in

Interview d’Imane DAHOU, membre du CEFYS

Imane Dahou est experte en sécurité des systèmes d’information depuis plus de 6 ans. Elle évolue au poste de Risk and Compliance Specialist chez Accenture France depuis septembre 2022. Elle intervient pour cette interview en qualité de membre du CEFCYS

Qu’est-ce que le CEFCYS 

Imane Dahou est experte en sécurité des systèmes d’information depuis plus de 6 ans. Elle évolue au poste de Risk and Compliance Specialist chez Accenture France depuis septembre 2022. Elle est également membre du CEFCYS, Cercle des Femmes de la Cybersécurité. 

Le CEFCYS, www.cefcys.fr, est une association loi 1901 dont le principal objectif est de promouvoir et faire progresser la présence et le leadership des femmes dans les métiers relatifs à la cybersécurité. L’association regroupe plus de 400 adhérent(e)s, des femmes et des hommes travaillant dans ce domaine ainsi que toutes celles et ceux qui aspirent à y travailler, tous désireux de promouvoir ses valeurs et apporter eux aussi leur pierre à l’édifice.

Le CEFCYS est représenté dans 6 grandes villes de France (Paris, Lyon, Toulouse, Lille, Rennes, Marseille) ainsi qu’à l’étranger (Espagne, Pays-Bas, Maroc, Argentine).

Qu’est-ce que NIS 2 ? 

Face à une cybermenace qui augmente, la directive NIS2 vise à harmoniser et à renforcer la cybersécurité de nombreux organismes et entreprises publiques.

NIS 2 (Network and Information Security 2) désigne une directive européenne portant sur des mesures destinées à garantir un niveau élevé commun de cybersécurité au sein de l’Union européenne. Publiée en décembre 2022, la directive NIS2 s’inscrit dans le prolongement de la directive NIS entrée en vigueur en août 2016. À l’époque, la publication du RGPD avait eu une telle résonance internationale que NIS est passée un peu inaperçue. NIS2 entend inverser la tendance et entrera en vigueur pour l’ensemble des pays concernés le 24 octobre 2024.

Selon Imane Dahou, « la directive fait partie d’une stratégie plus globale de l’Union européenne à l’échelle 2030. Elle vient compléter et s’imbrique à d’autres champs réglementaires comme le DORA (Digital Operational Resilience Act) sur la résilience opérationnelle numérique du secteur financier, le RGPD (Règlement Général sur la Protection des Données) et le règlement européen Cybersecurity Act de 2019 qui définit un cadre européen de certification de cybersécurité. »

Pourquoi la directive NIS a-t-elle été révisée ?

Selon Imane, NIS est une directive riche d’enseignement pour les praticiens de la cybersécurité, que ce soit sur le sujet organisationnel, technique ou opérationnel. “La directive a ainsi apporté beaucoup de Framework et de Guideline on Security” (cadre et ligne directrice sur la sécurité, NDLR) . 

Mais en revanche, NIS1 n’a pas apporté suffisamment de précision, en particulier concernant les entités tombant dans son champ d’application. NIS 1 a ainsi donné une marge de manœuvre importante, voire trop importante, aux États pour définir les entités concernées.  Résultat des courses, “on s’est retrouvé avec un nombre d’entités qui pouvait très largement différer d’un État membre à l’autre”

Quels seront les changements dans NIS 2 ?

L’objectif principal de la première version de NIS a été d’harmoniser la cybersécurité de l’ensemble des États membres. C’est toujours le cas avec plusieurs changements attendus sous NIS2 :

Changement de paradigme et élargissement du périmètre  

Si le champ d’application de NIS portait sur les OSE (opérateurs de service essentiel) et les FSN (fournisseurs de service numérique), NIS 2 parle “d’entités importantes” et “d’entités essentielles” avec son lot d’exigences de sécurité renforcées à déployer suivant l’une ou l’autre catégorie d’entités. 

