NIS, 1 an après les premières désignations. Retour sur la conférence du CLUSIF.
Pour ce mois de la cybersécurité, le CLUSIF a proposé dans la cadre de sa conférence thématique du 17 octobre un focus sur la directive NIS (EU) 2016/1148 : « NIS : quels enjeux, quelles synergies ? » .
Le contexte
La directive NIS pour « Network and Information Security » a pour but de définir un socle commun de règles de sécurités proportionnées[1] pour les États de l’Union européenne. Charge à chaque État de transposer la directive et de désigner les secteurs d’activités qui lui semblent stratégiques pour son fonctionnement.
Le directive NIS a été transposée en droit français suivant la loi n° 2018-133[2].
Les enjeux de la directive NIS
L’ANSSI, représentée par Delphine GOMES DE SOUSA, est intervenue lors de la conférence du CLUSIF. Elle a rappelé les enjeux portés par ce texte européen en matière de sécurité pour les réseaux et les systèmes d’information de l’UE.
Pour l’ANSSI, la directive NIS permet d’assurer 4 enjeux principaux :
- Renforcer les capacités nationales en matière de cybersécurité : notamment en définissant une stratégie nationale pour la sécurité du numérique[3], en désignant une autorité nationale compétente, l’ANSSI en l’occurrence pour la France, et en ayant des centres de réponse à incident, le CERT-FR coordonne l’ensemble des CSIRT pour la France.
- Créer un cadre de coopération au niveau Européen : autour de l’ENISA[4] pour les aspects de gouvernance, autour du CERT-EU pour les aspects opérationnels et la gestion des incidents
- Définir les OSE, opérateurs de services essentiels, selon différents critères. La France a choisi de ne pas fixer de seuil pour éviter les désignations automatiques.
- Renforcer la sécurité des FSN, fournisseurs de service numérique. Ce sont des entreprises du cloud, des moteurs de recherche ou des places de marché en ligne (marketplaces). Contrairement aux OSE, ils n’ont pas de SIE à déclarer, mais doivent désigner un représentant.
Le règlement Cybersecurity Act (UE) 2019/881, adopté 3 ans après la directive NIS, confirme la volonté de l’UE de renforcer la sécurité du marché numérique européen et d’élever le niveau de sécurité de l’ensemble des acteurs, et pas uniquement ceux à portée stratégique pour un État.
Les stratégies nationales pour la sécurité du numérique
L’ENISA propose une carte interactive recensant les différentes stratégies nationales des Etats de l’UE et de l’EFTA/AELE (European Free Trade Association / Association européenne de libre-échange).
La désignation des OSE
L’ANSSI évalue les organismes candidats au titre d’OSE suivant un processus[5] continu et itératif, afin de privilégier l’accompagnement de ces organismes dans la déclinaison des 23 règles de sécurité à appliquer. Le nombre d’utilisateurs du service, la part de marché de l’opérateur, l’existence ou non de moyens alternatifs, la portée géographique sont des critères qui permettent à l’ANSSI et aux ministères de rattachement de proposer une candidature au titre d’OSE. Le candidat reçoit alors une lettre d’intention et a un mois pour y répondre, favorablement ou en apportant des éléments qui lui permettent de montrer que cette désignation n’est pas justifiée. La décision in fine appartient au Premier ministre.
La cadence de désignation n’est pas effrénée, il y avait plus de 122 OSE désignés en 2018, suivant les 15 secteurs définis[6]. Beaucoup d’OSE désignés sont déjà des OIV[7], l’intégration du dispositif est donc facilitée, mais pour les OSE non OIV, l’accompagnement de l’ANSSI est nécessaire pour pouvoir mettre en œuvre les 23 règles dans les délais impartis.
Les 23 catégories de règles de sécurité à prendre en compte par les OSE et les délais impartis
Les secteurs et sous-secteurs des OSE spécifiques à la France
La directive NIS propose 7 secteurs (Énergie, Transports, Banques, Infrastructures de marchés financiers, Secteur de la santé, Fourniture et distribution d’eau potable, Infrastructures numériques) découpés en 12 sous-secteurs[8].
