S’inspirant directement de la loi de programmation militaire (LPM) française, la directive européenne NIS (Network and Information Security) est effective depuis le 9 mai 2018. Et alors que le décret d’application en France vient de paraître ce 25 mai, Robert Wakim, offer manager Industry chez Stormshield, analyse l’impact de cette série de nouvelles réglementations en matière de cyber-protection.
L’entrée en vigueur de la directive européenne NIS (Network and Information Security), votée en juillet 2016, ouvre une nouvelle page de la cyber protection. Celle-ci s’inscrit dans la lignée de la LPM (Loi de programmation militaire) instaurée depuis 2013 en France, pays en l’espèce précurseur en Europe.
L’expérience de la LPM devrait rassurer les plus inquiets. Son adoption a été en effet meilleure qu’attendue, si l’on en croit l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Sur les 249 OIV (Opérateurs d’Importance Vitale) identifiés, la grande majorité ont défini leur SIIV (Système d’Information d’Importance Vitale) dans les trois mois requis après la publication des décrets.
Mais cette LPM ne constitue pas une fin de soi ; elle est la première étape de la cyber-protection, par définition itérative et cyclique. Une protection qui nécessite des audits réguliers pour faire face à de nouvelles attaques inconnues, comme l’ont encore démontré les failles de sécurité Spectre et Meltdown.
NIS : protéger les intérêts vitaux… d’un point de vue économique
En cela, la NIS apporte sa pierre à l’édifice, mais sur des cibles différentes. Alors que la LPM visaient les opérateurs d’importance vitale en cas d’atteinte à la sécurité nationale (pour les secteurs du transport, de l’énergie, de l’alimentation, de la santé…), la NIS aborde le sujet d’un point de vue économique : on bascule sur des intérêts vitaux davantage liés à des problématiques de commercialisation, de brevets, etc.
Ce sont donc les grandes entreprises du CAC 40 et leurs homologues en Europe qui sont concernées. Aux OIV de la LPM viennent ainsi s’ajouter les OSE (Opérateurs de Services Essentiels) de la NIS, élargissant le cercle des acteurs visés, même si ce sont parfois les mêmes.
À noter que la directive européenne a également décidé d’inclure dans le système les FSN (Fournisseurs de Services Numériques). Non seulement l’économie dépend de plus en plus de leurs services mais, situés à un endroit critique du système en voyant passer l’ensemble des flux réseaux, ils sont dans une position stratégique pour faire remonter les informations en cas d’incident.
Les États européens ont désormais jusqu’au 9 novembre 2018 pour réaliser la liste de leurs OSE et FSN. En France, Guillaume Poupard, directeur général de l’ANSSI, déclarait récemment à l’occasion des RIAMS (Rencontres de l’Identité, de l’Audit et du Management de la Sécurité) d’Orange Cyberdéfense : « Le nombre précis des OSE n'est pas connu, mais il y en aura probablement plusieurs milliers. Et cette liste pourra grandir dans le temps ».
Le nombre des OSE n'est pas connu mais il y en aura probablement plusieurs milliers
Guillaume Poupard, directeur général de l’ANSSI
Si la LPM peut être jugée plus contraignante, du moins plus précise, concernant les outils à mettre en place, la NIS met quant à elle l’accent sur l’effort de communication inter-États au travers de leurs agences. Les États n’ayant pas d’agences, comme l’ANSSI en France ou le BSI en Allemagne, seront aidés par l'ENISA. Comme pour un incendie, l’idée est d’intervenir le plus tôt possible afin d’empêcher la propagation de l’incident.
Du côté des entreprises, les décrets de la LPM qui incitent à réaliser un inventaire de l’infrastructure, une cartographie du réseau et une définition des risques critiques peuvent être utiles pour se préparer à la directive européenne, mais sous un prisme économique.
Cette préparation doit reposer sur trois piliers :
- la sensibilisation de l’ensemble des salariés, sans exclusivité, à la connaissance du monde de la cyber-sécurité, avec la présence d’experts en interne ou en sous-traitance,
- la réalisation d’audits afin d’établir un plan d’action précis,
- le choix de produits de protection les plus adaptés aux besoins.
Cyber-sécurité – fiabilité – compétitivité : le cercle vertueux
Quant à l’impact de ces nouvelles réglementations, il devrait être normalement imperceptible pour le client final. En revanche, les entreprises devraient assister à une remontée dans la hiérarchie du directeur Sécurité des systèmes d’information, comme cela a été le cas dans certaines grandes entreprises victimes de cyberattaques. La cyber-sécurité étant transverse dans l’entreprise, tout nouveau projet doit prendre en compte cet aspect en amont.
Autre retombée de ces mesures et non des moindres : l’amélioration des services. Un meilleur contrôle du réseau permet de détecter plus tôt des défaillances. Les cas de services indisponibles pourraient ainsi diminuer. Trop souvent perçue comme un coût, la cyber-sécurité est en fait un avantage concurrentiel. En rendant le service plus robuste, elle augmente sa qualité. Un aspect encore trop souvent négligé !
