Directive NIS2 : les enjeux de la nouvelle cybersécurité européenne

Le 10 novembre, le Parlement européen a voté en faveur de l’adoption de la nouvelle directive « Network and Information Security » ou « NIS2 ».

Partager sur:
Sauvegarder cet article
Aimer cet article 0
photo by Lewis Kang'ethe Ngugi on Unsplash

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Directive NIS2 : les enjeux de la nouvelle cybersécurité européenne

Publié le 4 décembre 2022
- A +

C’est dans un contexte de tensions géopolitiques grandissantes où cybermenaces et cyberattaques constituent désormais des outils de guerre comme les autres, que le jeudi 10 novembre le Parlement européen a voté en faveur de l’adoption de la nouvelle directive « Network and Information Security » ou « NIS2 ».

Adoptée, NIS2 abrogera et remplacera la directive NIS de 2016 en s’inscrivant pleinement dans le programme d’action numérique de l’UE à l’horizon 2030.

Et pour cause, de nombreux événements ont récemment accéléré la nécessité de parachever une stratégie commune en matière de cybersécurité : après les affaires d’écoutes et d’espionnage (les révélations autour des espionnages menés par la NSA, puis du projet Pegasus à l’été 2021), le conflit russo-ukrainien bouleverse encore davantage le paysage numérique. Le tout récent rapport annuel de l’Agence de l’Union européenne pour la cybersécurité (ENISA) indique que le conflit pourrait changer durablement la donne en la matière : des cyberattaques sont menées de concert avec des actions militaires sur le terrain pour dégrader les infrastructures critiques et perturber les moyens de défense.

La cybermenace est donc en passe de devenir un souci militaire et économique central sur lequel l’Union Européenne doit s’entendre et ce, malgré la circonstance qu’il ne s’agisse que d’une compétence partagée entre elle et ses Etats Membres.

Alors, quelles insuffisances ont motivé si peu de temps après la transposition de la première directive NIS son évolution vers NIS2 ? Ces nouvelles mesures permettront-elles réellement aux États de l’UE et à leurs économies de se prémunir efficacement contre les cybermenaces ? Quels changements impliquera-t-elle pour les entreprises françaises concernées ? Ces nouvelles obligations feront-elles peser sur elles un poids non déraisonnable ?

Monsieur Sébastien Morey, Responsable du Pôle cybersécurité de l’Agence régionale du numérique et de l’Intelligence artificielle (ARNia), ainsi que du CSIRT (Computer Security Incident Response Team) régional Bourgogne-Franche-Comté, nous apporte son éclairage tout au long de l’article.

 

Cybermenace : un domaine où la France s’améliore

En France, la directive NIS1 a été transposée dans notre ordre juridique en 2018.

Créée en 2009, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui a d’ailleurs piloté les travaux de transposition.

Service à « compétence nationale », si l’on s’en tient à la terminologue utilisée par la directive européenne, l’ANSSI agit en tant qu’« autorité nationale compétente en matière de cybersécurité » et loge en son sein le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR, Computer Emergency Response Team).

Depuis 2018, la transposition a entraîné un certain nombre de mesures parmi lesquelles notamment, l’identification de plusieurs vagues d’« opérateurs de services essentiels » (OSE) et des fournisseurs de services numériques (FSN) tenus d’appliquer et de se soumettre aux règles de cybersécurité élaborées par l’ANSSI.

Jusqu’à présent, les OSE sont désignés en fonction d’une liste de services essentiels au fonctionnement de la société ou de l’économie, dès lors qu’ils fournissent au moins un des services mentionnés sur la liste, et qu’un incident affectant leurs réseaux aurait des conséquences graves au regard d’un certain nombre de critères.

OSE et FSN sont notamment régis par l’obligation de déclarer à l’ANSSI « dès qu’ils en ont connaissance », les incidents affectant les réseaux et systèmes d’information utilisés pour la fourniture de leurs services essentiels lorsqu’ils ont (ou sont susceptibles d’avoir) un impact significatif sur la continuité de ces mêmes services.

En outre, l’article 9 de la loi de 2018 prévoit déjà un système de sanction avec la possibilité pour l’ANSSI de prononcer différentes amendes administratives dont le montant peut s’élever entre 75 000 euros et 125 000 euros en fonction du type de règle(s) méconnue(s) par l’opérateur concerné.

