NIS 2 : des grands défis à relever pour plus de protection
Publié le 27/4/2023
Auteur : Arnaud DUFOURNET, Chief Marketing Officer
Face à l’intensification des menaces cyber, l’Europe a dégainé ces derniers mois tout un arsenal législatif composé d’un paquet de nouveaux règlements et de directives : directive NIS 1 et 2, règlements DORA, Part-IS, CRA, et le dernier en date, le CSA (Cyber Solidarity Act). Dans cette longue liste, c’est la directive NIS (Network and Information Security) qui touche le plus d’organisations en France. En effet, l’élargissement qu’elle prévoit (le nombre de secteurs d’activités impactés passe de 19 à 35) a pour conséquence directe de multiplier par au moins 10 le nombre d’entités françaises concernées. Dans cet esprit d’imposer un renforcement plus large de la cybersécurité en Europe, deux spécificités de la directive méritent d’être regardées d’un peu plus près : la sécurisation des prestataires tiers et l’inclusion des administrations et collectivités territoriales.
Penser la sécurité de manière globale
NIS 2 corrige un oubli de la première mouture de la directive : la sécurité des sous-traitants et des prestataires de services ayant un accès à une infrastructure critique. Oubli réparé ; ils tombent désormais dans le champ de la directive (article 2). La sécurité de la chaîne d’approvisionnement, dont les acteurs du numérique font partie, devient un enjeu majeur.
Cette évolution est assez logique et même nécessaire compte tenu de l’interconnexion croissante des systèmes d’information et de l’augmentation des attaques via la chaîne d’approvisionnement. Ces dernières années les grandes entreprises donneuses d’ordre ont élevé leur niveau de cyber-résilience obligeant les cybercriminels à trouver d’autres portes d’entrée dans les réseaux.
Souvent le maillon le plus faible de la chaîne se trouve être un fournisseur moins bien armé ou pratiquant une politique de sécurité plus permissive. Et c’est là qu’ils frappent en injectant du code malveillant, appliquant ainsi la stratégie ancestrale du cheval de Troie. L’affaire SolarWind ou plus récemment l’attaque subie par Toyota et qui a paralysé un tiers de sa production mondiale, sont des cas d’école emblématiques.
Pour les Entités Essentielles et Importantes, la politique de sécurité doit donc se concevoir de manière plus globale. Elles doivent raisonner sur une surface d’attaque plus large et prendre en compte les risques associés à leur chaîne de valeur (sous-traitants, fournisseurs, etc.). Pour cela, elles doivent identifier leurs dépendances et mettre en œuvre des solutions de protection. Par exemple, l’usage d’un VPN est tout à fait approprié pour sécuriser les accès à distance aux systèmes d’information par des prestataires informatiques. Un VPN d’entreprise garantit la confidentialité et l’intégrité des données échangées et permet également de contrôler le périmètre d’accès.
Renforcer la résilience des administrations et des collectivités
L’autre grande nouveauté de la directive concerne les administrations centrales des Etats-membres ainsi que certaines collectivités territoriales qui rentreront dans le périmètre de NIS 2. Dans un récent entretien accordé à Radio France, Vincent Strubel, le nouveau directeur de l’ANSSI, a présenté une feuille de route placée sous le signe de la « massification » de la réponse aux menaces cyber. Dans cet objectif, il a bien confirmé que les obligations cyber européennes de la directive NIS 2 s’appliqueront aux communes mais avec quelques adaptations.
Le plan France Relance 2030 a permis d’enclencher un mouvement d’investissement pour renforcer la cybersécurité des collectivités. Toutefois les besoins restent encore très conséquents pour sécuriser des systèmes d’information souvent très hétérogènes et qui supportent de nombreux métiers comme l’état-civil, la gestion des cantines ou encore la gestion des prestations sociales.
Le rapport annuel 2022 du GIP Cybermalveillance.gouv.fr montre bien à quel point les collectivités sont particulièrement visées par les attaques. Elles sont surreprésentées parmi les victimes, en particulier les petites. L’hameçonnage et rançongiciels restant les attaques les plus courantes.
Leur présence en force au FIC cette année, avec plus de 400 représentants, démontre leur volonté de trouver des solutions de protection. C’est pour répondre à ce besoin que TheGreenBow a prolongé en début d’année, son offre commerciale spécifique « le VPN Français » en la réservant justement aux collectivités. Pour moins de 1€ par mois, elles peuvent protéger les connexions distantes de leurs télétravailleurs et des leurs prestataires.
Le compte à rebours est lancé
Publiée le 27 décembre dernier au Journal Officiel de l’Union Européenne, la directive doit maintenant faire l’objet d’une transposition par les pays membres de l’UE au plus tard pour le second semestre 2024. En France, c’est l’ANSSI qui planche sur les modalités de transposition. L’agence a annoncé que « certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité ». De son côté, Thierry Breton, commissaire européen au marché intérieur, a rappelé lors de son allocution à la plénière d’ouverture du FIC 2023, combien cette directive était nécessaire et qu’il veillera fermement à ce que son intégration dans les droits nationaux se fasse dans les plus brefs délais.
Pourtant, cette directive souffre encore d’un déficit de connaissance manifeste. C’est la raison pour laquelle TheGreenBow en partenariat avec S&D Magazine, vient de publier un nouveau livre blanc consacré à cette directive. Son objectif ? Aider les nouvelles Entités Essentielles et Importantes à trouver le chemin de la conformité.
