Les acteurs malveillants sont de plus en plus performants et organisés : la directive NIS 2 vise ainsi à apporter davantage de protection aux entités toujours plus nombreuses à être victimes d'attaques cyber. Face à la croissance de ces attaques, la directive NIS 2 ("Network and Information Security") aura donc un réel impact sur la protection de milliers d'entreprises et d'administrations.

Mais cette nouvelle directive aura également un impact sur les opérations des petites et moyennes entreprises (PME) et des collectivités locales.

Qu'est-ce que la directive NIS 2 ?

Comment la directive affectera-t-elle les opérations quotidiennes des PME et des administrations ?

Pourquoi est-ce que les pays membres de l'Union Européenne accordent-ils une telle importance stratégique à cette directive ?

Quelles sont les meilleures pratiques en matière de conformité ? Quelles sont certaines des mesures que les PME et les autorités locales peuvent prendre pour assurer la conformité avec la directive NIS 2 ?

Nous tenterons de répondre à ces questions dans cet article.

La directive NIS 2 est entrée en vigueur le 16 janvier 2023

La directive NIS 2 a pour objectif de renforcer la cybersécurité des organisations à l’échelle de l’UE.

En juillet 2016, le Parlement européen et le Conseil de l'Union européenne ont adopté la directive "Network and Information Security" (NIS). Cette directive avait pour but d'améliorer la sécurité informatique des acteurs majeurs de dix secteurs d'activité, ce qui concernait quelques centaines d'entités en France. En 2018, la directive a été transposée au niveau national, obligeant ces grands acteurs à déclarer leurs incidents de sécurité à l'ANSSI et à prendre des mesures de sécurité pour réduire les risques pour leurs systèmes critiques.

La directive NIS 2, qui se base sur les enseignements de la directive NIS 1, représente un véritable changement de paradigme, tant au niveau national qu'européen.

L’accord politique a été formellement adopté par le Parlement puis par le conseil en novembre 2022. Il est entré en vigueur le 16 janvier 2023.

Les Etats membres ont maintenant 21 mois, jusqu’au 17 octobre 2024, pour transposer les mesures de la directive NIS2 en droit national.

Pourquoi la directive NIS2 est-elle importante ?

La menace complexe, professionnelle et en constante évolution ne diminue pas et les systèmes d'information restent vulnérables. La mise en œuvre de la directive NIS 2 est une opportunité unique pour des milliers d'organisations de mieux se protéger. Elle permettra également de mobiliser largement le tissu économique national et le secteur public, tout en renforçant la coopération entre les États membres en matière de gestion de crise cyber. La directive NIS 2 élargit ses objectifs et son périmètre d'application pour offrir une protection accrue, ce qui représente une extension sans précédent du champ de réglementation dans le domaine de la cybersécurité. De plus, elle offre un cadre formel au réseau CyCLONe, qui rassemble l'ANSSI et ses homologues européens.

Ce qu’il faut retenir de la NIS2 – EU 2022/2555
  • Une cybersécurité renforcée
  • Une base de référence à l’échelle de l’UE minimum
  • De nombreux opérateurs concernés avec un élargissement

NIS 2

Qui est concerné par la Directive NIS2 ?

De manière concrète, la Directive NIS2 va concerner plusieurs catégories d'opérateurs en fonction de leur taille et de leur niveau de criticité.

  • Les opérateurs de taille moyenne devront respecter la directive s'ils ont plus de 50 employés et réalisent plus de 10 millions de revenus/actif.
  • Les entités essentielles et importantes seront également régulées en fonction de leur niveau de criticité.

La Directive NIS2 s'appliquera à plus de dix-huit secteurs qui seront désormais régulés au niveau national. Elle concernera environ 600 types d'entités différentes, des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

Les secteurs essentiels passeront de 7 à 11, incluant l'énergie, les transports, les banques, les infrastructures de marché financier, les infrastructures numériques, l'eau potable, les eaux usées, l'alimentaire (production, traitement et livraison), la santé, l'administration publique et l'espace.

Le secteur de l'énergie englobe toute la production et le transport pour l'électricité, les réseaux de chaleur et de froid, le pétrole, le gaz et l'hydrogène.

Dans le secteur de la santé, tous les prestataires de soins, les laboratoires, ainsi que toutes les entités exerçant des activités de recherche, pharmaceutiques ou de fabrication de dispositifs médicaux jugés critiques seront réglementés.

Les infrastructures numériques couvrent un large domaine et impliquent les fournisseurs de points d'échange internet, de services DNS, de solutions de cloud, de centres de données, de diffusion de contenus, de services de confiance, ou encore de réseaux de communications électroniques publics.

D'autres secteurs seront également concernés tels que les services postaux et de courrier, ainsi que tout ce qui touche aux produits chimiques, de leur fabrication à leur distribution.

L'ANSSI s'appuiera sur la notion de proportionnalité pour définir des exigences adaptées et proportionnées aux enjeux de chacune de ces catégories.

 

>> Pour découvrir les principaux points à retenir et recommandations pour la mise en œuvre de la directive NIS 2 

Rendez-vous pour notre "webinaire à la demande" 1h pour tout comprendre sur la nouvelle directive NIS 2 !

Webinaire Directive NIS2

Quelles sont les principales obligations et domaines auxquels prêter attention ?

 

La directive NIS2 s'inscrit dans une approche par les risques et les menaces pour protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents. Elle reprend toutes les questions posées par le modèle NIST (National Institute of Standards and Technology) : identifier, protéger, détecter, répondre, restaurer.

Suis-je capable de restaurer mes appliocations dans quel ordre, est ce que j’ai défini un process de gestion de crise cyber, qui va m’aider, suis-je formé aux premiers secours, ai-je pratiqué ces exercices, ai-je un plan de réponse à incident, est ce que j’ai des outils qui vont ou qui auraient pu me permettre de détecter et de répondre à cette attaque majeure qui échappe aux contrôles de sécurité usuels et le cas échéant qui me founisse les traces pour comprendre ensuite ce qui se passe pour avoir un contrôle préventif sur la menace. Mes contrôles préventifs sont-ils suffisants pour réduire la surface d’attaque ? Ai-je bien dientifié mes risques business et leur lien avec l’IT, le croisement entre technogies, personnel, process.
Le rationnel de cette approche NIS2 est basé sur les expériences en matière d’incident de sécurité.

Les mesures de la directive NIS2 comprennent "au moins" les éléments suivants :

1- Préparation

La directive NIS2 exige des entités essentielles et importantes qu'elles soient préparées à anticiper les attaques et qu'elles aient mis en place un processus de gestion de crise cyber. Il est inacceptable de ne pas être préparé pour ces acteurs clés dans l'économie et les services publics.

2- Les vecteurs d’attaque et en particulier les accès initiaux avant une attaque sont aujourd’hui parfaitement identifiés.

Les attaquants passent à travers l’exploitation des vulnérabilités logicielles, ou des erreurs de configurations. Au-delà de la nécessité de mettre en œuvre un programme de gestion des vulnérabilités, la directive NIS2 va plus loin en instaurant le pentest, voire le redteaming, pour tester la réactivité de la détection des incidents. Elle exige également de travailler sur la partie logicielle pour ceux qui développent du software, sur la partie DevSecOps.

3- La gouvernance des identités

Afin de parer les attaques, la directive NIS2 impose l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue.

4- La chaine de sous-traitance

Enfin il y a aussi un point qui est issu des expériences d’incident de sécurité, c’est que les attaques de type supply chain, celle de vos fournisseurs sont celles qui sont les plus croustillantes pour les adversaires car on arrive à accéder à un énorme nombre de données personnelles. L’objectif de cette directive est de traiter les risques liés à la chaine d’approvisionnement. Si une attaque impactant votre sous-traitant vient mettre en péril votre activité alors ce sous-traitant va être concerné par les mesures de la directive.

5- Sécurité des données

La directive NIS2 impose la mise en place de politiques et procédures relatives à la sécurité des données. Par expérience on sait que dans les incidents de sécurité de type ransomwares mais aussi pour d’autres types d’incident, il y a maintenant systématiquement un volet exfiltration de données. L’idée c’est de travailler sur le chiffrement des données qu’elles soient stockées ou en circulation. On peut s’attendre à se voir imposer un cadre un peu plus précis sur l’utilisation de chiffrement des contenus pour protéger les échanges de données, avec l’utilisation de protocoles de sécurisation TLS par exemple.

6- Mettre en œuvre des politiques d'analyse des risques et de sécurité des systèmes d'information

Il est nécessaire que les opérateurs mettent en place des politiques visant à analyser les risques et assurer la sécurité des systèmes d'information en utilisant un SMSI et en se conformant à un cadre et des politiques spécifiques. La directive NIS2 exige un niveau minimum de maturité pour tous les critères. Ceci est similaire à l'audit de maturité des 14 chapitres de la norme ISO 27001, où un seuil minimum doit être atteint.

La directive exige une approche axée sur les risques pour l'entité elle-même et sa chaîne de sous-traitance. Un mécanisme de gouvernance strict, comparable aux exigences de la norme ISO 27001, doit être mis en place pour identifier les risques associés aux métiers critiques et aux actifs qui les soutiennent, et les sécuriser. Pour maintenir une amélioration continue, il est recommandé de mettre en place une chaîne SMSI pour maintenir un niveau de conformité élevé pour tous les critères.

7- Notification et reporting sur incident

Le texte stipule des exigences accrues en matière de notification et de reporting d'incident. Des délais stricts sont imposés pour signaler les incidents aux autorités compétentes, probablement auprès des CSIRT ou de l'ANSSI selon la loi française.
Le premier niveau d'alerte, appelé "alerte précoce", doit être donné dans les 24 heures suivant la prise de connaissance de l'incident. Dans les 72 heures suivantes, une notification plus détaillée doit être soumise, comprenant une évaluation initiale de l'incident.
Enfin, un rapport final sur l'incident doit être produit dans un délai d'un mois à compter de la notification de l'incident. Ce rapport doit inclure une description détaillée de l'incident, le type de menace, le jeu impliqué, l'impact et toute autre information pertinente.

Ces mesures NIS2 représentent une base de référence minimum définie par l’UE sachant que chaque pays pourra décider de renforcer certaines obligations. Vous pouvez consulter le texte complet de la directive ici

Directive NIS 2 : les bonnes pratiques pour une mise en conformité des PME et administrations

Pour découvrir les bonnes pratiques pour une mise en conformité des PME et administrations

Rendez-vous pour notre "webinaire à la demande" 1h pour tout comprendre sur la nouvelle directive NIS 2 !

En partenariat avec Secureworks, nous récapitulons les principaux points à retenir et recommandations pour la mise en œuvre de la directive NIS 2

dans votre organisation.

Webinaire Directive NIS2