Notons par ailleurs que la France est allée plus loin que ce à quoi la directive l’y avait contraint.

Aux domaines inclus dans le champ d’application de NIS1, la liste française des services essentiels a ajouté : les assurances, les organismes sociaux, les organismes de gestion de l’emploi et de la formation professionnelle, le traitement des eaux non potables, les opérateurs chargés du parcours éducatif national et de l’organisation d’examens nationaux, la restauration collective destinée aux secteurs de la santé, de l’enfance et de la détention pénitentiaire.

 

Pourquoi réformer NIS1 ?

À l’échelon national et international, les événements mentionnés plus tôt ont accéléré le constat de certains échecs : des degrés de résilience variable des États-membres et de certains de leurs services essentiels aux cyberattaques et au cyberespionnage, ainsi que l’absence de réponse conjointe de l’Union européenne à ce type de crises.

Constats auxquels il faut ajouter le faible niveau de cyber-résilience des entreprises établies dans l’Union : elles sont de plus en plus nombreuses à subir les conséquences de telles attaques (Orange, Altice, CMA CGM…).

Interrogé, monsieur Sébastien Morey indique selon lui que les OSE apportés par la première directive ne sont pas assez nombreux :

« On a beaucoup parlé des hôpitaux et des cyberattaques dont ils font l’objet car cela nous touche personnellement et cela touche aux données personnelles de santé, mais ce ne sont pas les seuls concernés. Jusqu’à présent, les PME et les ETI, à moins qu’elles n’aient été qualifiées d’OSE ou d’OIV (opérateurs d’importance vitale) ne sont soumises à aucune règle en la matière, excepté celles qui sont relatives à la mise en œuvre du RGPD et à la sécurisation des données personnelles. On constate pourtant que les entreprises privées sont énormément touchées par les cyberattaques qui ne concernent pas que les données personnelles mais peuvent être liées à des données économiques, à des brevets, à des données techniques liées aux chaînes d’approvisionnement, de production, etc.

NIS2 ne s’impose donc plus comme une seule mesure de sécurité informatique, mais aussi et avant tout comme une mesure de sécurité économique. La plupart des fraudeurs agissent désormais dans le but de récupérer de l’argent, des savoir-faire, et plus généralement, des informations liées au fonctionnement économique et commercial de l’entité attaquée.

A l’échelle européenne, cela représente beaucoup d’argent, qu’il est difficile de quantifier car beaucoup d’entreprises ne veulent encore pas communiquer sur le fait qu’elles ont été attaquées. En rentrant dans le champ d’application de la directive, elles y seront obligées. Mais elles seront aussi nécessairement amenées à se poser des questions sur leur cybersécurité, et à créer des appels de moyens pour se rendre conformes à la loi.

Il ne faut pas occulter les conséquences économiques que ces cyberattaques peuvent avoir sur certaines entreprises. Certaines d’entre elles ne pourront pas se relever. »

 

Que prévoit vraiment NIS2 ? 

Ce qu’il faut surtout appréhender, c’est la suppression de l’obligation faite aux États-membres d’identifier les « opérateurs de services essentiels ».

En effet, la nouvelle directive supprime définitivement ce statut et met en place une nouvelle nomenclature. Seront désormais concernées par la directive, les entités publiques et privées dites « essentielles » et « importantes » actives dans l’un des secteurs énumérés et désignées comme telles en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement pourrait avoir.

Disons-le tout de suite, en principe et sauf exception, les dispositions de la directive ne devraient pas s’appliquer aux microentreprises et aux petites entreprises au sens où les définit la Commission européenne.

Cette nouvelle approche viendra gonfler le nombre d’entités publiques comme privées – parfois de taille moyenne –, concernées par les mesures cyber dessinées dans la directive et précisées, voire approfondies dans la législation nationale.

 

Les entités essentielles et importantes devront désormais prendre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information. Elles devront couvrir, au minimum, les aspects liés à l’analyse et à l’évaluation des risques encourus, à la gestion des incidents cyber, à la continuité des activités et à la gestion des crises en cas d’attaque, à l’utilisation de solutions de contrôle des accès, et enfin à la sécurité de la chaîne d’approvisionnement (incluant donc notamment la question des fournisseurs, des sous-traitants et des prestataires de services).

Ce dernier point est intéressant, il n’avait pas été traité par NIS1 alors que les sous-traitants représentent encore aujourd’hui le maillon le plus faible de la chaîne de sécurité mise en place dans les entreprises, et ces dernières sont régulièrement attaquées par ce biais.

À l’image de ce que prévoit le RGPD, NIS2 place les organes de direction des entités concernées au centre des décisions en matière de cybersécurité. Ils pourront, à ce titre, être tenus pour responsable en cas de défaut ou d’insuffisance de mesures déployées dans l’entité. Cela inclut, en leur sein, la responsabilité des personnes physiques exerçant des responsabilités dirigeantes dans l’entité ou capables de la représenter.

En outre, la directive renforce les obligations des entités essentielles et importantes en matière de communication. Désormais, tout incident « ayant une incidence significative sur la fourniture de leurs services » ou « toute cybermenace importante qui aurait pu entraîner un incident significatif » devront être communiqués dans un premier délai de vingt-quatre heures auprès de l’autorité compétente (l’ANSSI pour la France).

Pour toutes les entités nouvellement concernées au premier rang desquelles les administrations publiques et les entreprises de taille moyenne, l’ensemble de ces nouvelles obligations pourrait être perçu comme lourd à établir techniquement et financièrement. Néanmoins, la cybermenace expose désormais pleinement leur économie : les attaques peuvent aussi bien concerner les données clients, les données « produit », les secrets de fabrication, les brevets, les chaînes d’approvisionnement et paralyser l’activité pendant plusieurs semaines. Si à première vue la mise en conformité peut donc apparaître comme un coût d’investissement supplémentaire, le bénéfice tiré de l’amortissement des conséquences de l’attaque et de la vitesse de réponse pourrait être bien plus rentable.

Monsieur Morey insiste sur ce point, déroulant avec nous la nature des mesures qui devront être déployées par les entreprises et les structures concernées :

« La première chose à faire est de s’assurer que l’on respecte les règles de base.

Cela passe d’abord par l’établissement d’une cartographie exhaustive de son système d’information. L’entreprise doit se demander : quels sont nos actifs matériels (serveurs, PC…) et immatériels (logiciels de base, logiciel métier…) ? Et ainsi, cartographier son système d’information par activité métier (RH, comptabilité, commercial…).

Une fois qu’elle est parvenue à cartographier jusqu’au plus petit détail (bande de paiement cantine, borne d’ouverture parking, etc.), elle doit chercher à connaître l’ensemble de ses flux réseaux, d’échanges entre ses logiciels : qui échange avec qui ? Ces échanges et ces accès sont-ils logiques ou justifiés ? Il convient ensuite d’identifier l’ensemble des comptes utilisateurs, en particulier les comptes à privilèges.

Une fois que tout cela a correctement été identifié, l’on peut commencer à entrer dans le vif du sujet, et notamment, chercher à gérer les comptes utilisateurs selon la règle du « moindre privilège », puis gérer les arrivées/départs pour supprimer tous les comptes inutiles.

Il faut s’atteler par ailleurs à segmenter les flux et les réseaux. Dans cette hypothèse, l’achat de logiciel(s) ou de matériel (pare-feu, firewall, antivirus…) commence à s’envisager, tout comme le recours à des prestataires. Ce sont des coûts d’investissement certes, mais des coûts forcément rentables sur le long terme. »

Au rang des nouvelles mesures prévues par la directive, un certain nombre d’entre elles s’adressent directement aux États membres.

L’aspect « surveillance et exécution » est celui sur lequel le législateur européen a semble-t-il le plus insisté. Ainsi, les autorités nationales compétentes – en France, l’ANSSI – devront par exemple se voir attribuer par l’État le pouvoir de soumettre lesdites entités à des inspections, une surveillance à distance, des audits, des scans de sécurité, des demandes d’accès à des données ou à toutes informations nécessaires à l’évaluation des mesures de cybersécurité mises en place. Sur ce dernier point se pose alors la question de la frontière entre sûreté et sécurité publiques d’un côté, et respect de la vie privée de la personne morale de l’autre, incluant l’ensemble des aspects liés aux secrets industriels et commerciaux.

 

Dans l’exercice de ses nouvelles missions, L’ANSSI se verrait ainsi octroyer de nouveaux moyens parmi lesquels la possibilité d’émettre des instructions contraignantes, d’opérer elle-même une déclaration publique désignant les responsables (personnes physiques ou morales) de la violation des obligations, d’imposer une amende administrative, voire de désigner dans l’entité, pour une période déterminée, un responsable du contrôle chargé de superviser le respect des obligations en la matière : se dessine ici la question de l’articulation avec la liberté d’entreprendre et d’exercer librement une activité économique (principe ayant en France une valeur constitutionnelle).

 

Sans préciser si les mesures décrites devront être cumulées pour considérer que l’autorité nationale compétente peut passer à l’étape supérieure, la directive se contente d’indiquer que si elles se révélaient inefficaces, l’autorité désignée devrait se voir octroyer le pouvoir de déclencher des mesures plus sévères encore.

Parmi elles, l’ANSSI pourrait ainsi imposer une injonction temporaire interdisant à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal de l’entité, ainsi qu’à toute personne physique tenue pour responsable de la violation, d’exercer des responsabilités dirigeantes dans l’entité concernée.

Là encore, le signal est assez fort. Mais dans les faits s’agit-il bien d’une mesure pouvant entraîner la responsabilité pénale du chef d’entreprise ? Auquel cas, quel serait le rôle de l’ANSSI et comment pourrait-elle interagir avec les organismes publics compétents ? (Inspection du travail et directions régionales notamment).

 

En conclusion

Certaines des nouvelles mesures imposées par la directive NIS2, directement aux États-membres, ou indirectement à leurs entités essentielles et importantes, sont ambitieuses. Elles traduisent la volonté d’avancer vers un système plus efficace d’anticipation et de gestion du risque et de la menace cyber pour préserver les économies européennes.

Pour certaines entreprises, bien qu’a priori coûteuses et techniques, le déploiement de mesures propres à gérer les risques liés à la sécurité des réseaux et des systèmes d’information sur toute la chaîne d’approvisionnement pourrait manifester un gain d’efficacité et à terme la réduction des coûts supplémentaires générés par les incidents de cybersécurité.

Monsieur Sébastien Morey soutient d’ailleurs cette logique :

« Je ne crois pas qu’il faille aborder la législation comme constitutive de nouvelles contraintes, mais plutôt comme un moyen pour les entités concernées de se mettre à jour vis-à-vis des réalités du numérique. Pour ce faire, il a été nécessaire de passer par l’outil législatif, et ainsi, inciter les entités économiques à prendre conscience du risque cyber.

Cette mise en conformité pourrait même constituer à la longue un véritable argument de valorisation pour les acteurs privés : nous protégeons vos données, nous protégeons nos propres investissements.

De la même façon que l’on a installé des détecteurs à incendies pour s’en protéger, ce qui nous paraît compliqué et anormal aujourd’hui en matière de cybersécurité nous paraîtra classique et routinier dans quelques années.

D’ailleurs, les Centres régionaux de réponse aux incidents cyber (les « CSIRT ») occuperont à l’échelle régionale un rôle différent. Ils s’adresseront – comme l’illustre le CSIRT Bourgogne-Franche-Comté – aux collectivités, au tissu économique privé (depuis la PME jusqu’à l’ETI), ainsi qu’aux associations nationales avec un ancrage régional, qui pourront être conseillés par eux directement. Et s’ils sont créés avec le support de l’ANSSI et que la méthodologie et le langage sont communs, les règles qui s’appliquent à l’autorité nationale ne s’appliquent pas aux CSIRT régionaux. Nous n’aurons aucune action répressive et j’insiste, notre rôle est d’alerter et d’aider les entités qui s’adressent à nous.

À l’échelon régional, il n’y a donc aucun moyen de répression ou de surveillance. Comme je le répète souvent, nous n’interviendrons donc pas sur les équipements, ne nous déplacerons pas dans les locaux, ni ne ferons de déclarations publiques en lieu et place de nos bénéficiaires. J’invite d’ailleurs tous les acteurs concernés à nous contacter s’ils veulent être conseillés et aiguillés. ».

