Rechercher

Directive NIS : quels impacts pour les entreprises ?

La directive NIS, très proche de la loi de programmation militaire (LPM), aura des impacts certains sur la vie des entreprises qu’elle désigne. Lesquels sont-ils ? Est-ce la fin des cybermenaces de grandes envergures ?

Réponse avec Edouard Bedoucha, consultant sécurité chez Orange Cyberdefense, dans ce deuxième volet.

Une directive très inspirée de la loi de programmation militaire (LPM)

La directive NIS étant une directive européenne, le soin est laissé à chaque état membre de définir les exigences de sécurité qui s’appliqueront aux opérateurs de services essentiels (OSE). Les règles pourront ainsi être différentes selon les pays.

Il existe néanmoins au niveau européen un groupe de coopération1 chargé de définir un ensemble de mesures de sécurité de haut niveau. Ce groupe de travail est composé d’un représentant de chaque état membre (pour la France, il s’agit de l’ANSSI) et de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Ensemble, ils ont déjà produit une ébauche de plusieurs documents, disponibles en relecture. L’un deux expose les mesures de sécurité applicables aux OSE. Ces grandes règles sont réparties en quatre grands axes :

  • la gouvernance de la sécurité des réseaux et systèmes d’information ;
  • la protection de la sécurité des réseaux et systèmes d’information ;
  • la défense de la sécurité des réseaux et systèmes d’information ;
  • la résilience des activités.

Si l’on rentre un peu plus dans le détail de ces différentes catégories, on a une impression de « déjà-vu » et pour cause : il ne s’agit ni plus ni moins que des thèmes issus de la LPM.

La différence réside majoritairement dans l’abstraction des spécificités françaises telles que les qualifications de Prestataires de détection d’incidents de sécurité (PDIS)Prestataires de réponse aux incidents de sécurité (PRIS) ou encore le recours à des équipements qualifiés.

Néanmoins, ce n’est pas parce que ces notions ne sont pas présentes dans les documents mis à disposition par le groupe de coopération qu’elles n’apparaissent pas dans l’arrêté sectoriel en France. Celui-ci reprend le découpage en quatre axes du groupe de travail et définit 23 règles couvrant un panel de mesures allant de l’analyse de risques à la gestion de crise. Pas de grand changement pour les habitués de la LPM.

Directive NIS et LPM : quelles différences ?

La principale différence avec les arrêtés de la LPM réside dans le fait que les audits, la détection,  la corrélation et analyse de journaux et la réponse aux incidents doivent être effectués « selon les règles fixées par le référentiel » tandis que dans le cadre de la directive NIS ces mesures devront être mises en place « en s’appuyant sur les exigences du référentiel ». Alors blanc bonnet ou bonnet blanc, seul le temps pourra nous le dire.

De la même manière que pour les opérateurs d’importance vitale (OIV), les entreprises référencées en tant qu’OSE ont entre deux et trois ans pour faire homologuer leur système d’information essentiel (SIE).

  • 3 ans pour un SIE mis en service antérieurement à la date de désignation de l’opérateur de services essentiels ;
  • 2 ans pour un SIE mis en service dans un délai de 2 ans à compter de la date de désignation de l’opérateur de services essentiels.

La mise en application de ces différentes mesures allant de trois mois pour le traitement des alertes à trois ans pour l’homologation de sécurité.

Les problématiques liées à la directive NIS pour les entreprises

L’adoption d’un arrêté relativement contraignant est souvent un travail long et fait face à de nombreuses résistances de la part des entreprises concernées. A défaut d’incitations positives, c’est souvent la crainte de l’amende qui incite les sociétés à s’intéresser à la cybersécurité et à avancer pour se mettre en conformité.

Malheureusement, dans le cadre de la directive NIS, l’amende maximale que pourra se voir infliger une société en cas de non-respect des obligations de sécurité est fixée à 100 000 €. Si l’on compare ce montant avec les coûts d’exploitation d’un système informatique conforme à la directive, il y a fort à parier qu’un certain nombre de sociétés tenteront de s’y dérober en espérant passer au travers des mailles du filet.

De plus, en fonction des critères et de la fréquence des contrôles à effectuer, le nombre de systèmes qui devront être audités suite à la directive NIS risque d’être démultiplié, avec pour conséquence un problème de ressources humaines à la fois pour l’ANSSI mais aussi pour les sociétés qualifiées prestataires d’audit de la sécurité des systèmes d’information qualifiés (PASSI) qui sont aujourd’hui au nombre d’une trentaine en France.

La directive NIS, la fin des cyberattaques d’envergure ?

L’évolution de la menace et la dimension internationale de la cybercriminalité, comme tendent à le démontrer les dernières attaques d’ampleur, nécessite une harmonisation des législations et une coopération accrue entre les états membres de l’UE.

Les sujets abordés (gouvernance, détection, administration, etc.) par cette directive restent des thèmes classiques de la sécurité des systèmes d’information, connus pour participer au renforcement des capacités de protection d’un SI. La mise en conformité avec la directive NIS permettra d’avoir un niveau minimum de sécurité et d’harmoniser au niveau européen les règles de sécurité applicables aux infrastructures critiques. L’UE donne aux états membres toutes les clés nécessaires à une démarche vertueuse d’amélioration de leur programme de cybersécurité. Malheureusement, cela n’empêchera donc pas une cyberattaque de se produire mais avec des mécanismes de protection et des moyens pour les détecter au plus tôt.

Lien utile :

1https://circabc.europa.eu/faces/jsp/extension/wai/navigation/container.jsp