Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Article Suivant
Facebook Twitter Google + Linkedin Email
×

Cybersécurité : 5 mesures pour être en conformité avec la directive européenne NIS

| | | | | |

Publié le à 14h51

Cybersécurité : 5 mesures pour être en conformité avec la directive européenne NIS

Assurer la sécurité des réseaux et des systèmes d’information dans l’Union européenne est le but de la directive NIS (Network and Information Security). Celle-ci prévoit le renforcement des capacités nationales de cybersécurité et établit un cadre formel de coopération entre les états membres. Le 9 mai 2018 était la date limite pour que les Etats membres la transposent dans leur droit national. Dans cette tribune, Frédéric Julhes, Directeur général France d’Airbus Cybersecurity, rappelle les cinq mesures à prendre pour être en conformité.

"On entend parfois que les réglementations européennes freinent l’innovation et l'économie. Et si au contraire, par la structuration qu'elle impose, l'UE apportait une aide vitale aux entreprises? C’est le cas dans le domaine de la cybersécurité. Adoptée par les institutions européennes le 6 juillet 2016, la directive NIS (Network and Information Security) poursuit un objectif majeur. Elle entend assurer un niveau de sécurité élevé et commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne, dès lors que leur fiabilité et leur sécurité sont essentielles aux fonctions économiques et sociétales ainsi qu'au fonctionnement du marché intérieur. Le 9 mai dernier a marqué pour les 28 Etats Membres la date butoir pour transposer cette directive dans leur droit national.

La directive NIS, ou la confirmation du choix français

Pionnière, la France est le premier pays en Union Européenne à être passé par la loi pour élever le niveau de sécurité numérique du pays. En effet, l'hexagone a intégré à sa loi de programmation militaire (LPM) de 2013, des obligations à l'attention des organisations publiques et privées, dès lors que leurs activités sont jugées indispensables à la survie de la Nation, appelés les Opérateurs d'Importance Vitale (OIV). Entrée en vigueur en 2016, la LPM exige la mise en application de règles fortement contraignantes et d’un contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Le moins que l'on puisse dire, c'est que la directive NIS est largement inspirée de ce modèle français. Il n’est donc pas étonnant de voir la France au premier rang des pays militant pour une mise en application ambitieuse de cette directive.

Les nouveaux acteurs concernés par NIS

Tout d’abord, la directive NIS définit deux nouveaux types d’acteurs qui seront désormais encadrés par la loi :

-          Les opérateurs de services essentiels (OSE) des secteurs de l’énergie, des transports, les banques et marchés financiers, la santé, la fourniture et distribution d’eau potable

-          Et les fournisseurs de services numériques (FSN), ainsi que les moteurs de recherche, les places de marché (marketplaces) ou encore les services en nuage.

L’ensemble de ces acteurs est en passe d’être défini par chaque Etat-membre par décret au plus tard le 9 novembre 2018. Il n’est pas exclu que la France en fasse une lecture large et y intègre d’autres secteurs comme le tourisme.

La revue stratégique de cyberdéfense française présentée en février dernier par Mounir Mahjoubi, secrétaire d’État auprès du Premier ministre chargé du Numérique, fait mention du rôle de l’Etat en matière de cyberdéfense et des travaux menés par les différentes institutions, et notamment l’ANSSI, pour la protection des opérateurs d’importance vitale. Il précise que les exigences en matière de sécurité informatique imposées aux OIV dès 2013 par la LPM ont permis de sensibiliser leurs dirigeants au risque cyber et à renforcer les infrastructures les plus critiques de la Nation. Qu’ils soient d’ores et déjà OIV ou en passe de l’être avec la transposition de la directive NIS, les nouveaux acteurs concernés parNIS ont notamment cinq mesures phares à implémenter dans le cadre de leurs projets de mise en conformité et d’amélioration de leur sécurité globale.