 

Néanmoins, plusieurs questions demeurent irrésolues dans la pratique et certaines frontières devront être clairement délimitées. Dotée de nouveaux pouvoirs et de moyens pour les appliquer à l’échelle nationale, l’ANSSI ne devrait pas avoir à agir comme une police répressive à l’encontre des entreprises, de plus en plus guidées et ralenties par des contraintes législatives et réglementaires, plutôt que par leur initiative propre à assurer leur sécurité. Des différends liés à l’articulation entre ces nouvelles prérogatives et la liberté d’entreprendre et d’exercer librement une activité économique pourraient se manifester une fois la directive transposée.

Il est utile à cet égard de se demander quelle(s) voie(s) de recours ces entités seront-elles autorisées à actionner en cas de désaccord alors que l’on sait que le décret de 2018 pris en application de NIS1 imposait à tout opérateur de services essentiels de former un recours administratif préalable (« Rapo ») auprès du Premier ministre avant de pouvoir former un recours contentieux recevable.

Voir les commentaires (3)

Laisser un commentaire

Créer un compte Tous les commentaires (3)
  • S’occuper de la sécurité de nos Ordinateurs qui maintenant gère notre vie, notre armée, notre santé, nos Hôpitaux, etc … bien sur. Mon soucis et que ces décisions sont intimement couplées aux libertés d’accès a tous, aux milliards d’infos du NET. Van der Leyen a décidé seule de ce que j’avais le droit de regarder ou entendre a propos de L’Ukraine. Un de nos ministre raconte qu’il faut couper les connexions Internet pour limiter la consommation électrique, L’arrêt (La Censure) des box une journée ne fera pas tourner une cimenterie trois minutes).
    Le mélange perpétuel et l’opacité, entre Liberté et sécurité, doit nous inquiéter.

  • J’ai quelques doutes (c’est une litote).
    Une fois de plus on aborde un véritable problème de sécurité par le biais d’une explosion de contraintes bureaucratiques ruineuses, contradictoires, paralysantes et elles-mêmes intrusives. A-t-on seulement conscience que tous ces nouveaux contrôles externes par des agents eux-mêmes faillibles voire corruptibles multiplie les occasions d’intrusions rédhibitoires pour la sécurité, la résilience et la confidentialité des entreprises et de leur personnel jusque dans leur vie privée?
    C’est à croire que chaque problème apparent (virus, climat, cybermenace, monnaie …) est perçu par les autorités comme une aubaine justifiant l’extinction des dernières libertés.

  • Encore une belle usine à gaz en perspective alors qu’on le voit actuellement c’est dans les hôpitaux et autres secteurs para publiques qu’il y a le moins d’investissement en la matière.

    A côté de ça, si le but est d’empêcher l’espionnage industriel on ouvre en grand notre R&D à des étudiants étrangers, chinois pour ne pas les nommer et on livre nos secrets industriels en échange de nouveaux marchés. Well done.

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Interdits en France, les faux avis en ligne demeurent légion et ce quelle que soit la taille de l’entreprise.

Ces avis touchent également les professions libérales : médecins, dentistes, etc. Dès lors que des avis peuvent être déposés sur votre activité, vous êtes concernés ! Qu’ils soient positifs - pour vanter artificiellement les mérites d’un produit ou d’un service - ou négatifs pour dénigrer les services des concurrents, les usagers que nous sommes auront pu constater que la bataille est toujours vive notamment pour l’hôtellerie, ... Poursuivre la lecture

En raison du caractère auto-optimisant des systèmes d'apprentissage automatique, la technologie progresse à un rythme effréné et les fonctionnalités et capacités des moteurs d'IA spécifiques au marketing ont évolué rapidement au cours des dernières années.

 

Qu'est-ce que l'intelligence artificielle ?

L'intelligence artificielle (IA) est une science qui porte sur le développement de machines intelligentes capables d'effectuer des tâches sollicitant l'intelligence humaine.

Elle fonctionne en amalgamant une multitude d... Poursuivre la lecture

Il y a quelques mois, dans un article appelant les nouveaux députés à mettre fin[1. Ce qui fut chose faite au 31 juillet 2022, quelques dispositions de veille sanitaire restant néanmoins en vigueur jusqu’au 30 juin 2023 et la réintégration des soignants non-vaccinés étant soumise au feu vert de la Haute Autorité de Santé, laquelle est pour l’instant bloquée sur rouge.] à l’état d’urgence sanitaire, je soulignais en conclusion combien il était nécessaire que les citoyens montrent la plus grande vigilance, non seulement à court terme à propos d... Poursuivre la lecture

Voir plus d'articles