Benjamin LEROUX est directeur marketing chez Advens, société indépendante de prestations en cybersécurité. Il intervient pour cette interview en sa qualité d’administrateur du CLUSIF.
Qu’est ce que le CLUSIF?
Le Clusif est une association de référence de la sécurité du numérique en France qui réunit entreprises et administrations autour du développement des bonnes pratiques pour la sécurité du numérique.
Sa mission consiste à favoriser les échanges d’idées et de retours d’expérience à travers des groupes de travail, des conférences et publications. Il réunit tous les secteurs d’activité de l’économie autour de la cybersécurité et de la confiance numérique.
Vous aimerez aussi cet article:
Pouvez-vous nous parler de l’entrée prochaine en vigueur de la directive NIS2
NIS 2 est une directive européenne dont l’objectif est clair : “augmenter le niveau de protection moyen global de l’Union européenne”. Elle est la suite de NIS1 et souhaite imposer aux États membres de mettre en place une stratégie nationale afin d’atteindre, maintenir et homogénéiser un haut niveau de sécurité au sein des entreprises et administrations de l’Union :
Tous les pays de l’Union Européenne sont concernés avec une directive commune et des transpositions par état qui seront adaptées suivant les lois locales. À partir de la publication de la directive, les États membres auront 21 mois pour la transposer dans leur droit national. “La deadline officielle, gravée dans le marbre au niveau de l’Europe, c’est d’avoir décliné sa loi pour octobre 2024. Après, s’agira-t-il d’être entièrement dans les clous au 1er novembre ou est-ce qu’on aura du temps, on ne le sait pas encore !”.
La France collabore en ce moment avec l’ANSSI sur le sujet.
La directive NIS 2 conserve les grands axes de la directive NIS 1 : la gouvernance, la protection et la défense de la sécurité des réseaux et des SI, ainsi que la résilience des activités. Mais de nouveaux objectifs ambitieux ont été fixés avec l’élargissement des entités concernées et de leur écosystème, le renforcement des exigences et l’application de sanctions lourdes en cas de manquement.
L’élargissement du nombre d’organisations
Le premier point structurant de NIS2 est le nombre d’entités concernées qui vont devoir se mettre en conformité vis-à-vis du texte. La première version de la directive NIS ciblait prioritairement « des opérateurs d’importance vitale ».
“Ce sont des acteurs publics et privés plutôt très gros : distribution d’eau, les gros hôpitaux, etc. Ces acteurs ultra-critiques sont, en théorie, matures et préparés aux risques cyber.”
La directive NIS 2 élargit le champ des organisations concernées puisqu’elle définit deux niveaux d’organisations : les « opérateurs essentiels » et les « opérateurs importants ». Outre cette distinction, le nombre de structures qui vont devoir se mettre en conformité va considérablement augmenter. “Les entités de grande taille, de taille intermédiaire et de taille moyenne (plus de 50 employés et plus de 10 millions de chiffres d’affaires) sont les premières concernées”.
“Il y a des débats pour savoir si tel ou tel secteur est concerné… Il va falloir vraiment expliquer aux organisations si elles font partie ou non du périmètre de NIS2”. Il faut par ailleurs que la transposition locale des États membres soit la plus compréhensible possible.
Vous aimerez aussi cet article:
Sécurité de la supply chain : D’une logique d’entreprise à celle d’un écosystème d’entreprises
La directive NIS 2 introduit également une obligation de sécurité de la chaîne d’approvisionnement contractuelle des entités essentielles et importantes. Les entités soumises à NIS 2 devront ainsi encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires directs.
“Une des questions qui se pose justement concerne le périmètre de ces fournisseurs et de ces partenaires. Imaginons une entité qui est soumise à la directive NIS 2. Dans quelle mesure devra-t-elle dire à tout ou partie de son écosystème « tu dois aussi être en conformité avec la directive. Le prestataire spécialisé, PME d’une cinquantaine de salariés qui n’est pas initialement concerné, le sera-t-il ? On ne le sait pas encore.”
C’est tout le rôle d’une structure comme le CLUSIF : faire passer des messages, en se disant « Attention, imposer l’intégralité des exigences à tous les sous-traitants, c’est peut-être trop. Peut-être qu’il va falloir trouver des approches plus raisonnables. ».
La subtilité, c’est de trouver cet équilibre. On ne va pas tirer vers le bas en se disant « ils ne vont pas y arriver, on ne va rien leur demander ». On ne peut pas non plus leur demander d’être conforme en quelques jours à des niveaux atteints par de grosses structures après plusieurs années. C’est pourquoi un calendrier de déploiement nous semble important.
Vous aimerez aussi cet article:
Renforcement des Exigences de Cybersécurité
NIS2 impose par ailleurs des exigences de cybersécurité plus strictes. Les entités concernées doivent mettre en œuvre des politiques de sécurité robustes, incluant la gestion des risques, la protection des réseaux et des systèmes d’information, et des procédures de gestion des incidents. Ces mesures doivent être basées sur une évaluation des risques régulièrement mise à jour, garantissant ainsi que les mesures de sécurité restent pertinentes face à l’évolution des menaces.
De nouvelles obligations sont enfin posées concernant le signalement des incidents. L’objectif : avoir une réponse plus efficace et coordonnée en cas d’incident majeur ! Les entités concernées par la directive devront dorénavant fournir une notification d’incident dans les 24h suivant la détection de l’incident, suivie d’une évaluation initiale dans les 72h et enfin d’un rapport complet dans les 30 jours.
Accroître les sanctions
L’autre avancée majeure avec NIS 1 concerne les sanctions. Dans la première version de NIS, il n’y avait pas trop de sanctions, ou du moins, celles-ci n’étaient pas homogénéisées pour l’ensemble des pays membres de l’Union européenne.
NIS 2 introduit des sanctions unifiées et importantes en cas de non-respect des dispositions. Les amendes pourront atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel total pour une entité essentielle et 7 millions d’euros ou 1.4% du CA pour les entités importantes.
De plus, la directive introduit une responsabilité accrue pour les cadres dirigeants avec des sanctions d’ordre pénal envers l’entreprise et son top management en cas de manquement.
“On va voir comment vont se positionner les acteurs, notamment privés. On ne sait pas précisément si le pouvoir public français va être dans l’accompagnement, le contrôle ou la punition. On pense plutôt qu’ils vont être dans l’accompagnement.”
Et en termes de contrôle ?
C’est une très bonne question. Dans le texte, il y a beaucoup de pouvoir qui est donné à ce que le texte appelle « l’agence nationale ». Autrement, en France, il s’agit de l’ANSSI. Est-ce que c’est l’ANSSI qui va faire l’accompagnement, le conseil et le contrôle ? On ne sait pas encore.
L’Humain, un facteur de risque majeur ! Comment le limiter ?
En matière de cybersécurité, il est d’usage de prendre en compte trois dimensions : la technologie, les processus et le facteur humain. Ce dernier facteur reste un enjeu majeur de la cybersécurité puisqu’il est toujours la principale source de cyber incidents. Pour sensibiliser les populations, les formations se démocratisent. Au côté des formations payantes, il est aussi possible d’accéder à de la matière première, gratuite et facilement accessible. Par exemple, le MOOC de l’ANSSI est intéressant pour les novices comme premier point d’entrée pour se faire un vernis cyber.
Mais gardons à l’esprit que le travail de sensibilisation reste “énorme”. Sur ce point, NIS2 impose un volet de formation obligatoire pour les cadres dirigeants et encourage les organisations à sensibiliser régulièrement leurs collaborateurs.