![\"Directive](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1350959852-300x200.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Adopt\u00e9e par les institutions europ\u00e9ennes en juillet\u00a02016, la directive NIS a pour objectif d\u2019assurer un certain niveau de s\u00e9curit\u00e9 pour les r\u00e9seaux et syst\u00e8mes d\u2019information des infrastructures critiques et sensibles des pays membres de l\u2019Union europ\u00e9enne. Six ans plus tard, la r\u00e9vision de cette directive s\u2019acc\u00e9l\u00e8re, avec de premiers accords entre la Commission, le Parlement et le Conseil europ\u00e9en en mai et juin\u00a02022. Pas encore adopt\u00e9e, cette nouvelle directive NIS2 donne d\u00e9j\u00e0 lieu \u00e0 de nombreuses questions quant \u00e0 ses implications et son p\u00e9rim\u00e8tre d\u2019application. Explications.<\/strong><\/p>\n <\/p>\n L\u2019accroissement des cyberattaques de ces derni\u00e8res ann\u00e9es oblige les \u00c9tats membres de l\u2019UE \u00e0 augmenter leur niveau de s\u00e9curit\u00e9 dans le but de prot\u00e9ger les citoyens, les collectivit\u00e9s territoriales et les entreprises. Pour faire face \u00e0 ce d\u00e9fi, la directive NIS se r\u00e9forme, s\u2019harmonise et se renforce en une version\u00a02.0. Selon\u00a0Thierry Breton<\/strong>, Commissaire europ\u00e9en au commerce int\u00e9rieur, cette r\u00e9forme doit \u00ab\u00a0s\u00e9curiser davantage<\/em><\/a>\u00a0les services critiques pour la soci\u00e9t\u00e9 et l\u2019\u00e9conomie<\/em>\u00a0\u00bb. Et permettre \u00ab\u00a0de moderniser les r\u00e8gles<\/em>\u00a0\u00bb.<\/p>\n Le premier degr\u00e9 d\u2019harmonisation se traduira par une pr\u00e9cision des secteurs concern\u00e9s. Et c\u2019est la premi\u00e8re question qui revient sur le sujet\u00a0: est-ce que mon entreprise est concern\u00e9e par la directive NIS2\u00a0?<\/strong> Pr\u00e9cis\u00e9s dans le Journal officiel de l\u2019Union europ\u00e9enne<\/a>, les secteurs concern\u00e9s sont au nombre de 18, s\u00e9par\u00e9s entre secteurs critiques et hautement critiques<\/strong>. Les secteurs hautement critiques sont au nombre de 11 : \u00e9nergie (\u00e9lectricit\u00e9, r\u00e9seaux de chaleur et de froid, p\u00e9trole, gaz, hydrog\u00e8ne), transports (transports a\u00e9riens, ferroviaires, par eau, routiers), secteur bancaire, infrastructures des march\u00e9s financiers, sant\u00e9, eau potable, eaux us\u00e9es, infrastructure num\u00e9rique, gestion des services TIC, administration publique et espace. Les secteurs critiques sont, eux, au nombre de 7 : services postaux et d\u2019exp\u00e9dition, gestion des d\u00e9chets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denr\u00e9es alimentaires, fabrication (fabrication de dispositifs m\u00e9dicaux, de produits informatiques, \u00e9lectroniques et optiques, d\u2019\u00e9quipements \u00e9lectriques, de machines et \u00e9quipements, de v\u00e9hicules automobiles ou encore d\u2019autres mat\u00e9riels de transport), fournisseurs num\u00e9riques et recherche. Pour aller encore plus finement dans la description, une liste d\u2019entit\u00e9s est pr\u00e9cis\u00e9e dans la directive europ\u00e9enne, correspondant \u00e0 des activit\u00e9s m\u00e9tier. La taille de l\u2019entit\u00e9 est \u00e9galement une dimension \u00e0 prendre en compte avec la directive NIS2, car le nombre d\u2019employ\u00e9s (sup\u00e9rieur ou \u00e9gal \u00e0 50) ou le chiffre d\u2019affaires (ou bilan annuel, sup\u00e9rieur ou \u00e9gal \u00e0 10 millions d\u2019euros) sont \u00e9galement des crit\u00e8res de s\u00e9lection.<\/p>\n Cette liste n\u2019est pas exhaustive et certains d\u00e9tails restent \u00e0 d\u00e9finir dans le cadre des transpositions nationales, par exemple pour int\u00e9grer ou exclure unitairement des entit\u00e9s (suite \u00e0 une analyse de risque national ou une clause de d\u00e9fense et s\u00e9curit\u00e9 nationale). Pour le territoire fran\u00e7ais,\u00a0Guillaume Poupard<\/strong>, l\u2019ancien Directeur G\u00e9n\u00e9ral de l\u2019ANSSI, d\u00e9clarait en juin\u00a02022, que la directive NIS2 allait \u00e9tendre consid\u00e9rablement son rayon d\u2019action, ce qui repr\u00e9senterait \u00ab\u00a0un nombre d\u2019acteurs class\u00e9s OSE multipli\u00e9 par\u00a010<\/em>\u00a0\u00bb. \u00c0 ce jour, il n\u2019existe aucun chiffre officiel du nombre d\u2019entreprises concern\u00e9es, mais les premi\u00e8res communications officielles de l\u2019ANSSI \u00e9voquent\u00a0plusieurs milliers d\u2019organisations fran\u00e7aises impact\u00e9es par la directive NIS2. Et pour mieux adapter la r\u00e9glementation aux sp\u00e9cificit\u00e9s de chaque secteur, l\u2019ANSSI travaille avec les organisations professionnelles et sectorielles (f\u00e9d\u00e9rations, syndicats\u2026).<\/strong> De premi\u00e8res consultations ont d\u00e9j\u00e0 \u00e9t\u00e9 men\u00e9es depuis d\u00e9but 2023.<\/p>\n Avec le secteur de l\u2019administration publique, les collectivit\u00e9s territoriales sont donc int\u00e9gr\u00e9es \u00e0 cette r\u00e9forme.<\/strong> D'apr\u00e8s une interview d\u2019Yves Verhoeven<\/strong>, le sous-directeur strat\u00e9gie de l'ANSSI, pour le journal\u00a0La Tribune<\/em><\/a>, \u00ab\u00a0le NIS r\u00e9vis\u00e9 donne la possibilit\u00e9 d'aller r\u00e9guler les collectivit\u00e9s territoriales<\/a>, et de leur imposer des r\u00e8gles de cybers\u00e9curit\u00e9<\/em>\u00a0\u00bb. \u00c0 noter qu\u2019il ne s\u2019agit que d\u2019une possibilit\u00e9\u00a0: comme expliqu\u00e9 plus haut, chaque \u00c9tat membre ayant la main pour \u00e9largir, ou non, le p\u00e9rim\u00e8tre de la nouvelle directive \u00e0 ses administrations locales.<\/p>\n Oubli\u00e9s de la premi\u00e8re version, les acteurs de la cha\u00eene d\u2019approvisionnement (sous-traitants et prestataires de services) ayant un acc\u00e8s \u00e0 une infrastructure critique seront \u00e9galement soumis \u00e0 la directive NIS2.<\/strong> Car les failles dans l\u2019infrastructure d\u2019un prestataire pouvaient mettre \u00e0 mal\u00a0la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE)\u00a0pour lesquels il travaille. La cyberattaque ayant touch\u00e9 la soci\u00e9t\u00e9 Kaseya en juillet\u00a02021 en est un triste et c\u00e9l\u00e8bre exemple de ces\u00a0supply chain attacks<\/em>. D\u00e8s l\u2019application de NIS\u00a02, la r\u00e9alit\u00e9 sur le terrain sera bien diff\u00e9rente. Par exemple dans le secteur de l\u2019\u00e9nergie, les producteurs, transporteurs et distributeurs d\u2019\u00e9lectricit\u00e9 ne seront plus seuls \u00e0 se voir imposer des mesures de s\u00e9curit\u00e9. Et l\u2019ensemble des sous-traitants des infrastructures critiques le seront \u00e9galement. Les soci\u00e9t\u00e9s de prestations de services et autres ESN auront notamment l\u2019obligation de pr\u00e9venir en moins de 72\u00a0heures tout incident de s\u00e9curit\u00e9, afin d\u2019endiguer la propagation de l\u2019attaque.<\/p>\n Il faut ainsi s\u2019attendre \u00e0 ce que les petites et moyennes entreprises recrutent rapidement un profil RSSI pour r\u00e9pondre aux exigences de s\u00e9curit\u00e9 et continuer \u00e0 travailler aupr\u00e8s des grands comptes. De quoi ajouter une tension suppl\u00e9mentaire \u00e0 un march\u00e9 de l\u2019emploi qui semble d\u00e9j\u00e0 \u00e0 son point de rupture\u2026<\/p>\n <\/p>\n Point d\u00e9finition avant de parler de leur fin,\u00a0c\u2019est quoi un OSE\u00a0?<\/strong>\u00a0Pens\u00e9 comme une extension du statut d\u2019OIV<\/a>\u00a0\u00e9tabli en France par la Loi de programmation militaire de 2013, un OSE est un op\u00e9rateur de services essentiels dont l\u2019arr\u00eat du syst\u00e8me informatique ou de son infrastructure aurait un impact significatif sur le fonctionnement de l\u2019\u00e9conomie ou de la soci\u00e9t\u00e9 fran\u00e7aise.<\/p>\n Mais avec l\u2019int\u00e9gration des sous-traitants et prestataires de services en charge d\u2019une infrastructure critique et surtout un mouvement s\u00e9mantique,\u00a0la directive NIS2 signe la fin des OSE<\/strong>. D\u00e9sormais, le p\u00e9rim\u00e8tre de ces op\u00e9rateurs r\u00e9gul\u00e9s sera divis\u00e9 en deux typologies d\u2019acteurs\u00a0: les entit\u00e9s essentielles (EE) et les entit\u00e9s importantes (EI)<\/strong>, dont la diff\u00e9renciation se fera par la criticit\u00e9 des secteurs associ\u00e9s. La directive NIS2<\/a> int\u00e8gre ici une proportionnalit\u00e9 entre les entit\u00e9s\u00a0au niveau des mesures de s\u00e9curit\u00e9, de la r\u00e9gulation mais aussi des sanctions. Une approche logique tant les entit\u00e9s essentielles auront logiquement un impact plus important en cas de coupure de service que les entit\u00e9s importantes. La fin des op\u00e9rateurs de service essentiel (et des fournisseurs de services num\u00e9riques) ainsi que l\u2019adoption des typologies d\u2019entreprises essentielles et importantes ont pour ambition d\u2019harmoniser l\u2019ensemble des obligations aupr\u00e8s de ces acteurs. Au niveau fran\u00e7ais, cette logique d\u2019harmonisation ne devrait pas aller jusqu\u2019\u00e0 remettre en doute l\u2019existence des OIV, tant ils sont encore aujourd\u2019hui l\u2019objet d\u2019une r\u00e9glementation et d\u2019une surveillance pouss\u00e9e.<\/p>\n Cette volont\u00e9 d\u2019harmonisation soul\u00e8ve aussi des questions car ce sont bien les entreprises et les op\u00e9rateurs qui devront\u2026 s\u2019autod\u00e9signer comme EE ou EI. Pour cela, ils se baseront sur l\u2019un des secteurs d\u2019activit\u00e9 pr\u00e9alablement cibl\u00e9s et la taille de leur entit\u00e9 (ETI et grande entreprise, moyenne entreprise et petite et micro entreprise). Une r\u00e8gle de base explicite que les entit\u00e9s essentielles seront notamment les grandes entit\u00e9s qui appartiennent aux 11 secteurs hautement critiques. En compl\u00e9ment, chaque pays membre pourra d\u00e9signer, \u00e0 sa discr\u00e9tion, certains op\u00e9rateurs comme essentiels ou importants selon des m\u00e9canismes d\u2019ajustement \u00e0 la marge.<\/p>\n <\/p>\n Toujours selon Thierry Breton, cette r\u00e9forme de la directive permet de s\u00e9curiser davantage les entit\u00e9s \u00ab\u00a0en mettant en place un r\u00e9gime d\u2019obligations et de sanctions<\/em>\u00a0\u00bb. V\u00e9ritable \u00ab\u00a0avanc\u00e9e majeure<\/em>\u00a0\u00bb selon le commissaire europ\u00e9en,\u00a0la directive NIS2 \u00e9tend donc son pouvoir coercitif.<\/strong>\u00a0Mais quelles sont les obligations des entit\u00e9s essentielles et entit\u00e9s importantes\u00a0? Tout d\u2019abord, l\u2019obligation de d\u00e9claration de sinistre permet de r\u00e9agir au plus vite et d\u2019endiguer la cyber-menace. Si la directive pr\u00e9cise une notification initiale de l\u2019incident sous 24h, elle laisse une marge de man\u0153uvre dans le cadre de la transposition nationale notamment sur le d\u00e9lai d\u2019impl\u00e9mentation des mesures de s\u00e9curit\u00e9. Au moment de la r\u00e9daction de cet article (et de sa mise \u00e0 jour), les d\u00e9lais de mise en \u0153uvre de la directive pour les entit\u00e9s concern\u00e9es n\u2019ont pas encore \u00e9t\u00e9 pr\u00e9cis\u00e9s. En parall\u00e8le, les entreprises, sous-traitants et collectivit\u00e9s devront se soumettre \u00e0 des audits de s\u00e9curit\u00e9 dans le but de recevoir des recommandations et ainsi r\u00e9pondre \u00e0 des normes de s\u00e9curit\u00e9 drastiques. Analyse des risques et \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information, gestion des incidents, continuit\u00e9 des activit\u00e9s, s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement, s\u00e9curit\u00e9 de l\u2019acquisition, du d\u00e9veloppement et de la maintenance des syst\u00e8mes d\u2019information, \u00e9valuation des mesures de gestion des risques cyber, pratiques de base (comme l\u2019hygi\u00e8ne cyber et formation), s\u00e9curit\u00e9 des ressources humaines ou encore utilisation de solutions d\u2019authentification \u00e0 plusieurs facteurs<\/a> sont autant de mesures de s\u00e9curit\u00e9 pr\u00e9vues par la directive NIS2.<\/p>\n Pour les entreprises non coop\u00e9rantes ou en faute, la directive NIS2 a \u00e9galement fait \u00e9voluer ses sanctions. En cas d\u2019incident de s\u00e9curit\u00e9 et de refus de collaboration avec les autorit\u00e9s, NIS\u00a02 dote les \u00c9tats d\u2019un droit d\u2019injonction. Les entreprises devront donc se soumettre \u00e0 la demande de l\u2019\u00c9tat et peuvent \u00eatre soumises \u00e0 des amendes comprises entre 1,4% \u00e0 2% du chiffre d\u2019affaires. Comme pour le feu statut d\u2019OSE, la responsabilit\u00e9 du dirigeant peut \u00eatre engag\u00e9e.<\/p>\nUn \u00e9largissement des acteurs concern\u00e9s<\/h2>\n
NIS2, vers la fin des OSE<\/h2>\n
Une nouvelle dimension contraignante de la directive<\/h2>\n