Cette évolution vise à faciliter la tâche des États et à élargir le nombre d’entreprises devant se conformer à la directive. Les annexes 1 et 2 de NIS 2 listeront ainsi clairement les entreprises classées “entité essentielle” et celles classées “entité importante”. Les critères retenus sont notamment le secteur d’activité, le chiffre d’affaires, le nombre d’employés…

“Il est vivement conseillé à toutes les organisations de lire la directive et ses annexes pour savoir si elle est concernée par NIS 2”. Le scope peut les aider dans ce sens à identifier si elles se classent ou non dans l’une ou l’autre catégorie d’entités.

NIS 2 souhaite par ailleurs mettre l’accent sur la chaîne d’approvisionnement. Ainsi, même si une organisation n’apparaît pas sur ces deux listes, elle pourra être concernée par la directive si elle s’inscrit dans la chaîne d’approvisionnement d’une organisation classée entité importante ou essentielle.

Enfin, outre le changement de paradigme et l’élargissement du périmètre des organisations concernéese, NIS 2 entend renforcer les mesures de sécurité. Ainsi, l’apport du régulateur pour guider la sécurisation des SI sera plus prégnant et plus prescriptif dans les mesures de sécurité édictées.

Des enseignements fondés en partie sur une étude d’impact

Ce renforcement et cet élargissement du périmètre de la directive sont fondés en partie sur l’étude d’impact menée sous NIS 1. Celle-ci met en avant les constantes évolutions de la menace cyber grâce aux avancées technologiques et en particulier grâce à  l’IA (intelligence artificielle).  Bien que cette dernière soit plébiscitée pour renforcer les capacités de détection et d’attaque (“white hats”), “l’IA rendra à contrario les attaques de plus en plus sophistiquées et difficiles à repérer”.

Cette même étude d’impact, et les 5 années de recul depuis la transposition de NIS 1, ont  aussi fait apparaître des facteurs exogènes imprévisibles comme la COVID-19 et ses changements radicaux en matière de travail. La généralisation du télétravail a ainsi mis en perspective le besoin de sécuriser davantage les systèmes d’information. 

La pandémie a aussi fait prendre conscience du problème dans les classements réalisés par les États Européens concernant certaines organisations. C’est particulièrement le cas pour les hôpitaux et les cliniques qui n’étaient pas considérés comme des “priorités cyber” dans certains pays. Or, le volume et  la criticité des données engendrées par ces organisations lors de la crise de la Covid, ainsi que leur hétérogénéité en matière de cyberdéfense, ont mis en évidence l’importance de la sécurisation de leur système d’information. 

Mais c’est aussi le cas pour les organismes de recherche qui ont été particulièrement exposés durant la pandémie. Les gouvernements ont vu combien l’élaboration de vaccins, et plus largement les découvertes scientifiques, peuvent constituer un avantage économique réel et hégémonique pour les États.

Ainsi, hôpitaux comme plusieurs organismes de recherche seront classés parmi les entités importantes ou essentielles de manière homogène pour toute l’Union Européenne et devront se mettre en conformité avec la directive NIS2.  

Faire face à des attaques majeures de manière cohérente

Il en va par ailleurs de la résilience de l’Union Européenne qui souhaite devenir une “safe place to work and to do business” (un endroit sûr pour le travail et les affaires, NDLR) . Autrement dit, on ne veut pas simplement cocher des cases pour dire que telle ou telle mesure est en place ! On souhaite aboutir réellement à une résilience des entités importantes et essentielles de l’ensemble du territoire Européen, avec pour ligne de mire de “garantir son attractivité et la continuité de son marché”

Enfin, les événements géopolitiques, notamment la guerre en Ukraine ou les attaques en cyberespace subies par plusieurs membres de l’OTAN, ont mis en évidence les répercussions géopolitiques, économiques et diplomatiques en cas de cyberattaques.  Pour parer à des situations de ce type, NIS 2 amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI (Agence nationale de la sécurité des systèmes d’information)  et ses homologues européens.