La France a fait le choix de répertorier 8 secteurs de plus pour un total de 23 sous-secteurs. Ci-après les compléments de la France apportées aux préconisations de la directive NIS.
* La liste est amenée à évoluer, se référer aux textes officiels sur Légifrance.
Les autres thèmes abordés lors de la conférence NIS
La conférence du CLUSIF a permis de recueillir le point de vue opérationnel d’un OSE, ELIOR, acteur primordial de la restauration collective et d’un FSN, Oodrive, 1er prestataire d’informatique en nuage (cloud) qualifié au titre du référentiel SecNumCloud.
Le but n’est pas de paraphraser les intervenants, l’ensemble des documents présentés seront publiés sur le site du CLUSIF, mais de revenir sur l’intérêt d’avoir de tels sujets pour les praticiens de la cybersécurité : un point de vue réglementaire ou technique, avec en prime, un regard opérationnel de ceux qui vivent la cybersécurité.
Le cas d’Elior apporte un éclairage avec un regard positif sur l’implémentation des règles : la réglementation est une force et une opportunité de différenciation, elle demande un grand investissement, mais les réglementations se recoupent et si on joue le jeu, le palier à produire est acceptable. Pour Elior, il s’agit donc de rassurer, afin d’obtenir l’adhésion de la direction et des acteurs opérationnels.
Le RGPD est ainsi un parfait exemple. Du fait de la sanction possible en cas de non-respect, ce fut une réglementation très médiatisée. Pour autant en France, nous avions déjà la loi LIL[9] depuis le 6 janvier 1978. Nos organisations étaient donc déjà bien sensibilisées et avancées sur le sujet, même si la sanction a eu un effet de sensibilisation complémentaire auprès des dirigeants.
NIS isn’t NIST
Attention à ne pas confondre cette directive européenne avec l’agence américaine NIST (National Institute of Standards and Technology), qui fournit différents cadres liés à la cybersécurité des réseaux et les systèmes d’informations.
Les 23 règles de sécurité françaises décrites dans l’arrêté du 14 septembre 2018[10] peuvent être par exemple représentées au travers du framework Core du NIST (Identify, Protect, Detect, Respond, Recover). Ce framework, comme le cadre normatif ISO/IEC 27002:2013, permet d’avoir un référentiel international pour organiser les règles et les suivre avec ses différentes parties prenantes (partenaires, fournisseurs, sous-traitants, etc.).
Conclusion
Le calendrier du Parlement Européen et du Conseil est très chargé, mais une évolution à la directive NIS (UE) 2016/114 est en discussion et pourrait voir le jour mi 2020. Restera-t-elle à l’état de directive ou deviendra-t-elle un règlement qui s’impose en tant que tel aux états membres, le consensus peut être difficile mais traduirait une volonté forte et unifiée de l’Europe en matière de cybersécurité, sur le modèle de la protection des données personnelles (RGPD).
Les compléments apportés par la France en termes de secteurs, ainsi que les remontées des différents organismes désignés seront sans nulle doute intégrés dans la version à venir de la directive.
Deux choix s’offrent aux organismes, anticiper en ayant une stratégie « by design » ou subir les réglementations de plus en plus nombreuses et de plus en plus pointues.
[1] http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
[2] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036644772
[3] https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf
[4] ENISA : Agence Européenne chargée de la sécurité des réseaux et de l’information
[5] https://www.ssi.gouv.fr/administration/reglementation/directive-nis/faq-operateurs-de-services-essentiels-ose/
[6] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036939971
[7] https://www.conix.fr/directive-nis-ose/
[8] https://eur-lex.europa.eu/eli/dir/2016/1148/oj
[9] https://www.cnil.fr/fr/la-loi-informatique-et-libertes
[10] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012