mar. Sep 17th, 2019
rohde & schwarz - gilles arpa

La directice NIS : un nouveau cadre européen de sécurité

Par Gilles d’Arpa, VP Sales Application & Cloud Security chez Rohde & Schwarz Cybersecurity

Alors que tous se focalisent sur le RGPD qui concerne les données à caractère personnel, la Directive NIS reste dans l’ombre. Pourtant, elle impose un niveau élevé de sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique dans l’Union Européenne. Beaucoup plus large que le RGPD, la directive concerne toutes les données numériques et pas uniquement celles personnelles. 

 

Retour sur la directive NIS

Cette loi vise à établir un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique et commun pour les réseaux et systèmes d’information de l’Union Européenne. Adoptée en juillet 2016, son objectif est de faire émerger une Europe forte et de confiance. Pour cela, elle doit s’appuier sur les capacités nationales des Etats membres en matière de cybersécurité, basées sur leurs propres capacités de cybersécurité. Ainsi, la directive NIS ambitionne la mise en place d’une coopération européenne efficace et la protection des activités économiques et sociétales critiques pour faire face collectivement aux risques de cyberattaques.  

Elle vise ainsi à limiter les conséquences des incidents lorsqu’ils affectent la disponibilité, l’intégrité et la confidentialité des services cititiques. Elle s’appuie sur 5 piliters obligatoires suivants : la définition d’un point de contact unique pour la directive NIS, l’identification des systèmes d’information essentiels (SIE), l’application des règles de sécurité aux SIE, la déclaration des incidents aux autorités, les audits réguliers par les autorités. 

Ses principaux objectifs sont de : 

  • Soutenir et faciliter la coopération stratégiques entre les Etats membres avec la participation de l’ANSSI pour la France et ENISA, 
  • Faciliter l’échange d’informations et renforcer la confiance mutuelle, 
  • Elever le niveau global de maturité et les capacités nationales de cybersécurité (formations, outillages, etc…). 

Les enjeux majeurs de la directive NIS portent sur la gouvernance, la coopération, la cybersécurité des OSE (Opérateurs de services essentiels) et la cybersécurité des FSN (Fournisseurs de service numérique). 

 

NIS : pour qui ?

La directive NIS est appliquée dans l’ensemble de l’Union européenne à certain type d’organisations. Cette liste n’est pas statique et évolue selon les menaces et les organisations. Grâce à l’établissement de la directive NIS, deux nouvelles catégories d’acteurs ont pu être établies : 

  • OSE – Opérateurs de services essentiels qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société, 
  • FSN – Fournisseurs de service numérique (places de marché en ligne, les moteurs de recherches et les services Cloud).

En ayant défini les deux catégories prioritaires en matière de protection, il a été décidé de renforcer la cybersécurité pour les OSE et les FSN. Les OSE sont soumis à des règlementations plus contraignantes que les FSN. Pour les FSN établis hors UE, ils sont contraints à désigner un représentant en France auprès de l’ANSSI. 

Toutefois, certaines entreprises ne sont pas concernées comme les fournisseurs de services publics de communications électroniques, les fournisseurs de services fiduciaires, les fabricants de matériel informatique, les fournisseurs de logiciels, les réseaux sociaux… Par ailleurs, les petites entreprises sont exemptées et certaines exceptions par pays existent, comme pour le secteur bancaire britannique. A ce jour, la France a identifié 122 OSE mais s’attend à ce que le nombre final soit proche de plusieurs centaines. Une nouvelle vague d’OSE est attendue avant la fin de l’année, mais la liste ne sera pas rendue publique.

A ce jour, les entreprises se basent sur le Cloud et il n’existe pour l’instant aucune jurisprudence. Ainsi cela pourrait impliquer que de nombreuses parties du SIE pourraient être assimilées à un FSN. 

 

Quel est l’objectif de cette directive NIS ?

Par cette directive, l’Union Européenne entend protéger les réseaux et les systèmes d’informations des entreprises et institutions. Elle impose des obligations aux opérateurs de services essentiels et à toutes les entreprises et services publics des secteurs identifiés dans chaque pays par les Etats membres. Ils devront prendre les mesures de sécurité appropriées et notifier les incidents importants aux autorités nationales compétentes. Ces mesures visent à augmenter le niveau de cybersécurité tout en réduisant les risques et les impacts des attaques sur les SI critiques en respectant certains principes comme : 

  • L’efficacité face à l’environnement des menaces actuel et futur,
  • La conception adaptée pour avoir le plus grand impact sur leur cybersécurité et éviter les efforts inutiles,
  • La compatibilité pour faire face aux vulnérabilités de sécurité fondamentales et communes, 
  • La proportionnalité face aux risques.  

 

Le cadre européen NIS se transpose en France : quelles conséquences ?

Le cadre est défini au niveau européen et est transposable au niveau local avec des adaptations selon les caractéristiques de chacun. Ce cadre fournit des bases de références en matière de cybersécurité au niveau international. 

La France est le pays le plus avancé sur la directive NIS notamment grâce à la loi de programmation militaire (LPM) locale, qui a servi de modèle pour la création de la directive NIS. L’approche de la France est fondée en grande partie sur l’expérience positive acquise par les opérateurs d’importance vitale depuis 2013 visant à renforcer la sécurité des réseaux et des systèmes d’information.  

Promulgué en 2018 par l’ANSII (Agence Nationale de la Sécurité des Systèmes d’information) qui est l’unique interlocuteur en France, ainsi, ce territoire respecte pleinement les 5 piliers et l’ensemble des mesures de sécurité proposées par le groupe de coopération de l’UE. 

 

L’impact pour les entreprises 

A ce jour, les entreprises sont contraintes de prendre les mesures nécessaires pour être en conformité avec la directive NIS. Les contraintes sont fortes notamment en raison de la complexité de la directive, des problématiques en termes de législations et les amendes dissuasives qui y sont associées. De plus, les risques de réputation et les investissements nécessaires sont assez lourds et décourageants pour les entreprises. 

La cybersécurité évolue rapidement et il est impératif de rapidement mettre en place les mesures de sécurité recommandées par la NIS. La conformité totale demande du temps, la capacité à démontrer la directive NIS est au cœur de la stratégie de cyberdéfense d’une organisation et est la première étape vers la conformité. 

Ainsi, l’entreprise doit mettre en place des indicateurs d’évaluations adéquates des risques, adopter des mesures de sécurité appropriées et mettre en œuvre des plans d’intervention en cas d’incident solides. Des experts de la cybersécurité sont disponibles pour accompagner ces entreprises et organisations. 

Les obligations pour les OSE et les FSN sont proches de celles des OIV (Opérateurs d’Importance Vitale) qui sont régis par la Loi de Programmation Militaire et qui imposent des critères de cybersécurité. Les entreprises doivent mettrent en place 4 piliers : gouvernance, protection, défense et résilience. A noter, sur les thématiques de gouvernance de la cybersécurité, les entreprises visées doivent démontrer la pertinenance de leurs dispositifs et démontrer leurs efforts de mise en conformité notamment au niveau de la cartographie, de la documentation de leur service et du suivi des risques cyber.  

 

Quel avenir ?

A ce jour, l’ensemble des démarches pour mettre en place la directive NIS n’est pas encore initiées malgré une actualité propice à une prise de conscience des enjeux de cybersécurité. A l’avenir, la directive NIS devrait subir des évolutions en fonction des besoins du marché et des situations critiques subies par les entreprises. 

%d blogueurs aiment cette page :