sur la menace. Mes contrôles préventifs sont-ils suffisants pour réduire la surface d’attaque ? Ai-je bien dientifié mes risques business et leur lien avec l’IT, le croisement entre technogies, personnel, process.
Le rationnel de cette approche NIS2 est basé sur les expériences en matière d’incident de sécurité.

Les mesures de la directive NIS2 comprennent "au moins" les éléments suivants :

1- Préparation

La directive NIS2 exige des entités essentielles et importantes qu'elles soient préparées à anticiper les attaques et qu'elles aient mis en place un processus de gestion de crise cyber. Il est inacceptable de ne pas être préparé pour ces acteurs clés dans l'économie et les services publics.

2- Les vecteurs d’attaque et en particulier les accès initiaux avant une attaque sont aujourd’hui parfaitement identifiés.

Les attaquants passent à travers l’exploitation des vulnérabilités logicielles, ou des erreurs de configurations. Au-delà de la nécessité de mettre en œuvre un programme de gestion des vulnérabilités, la directive NIS2 va plus loin en instaurant le pentest, voire le redteaming, pour tester la réactivité de la détection des incidents. Elle exige également de travailler sur la partie logicielle pour ceux qui développent du software, sur la partie DevSecOps.

3- La gouvernance des identités

Afin de parer les attaques, la directive NIS2 impose l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue.

4- La chaine de sous-traitance

Enfin il y a aussi un point qui est issu des expériences d’incident de sécurité, c’est que les attaques de type supply chain, celle de vos fournisseurs sont celles qui sont les plus croustillantes pour les adversaires car on arrive à accéder à un énorme nombre de données personnelles. L’objectif de cette directive est de traiter les risques liés à la chaine d’approvisionnement. Si une attaque impactant votre sous-traitant vient mettre en péril votre activité alors ce sous-traitant va être concerné par les mesures de la directive.

5- Sécurité des données

La directive NIS2 impose la mise en place de politiques et procédures relatives à la sécurité des données. Par expérience on sait que dans les incidents de sécurité de type ransomwares mais aussi pour d’autres types d’incident, il y a maintenant systématiquement un volet exfiltration de données. L’idée c’est de travailler sur le chiffrement des données qu’elles soient stockées ou en circulation. On peut s’attendre à se voir imposer un cadre un peu plus précis sur l’utilisation de chiffrement des contenus pour protéger les échanges de données, avec l’utilisation de protocoles de sécurisation TLS par exemple.

6- Mettre en œuvre des politiques d'analyse des risques et de sécurité des systèmes d'information

Il est nécessaire que les opérateurs mettent en place des politiques visant à analyser les risques et assurer la sécurité des systèmes d'information en utilisant un SMSI et en se conformant à un cadre et des politiques spécifiques. La directive NIS2 exige un niveau minimum de maturité pour tous les critères. Ceci est similaire à l'audit de maturité des 14 chapitres de la norme ISO 27001, où un seuil minimum doit être atteint.

La directive exige une approche axée sur les risques pour l'entité elle-même et sa chaîne de sous-traitance. Un mécanisme de gouvernance strict, comparable aux exigences de la norme ISO 27001, doit être mis en place pour identifier les risques associés aux métiers critiques et aux actifs qui les soutiennent, et les sécuriser. Pour maintenir une amélioration continue, il est recommandé de mettre en place une chaîne SMSI pour maintenir un niveau de conformité élevé pour tous les critères.

7- Notification et reporting sur incident

Le texte stipule des exigences accrues en matière de notification et de reporting d'incident. Des délais stricts sont imposés pour signaler les incidents aux autorités compétentes, probablement auprès des CSIRT ou de l'ANSSI selon la loi française.
Le premier niveau d'alerte, appelé "alerte précoce", doit être donné dans les 24 heures suivant la prise de connaissance de l'incident. Dans les 72 heures suivantes, une notification plus détaillée doit être soumise, comprenant une évaluation initiale de l'incident.
Enfin, un rapport final sur l'incident doit être produit dans un délai d'un mois à compter de la notification de l'incident. Ce rapport doit inclure une description détaillée de l'incident, le type de menace, le jeu impliqué, l'impact et toute autre information pertinente.

Ces mesures NIS2 représentent une base de référence minimum définie par l’UE sachant que chaque pays pourra décider de renforcer certaines obligations. Vous pouvez consulter le texte complet de la directive ici