Responsabilisation des organisations : de lourdes sanctions

Des sanctions financières 

Sous NIS 1, le régulateur européen avait laissé libre cours chaque État de décider du montant des sanctions à appliquer chez les opérateurs de services essentiels. 

NIS 2 va plus loin et homogénéise les pratiques avec un seuil minimum commun à l’ensemble des pays de l’Union européenne. Ainsi, “sur le modèle du RGPD, les sanctions peuvent atteindre jusqu’à 2% du chiffre d’affaires réalisé à l’international et/ou un minimum de 10 millions d’euros”.

Des sanctions juridiques 

Pour sensibiliser les organes de direction aux rôles essentiels qu’ils doivent jouer en matière de cyberdéfense, NIS 2 fait également évoluer le risque juridique. Jusque-là porté uniquement par les organisations, les directeurs généraux et certains membres de la Haute Direction verront dorénavant leur responsabilité pénale engagée et seront sujets à de lourdes sanctions en cas de manquement à la directive.

Ainsi, si des infractions évidentes de mise en conformité sont descellées et insuffisamment corrigées à la suite d’actions de médiation, un directeur général ou un haut responsable pourra être suspendu temporairement de ses fonctions. Si les problèmes persistent, le régulateur pourra aller jusqu’à exiger la cessation de l’activité d’une organisation et publier publiquement les manquements qui auront été constatés.

Les sanctions pourront porter sur l’absence des mesures prises en interne par une organisation, mais aussi en cas de non-respect sur la déclaration d’incidents importants lors d’attaques cyber. Concernant les incidents, les objectifs NIS 2 sont : 

  • de qualifier les incidents de la même manière partout en Europe. 
  • de raccourcir les délais de notification d’un incident important avec l’obligation pour les organisations concernées de le déclarer sous 24h au lieu des 72h qu’imposaient NIS 1.

Le renforcement de cette politique de réprimande peut sembler sévère. Certaines organisations penseront que les instaurateurs de la directive NIS 2  sont décorrélés de la réalité et qu’ils sont un frein à l’innovation. Pour autant, comme évoqué plus haut, il s’agit bien de changer de paradigme et de démontrer que sans cette conformité, une organisation ne se met pas simplement en risque personnellement, mais qu’elle est susceptible d’impacter lourdement de nombreuses autres organisations et populations.  

Quels sont les rôles de l’ANSSI dans NIS 2 ?

Service du Premier ministre, rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique. L’ANSSI est un acteur majeur de la cybersécurité. Elle apporte son expertise et son assistance technique aux administrations et aux entreprises. Elle assure enfin un service de veille, de détection, d’alerte et de réactions aux cyberattaques. 

L’ANSSI est l’organe majeur qui intervient dans le processus de transposition nationale des directives NIS. 

L’Agence a un rôle de formation (webinaires, réunions, contenus) à destination des entités concernées par la directive NIS mais aussi auprès du grand public. 

Avec NIS 2, l’ANSSI acquiert un nouveau rôle auprès des entités régulées (essentielle ou importante), mais aussi dans la coopération cyber européenne comme expliqué plus haut. 

Dès la transposition de NIS 2 prévue pour octobre 2024, l’ANSSI devra superviser le périmètre d’application de la directive et établir des rapports statistiques sur la base des incidents déclarés par les organisations. 

C’est également l’ANSSI qui sera chargée de réaliser des actions de régulation évoquées précédemment dans le cadre des sanctions. Parmi ses champs d’attribution : contrôles, audit, injonctions de correctifs, suspension d’une certification, suspension de la responsabilité du dirigeant de l’entité concernée et sanctions financières.

Comment les organisations peuvent-elles se préparer et quelles mesures doivent-elles adopter ?

Contrairement à l’obligation du RGPD d’avoir un DPO (Délégué à la protection des données, NDLR), les entreprises n’auront pas besoin de compter un représentant dédié pour la mise en conformité NIS 2. “En revanche, il est vivement recommandé aux entités concernées par la directive, de participer à des groupes de travail”.  