 Les 5 mesures essentielles de NIS

1)      Mettre en place une procédure de gestion des incidents

La notion d’incident de cybersécurité est un des piliers de la directive NIS, comme elle l’est de la LPM. L’incident se doit d’être managé de bout-en-bout de sa survenance jusqu’au retour « à la normale ». Cela suppose la mise en place d’une procédure claire de gestion des incidents au sein de l’entreprise, afin d’établir les responsabilités concernant les différentes actions à effectuer en cas d’attaque. Cette procédure doit aussi prévoir des stratégies de sauvegarde et de récupération des données permettant de revenir au dernier état « correct » avant un incident et d’isoler les systèmes affectés à des fins de quarantaine et d’investigation. Ceci est indispensable pour remonter la piste d’une attaque, comprendre comment elle s’est produite afin de prendre les mesures pour éviter qu’elle ne se reproduise.

 2)      Notifier à l’ANSSI les incidents qui ont un impact significatif sur la continuité des services dits essentiels

Une grande partie de la législation proposée porte sur le signalement des incidents de sécurité aux organismes compétents « sans délai après en avoir pris connaissance », sous peine d’une amende de 50.000€ lorsque ne sont pas satisfaites les « obligations de déclaration d’incident ou d’information du public ». Reste qu’il revient aux opérateurs d’évaluer l’étendue de l’impact de l’incident en termes de nombre de personnes touchées, de durée ou encore de portée géographique. Ceci place l’opérateur au cœur de sa gestion des risques.

3)      Surveiller son réseau

La détection d’une intrusion sur un réseau peut s’avérer extrêmement difficile dans certains environnements informatiques, comme celui des industriels par exemple. Pour limiter la propagation des attaques, les réseaux industriels de ces entreprises doivent en principe être très compartimentés. Ainsi, si ces entreprises disposent de services type SOC (Security Operations Center) destinés à repérer les activités malveillantes sur leurs réseaux, elles doivent multiplier les capteurs et les systèmes d'alarme pour couvrir chaque zone de ces réseaux cloisonnés. Les SOC devront aussi différencier les zones concernées par la directive NIS - car très sensibles - de celles qui ne le sont pas.

4)      Mettre en place un système de gestion des risques en cybersécurité

La directive NIS introduit un principe de responsabilisation des opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN). En effet, outre le fait d'avoir des obligations à remplir, ils devront aussi être en mesure d’en présenter la preuve. En d'autres termes, il reviendra à ces acteurs de réduire les risques sur leurs réseaux informatiques en mettant en place des processus de sécurité, en déployant des procédures, et en veillant à procéder à des contrôles réguliers pour s'assurer de la bonne application des règles. Toutes les mesures de réduction des risques entreprises devront donc être documentées et auditables, en interne ou par des consultants externes.

5)      Sensibiliser davantage

Les pirates ciblent prioritairement les personnes clés, tels que les dirigeants ou ceux qui les entourent directement. C'est le cas par exemple dans les cas de « fraudes au Président », où les cybercriminels usent de manipulations très abouties et se font passer pour le PDG pour soutirer de l'argent à l'entreprise en prétextant un besoin de virement urgent et exceptionnel. Les formations à la cybersécurité peuvent considérablement réduire les chances de réussite de ces attaques faisant appel aux méthodes dites d’ingénierie sociale, comme à celles plus élaborées mais tout aussi courantes de spear phishing - ou hameçonnage ciblé en français. Le fait que les systèmes industriels et de production sont de plus en plus connectés aux réseaux d’entreprise voire à Internet a permis des gains d’efficacité considérables. Mais cela a aussi accru le risque de cyberattaques dévastatrices sur ces systèmes, ayant potentiellement des implications concrètes en termes de sécurité physique.

Il est bien évident que la vocation de NIS n’est pas de couvrir l’ensemble des risques spécifiques liés aux activités des différents opérateurs de services essentiels (OSE). En revanche, la mise en conformité des OSE est une étape majeure dans la mise en place de stratégies de cybersécurité rigoureuses et efficaces. Elle va ainsi permettre aux États et aux entreprises d’élever leur niveau de cybersécurité d’un cran supplémentaire. NIS va également contribuer à sensibiliser les responsables publics et privés et ainsi, à améliorer globalement la résistance des sociétés européennes face aux cyberattaques."

Frédéric Julhes, Directeur général France d’Airbus Cybersecurity

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur