NIS2 ou comment atteindre la résilience opérationnelle pour répondre aux menaces cyber
NIS2 ambitionne d'être plus qu'une obligation légale, mais un texte fondateur de la résilience devant les menaces cyber. Or, les entités visées n'ont pas toutes la maturité attendue par Bruxelles.
Quelles applications à l’échelle de la France et de l’UE
Renforcer les exigences en matière de cybersécurité. Avant d’en venir aux spécificités et aux obligations de NIS2, il importe de rappeler qu’elle s’inscrit dans la continuité d’une première directive, à l’initiative de la France et de l’Allemagne en 2016, appliquée à l’ensemble des pays membres en 2018. Au 17 octobre 2024, les États membres devront avoir adopté des lois de transposition permettant d’adapter à leur spécificité les principes généraux présents au texte du régulateur.
Une fois de plus, au même titre que d’autres d’ailleurs, la France fait figure de mauvais élève. La raison ? La dissolution de l’Assemblée à la suite de la défaite essuyée par le camp présidentielle aux européennes, ne permet pas de tenir les délais. Aujourd’hui, seuls trois pays (Belgique, Croatie et Hongrie) ont publié leur loi de transposition !
Ceci dit, les manœuvres politiques qui ont bouleversé l’examen et le vote du projet de loi ne doivent pas ternir les ambitions du texte : étendu à 18 secteurs contre 12 en 2016 (répartis en secteurs dits critiques ou hautement critiques), NIS2 englobe un champ élargi visant 600 types d’entités différentes (plus de 1000), fournisseurs de services numériques et communes de plus de 30.000 habitants. Elle vise à renforcer les mesures de sécurité des entités régulées sur plusieurs sujets dont la prévention, la détection, la réponse aux incidents de cybersécurité, la continuité d’activité et gestion de crise et la gestion de risques liés aux tiers. Ces entités sont donc soumises à une série d’obligations : maîtrise des risques liés aux tiers, rationalisation des obligations de signalement, introduction d'exigences strictes en matière de mise en application...
Qui pour réguler en France ? Il appartiendra à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de s’assurer du respect de la loi nationale. L’ANSSI pourra, au besoin, avoir recours à des sanctions administratives et à des mesures correctives. M. Vincent Strubel, directeur général de l’ANSSI, lors de son discours inaugural aux Assises de Monaco le 9 octobre dernier, indiquait que compte tenu de la situation politique en France, une adaptation de NIS2 au droit français prendrait du temps. L’ANSSI, rapporte plusieurs sources, laissera trois ans aux entités concernées pour se conformer à la directive ; en se montrant toutefois intransigeant devant quelques obligations simples, comme le fait de montrer les investissements menés dans des solutions de cybersécurité.
Un défi opérationnel et organisationnel
Les entités ne devraient pas tomber dans l’écueil qui consisterait à analyser NIS2 comme une énième tentative d’ingérence de Bruxelles, dans le fonctionnement des organisations. NIS2 est bien plus une réponse à une situation de tensions, de conflits géopolitiques et à une accélération des transformations numériques, faisant de chaque entité une cible potentielle pour les pirates informatiques. NIS2, d’une certaine façon, anticipe les potentielles attaques, obligeant les entités à adopter une posture réactive. Cette approche se trouve résumée dans la notion de résilience cyber des infrastructures critiques.
Ce qu’il faut comprendre ? Les organisations devront en cas d’attaque cybernétique faire preuve de résilience opérationnelle. Tout devra avoir été mis en œuvre, au préalable, pour répondre à l’incident sans créer de rupture dans la fourniture ou la qualité de service. Ceci implique non seulement de disposer des technologies adéquates, mais aussi d’une gouvernance permettant à tous les métiers et à tous les fournisseurs d’avoir une vision holistique du risque. Objectif : atténuer les risques, garantir un retour rapide à la normale sans rupture opérationnelle et sans sacrifier la qualité de service.NIS2 c’est conduire les entreprises à prendre la pleine mesure de leur vulnérabilité et à renforcer les mesures de sécurité sur plusieurs fronts : la prévention, la détection, la réponse aux incidents de cybersécurité, la continuité de l’activité et la gestion des risques liés au tiers. Ceci n’est pas sans rappeler les objectifs poursuivis par la directive D.O.R.A. pour les entités du secteur financier (applicable au 17 janvier 2025).
En plus d’être un défi organisationnel et opérationnel, NIS2 intègre aussi des enjeux financiers. Le projet européen souhaite réduire les pertes dues à la cybercriminalité de 11,3 milliards d'euros par an. Cependant, pour éviter le décrochage entre aspirations et réalité, il faudrait augmenter le budget de la cybersécurité de 22 % pour les organisations nouvellement sélectionnées et de 12 % pour celles qui étaient auparavant concernées par la directive NIS actuelle. Mais, plutôt que de supporter le coût d’une mise en conformité, la solution pourrait être à trouver auprès d’un fournisseur tiers...
Pour une mise en conformité réussie
La maturité numérique s’acquiert soit avec les années, soit en ayant recours à un fournisseur aux solutions éprouvées en matière de cybersécurité et de conformité. Au moment de souscrire, les organisations doivent s’assurer que ce dernier soit lui-même en conformité avec les règles qu’il entend faire respecter. La plateforme retenue devra, permettre de répondre aux 10 mesures minimales de sécurité obligatoires présentes à l’article 21 du texte.« Ces mesures garantissent, pour les réseaux et les systèmes d’information des futures entités essentielles et importantes, un niveau de sécurité adapté et proportionné au risque existant, en tenant compte de l’état des connaissances », explique l’ANSSI.
En d’autres termes, pour se préparer à NIS2, les entités devront adopter des solutions avancées offrant une intelligence des actifs en temps réel, une analyse des vulnérabilités, une détection des menaces et une remédiation alimentées par l'IA ; ainsi que des informations contextuelles sur les incidents afin que les équipes de sécurité puissent prendre des décisions éclairées en matière de gestion des risques. C’est de cette façon qu’elles pourront être assurées qu’elles ne sont pas en train de rattraper leur retard en matière de conformité réglementaire, mais qu'elles règlent les problèmes de manière proactive.
Le chemin vers la conformité à NIS2 n’est pas insurmontable. Il exige de disposer d’une bonne gouvernance et de solutions technologiques conformes aux exigences du texte. Il serait aussi faux de parler de révolution concernant NIS2, mais plutôt d’évolution. Il est vrai, de nombreuses organisations ont pris la mesure des menaces bien avant l’annonce de la directive et poursuivent leur transformation numérique en se faisant accompagner par des éditeurs de solutions de cybersécurité en maîtrise des enjeux de protection.