Il s’agit d’obtenir l’adhésion des différentes directions devant se conformer, tant au sein de l’entité concernée qu’auprès d’entités intervenant dans sa chaîne d’approvisionnement.  Cela implique d’embarquer à la fois des services de l’entreprise (juridique, achat, finance…) et des fournisseurs parfois éloignés des problématiques cyber.

Pour ce faire, le régulateur souhaite que la mise en conformité de NIS 2 soit portée au plus haut niveau des organisations. En effet, “qui mieux que les directions générales pour insuffler une culture cyber “ et arguer que cette conformité n’est pas une contrainte mais une évolution à laquelle les différentes parties prenantes peuvent participer. 

Formation, un élément important de la mise en place de NIS 2

L’implication attendue chez les hauts dirigeants des entités concernées implique qu’ils comprennent ce qu’est le risque cyber, comment l’appréhender et quels risques encourent leur organisation en cas d’attaque. De quoi les aider à mieux décider et à orienter leurs investissements de cyberdéfense.   

C’est pourquoi, NIS 2 prévoit l’obligation pour ces organes de direction de suivre des formations. Il est aussi attendu que ces dirigeants soient impliqués dès le départ dans le processus d’analyse des risques. 

Pour l’heure, il n’est pas obligatoire de former la totalité des collaborateurs des organisations concernées par la directive ni la totalité de leurs prestataires. Pour autant, le facteur humain étant à l’origine de la plus grande partie des cyberattaques (82% des brèches de sécurité informatique sont de source humaine – Etude Verizon 2022), il sera fortement recommandé de les sensibiliser régulièrement aux bonnes pratiques en matière de cyberhygiène (risques sur les mots de passe, sur les boîtes mail, sur l’importance de porter un badge ou de parler discrètement de leurs activités dans des lieux publics…). Certains pourront penser qu’il s’agit d’évidences là où d’autres découvriront l’importance de certaines attitudes et habitudes.

Différents best practices existent déjà. 

Par exemple, quand une entité met en place un SMSI (Système de Management de la Sécurité de l’Information), elle prévoira d’y inclure des contenus de formation sur la cybersécurité. 

On peut aussi penser aux campagnes de phishing déployées par certaines entreprises pour sensibiliser les gens aux risques d’hameçonnage par email.  

Ou évoquer ces autres entités qui organisent des conférences dédiées à la cyber à l’occasion du mois de la cybersécurité en s’appuyant, si elles le souhaitent, sur le matériel et les contenus mis à disposition par l’ANSSI

De la même manière, il est possible de sensibiliser collaborateurs et prestataires en les faisant participer à des exercices de crise simulant un incident de sécurité (RETEX). Ces simulations sont riches d’enseignement. Elles permettent à la fois de former et de mettre en pratique pour acquérir les bons réflexes à adopter en cas de cyberattaque.

Mise en conformité de NIS 2, par quoi commencer ?

Imane recommande aux organisations et aux entreprises de lire la directive pour se faire une idée de ce qu’elle implique. 

Ensuite, sur la base des grands sujets de NIS2, on comprend que le renforcement de la  gestion des risques et des incidents de cybersécurité implique de mettre en place certaines actions. Pour commencer, il est primordial d’avoir une bonne analyse des risques encourus par l’organisation. “L’organisation doit se demander si elle a déjà réalisé une analyse de risque, si elle a effectué une PSSI, ou encore si l’analyse se fait à intervalles réguliers.  Elle doit se poser la question de son processus de gestion des incidents ou encore si elle applique les règles d’hygiène de l’ANSSI, etc.”

Quand on déroule toute la liste des sujets de NIS 2 , “on se rend compte qu’il y a une étroite ressemblance avec la norme de conformité ISO 27001 et son annexe 2”. Si on est concerné par cette norme ISO, on peut se poser la question de la pertinence de mettre dès maintenant en place un SMSI ou de poser le cadre de gouvernance pour ainsi gagner du temps. Autrement dit de ne pas attendre la transposition de NIS 2 en octobre 2024, mais d’opter pour une démarche plus proactive. 

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *