Cybersécurité

Directive NIS : profitez du mois de la cybersécurité pour préparer la mise en conformité

23 octobre 2018

Directive NIS : profitez du mois de la cybersécurité pour préparer la mise en conformité

Désormais transposée en droit français, la directive NIS fixe de nouvelles exigences en termes de sécurité des systèmes d’information. Qui sont vraiment les acteurs concernés et quelle est la nature exacte de ces obligations ? Tour d’horizon des questions à se poser pour ne pas manquer sa mise en conformité.

Votée en juillet 2016 par le parlement européen, la directive Network and Information Systems (NIS) créée un ensemble d’obligations visant à protéger les opérateurs et fournisseurs de service de premier plan des risques liés à la cybersécurité et harmoniser ce cadre juridique au niveau de l’Union. Ses dispositions ont été transposées en droit français début 2018. Il incombe donc désormais à tous les acteurs concernés de prendre connaissance des exigences de sécurité adoptées et de se mettre en conformité.

Qui sont les acteurs concernés par la directive NIS ?

En France, la loi de Programmation Militaire de 2013 (LPM) faisait déjà de la cybersécurité une exigence majeure afin de garantir la pérennité des Opérateurs d’Importance Vitale (OIV), c’est-à-dire les acteurs dont les installations sont jugées indispensables à la survie de la Nation : eau, énergie ou santé par exemple.

Avec la directive NIS, les OIV ne sont plus les seuls concernés. Le texte définit ainsi deux nouvelles catégories d’acteurs dont la continuité doit être garantie : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Le statut d’Opérateur de Services Essentiels est attribué aux acteurs dont les services sont considérés comme essentiels au bon fonctionnement de la société. Le statut englobe ainsi des domaines tels que l’énergie, l’eau et la santé mais aussi les transports, les banques ou les infrastructures de marchés financiers. La liste précise des sociétés considérées comme OSE doit être fixée par décret avant le 9 novembre prochain. Au-delà, les OSE seront désignés individuellement par le Premier Ministre.

Le terme Fournisseur de Services Numériques va quant à lui englober les acteurs qui sous-tendent l’économie numérique, en B2B comme en B2C : il concerne plus précisément les places de marché, les moteurs de recherche et les services de cloud computing comptant au moins 50 employés et réalisant plus de 10 millions d’euros de chiffre d’affaires annuel. Les FSN ne sont pas désignés comme les OSE : il leur appartient de se mettre en conformité spontanément.

Quelles sont les exigences de la loi de transposition NIS ?

La loi de transposition NIS impose à tout OSE ou FSN de savoir identifier les risques, s’en prémunir, assurer la résilience des activités et signaler les incidents.

En pratique ? S’agissant des OSE, le texte de la loi de transposition fixe les principaux domaines de la cybersécurité concernés : 

  • Gouvernance des réseaux et du SI ;
  • Protection face aux risques ;
  • Défense en cas d’attaque ;
  • Résilience des activités.

Pour les FSN, le texte dispose qu’ils doivent garantir un niveau de sécurité adapté aux risques existants et mettre en œuvre les mesures destinées à les réduire. Ces mesures concernent les domaines suivants :

  • La sécurité des systèmes et des installations ;
  • La gestion des incidents ;
  • La gestion de la continuité des activités ;
  • Le suivi, l’audit et le contrôle ;
  • Le respect des normes internationales.

Les règles de sécurité à implémenter par les OSE et les FSN sont détaillées par l’arrêté du 14 septembre 2018.

Qu’il s’agisse des OSE ou des FSN, tout incident « susceptible d’avoir un impact significatif sur la fourniture ou la continuité des services » doit impérativement faire l’objet d’une déclaration auprès de l’Autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

En cas de manquement à ces différentes obligations, la loi prévoit des sanctions significatives :

  • Jusqu’à 100 000€ d’amende pour l’absence ou le non-respect de règles de sécurité ;
  • Jusqu’à 75 000€ d’amende pour la non-déclaration d’incidents ;
  • Jusqu’à 125 000€ pour toute obstruction à un contrôle de l’ANSSI.

Qu’implique la mise en conformité ?

Le fait que la non-déclaration d’incident soit sanctionnée illustre bien la complexité du sujet : détecter le risque et s’en protéger ne suffisent pas, il faut aussi savoir qualifier les incidents et créer toutes les politiques de gestion associées. La mise en conformité est donc loin d’être qu’un sujet technique : elle exige une vraie gouvernance.

Comment se préparer ? La méthodologie à mettre en œuvre devrait s’inspirer du déroulé suivant.

La démarche peut sembler lourde, mais elle est indispensable. La première phase permet de délimiter le périmètre en identifiant les services critiques concernés. L’état des lieux préalable sert à dimensionner le projet, en décrivant les écarts entre l’existant et les exigences réglementaires. Ces prérequis sont indispensables pour que le plan de conformité puisse être écrit en tenant compte des contraintes budgétaires et de la feuille de route générale.

Comment se mettre en ordre de marche ?

La mise en conformité implique une vraie démarche de transformation, aussi bien au niveau des infrastructures que de l’organisation. Dans le monde de la cybersécurité, on profite cependant de l’expérience déjà acquise avec les acteurs concernés par les obligations de la LPM de 2013. De ces chantiers complexes, on peut retenir quelques facteurs clé de succès.

En premier lieu, anticiper pour éviter d’ajouter l’urgence aux contraintes déjà nombreuses du projet. Ensuite, bien mobiliser l’ensemble des acteurs dès le lancement du projet, en impliquant à la fois la direction et les différents métiers concernés. Enfin, assurer un suivi régulier du projet afin d’identifier rapidement les problèmes rencontrés, les inévitables dépendances et les points de crispation, en se rapprochant au besoin d’instances telles que l’ANSSI, le CIGREF ou le CLUSIF pour travailler à leur résolution.

La mise en conformité est souvent perçue comme une dépense contraignante, avec un retour sur investissement difficile à mettre en évidence. L’expérience et les retours pratiques du terrain montrent toutefois qu’il s’agit finalement d’une opportunité de traiter des problématiques sécurité à la racine et de transformer durablement la sécurité de son SI. Ce faisant dans un contexte de menace grandissante, elle devient un atout vis-à-vis des partenaires de l’entreprise et garantit la résilience de son activité.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *