NIS2 : comment bien s’y préparer ?

ABC du chiffrement

Des évolutions cybersécurité stratégiques avec l’entrée en vigueur de la directive NIS2

PRIM'X - NIS2

Alors que la cybermenace se fait de plus en plus présente, la directive NIS2 représente une opportunité à l’échelle européenne : celle de permettre à des milliers d’entités, qui interagissent au quotidien avec les citoyens, de mieux se protéger. Sa transposition dans le droit français interviendra au plus tard le 17 octobre 2024.

De NIS1 à NIS2

Après huit années d’existence (2016-2024), la directive « Sécurité des réseaux et de l’information », dite « NIS1 » (Network and Information System Security) passe le relais à la directive NIS2 qui élargit son périmètre et requiert de la part des organisations cibles davantage de protection.

Dans le droit chemin de NIS1, la directive NIS2 renforce les normes de sécurité que certaines entreprises privées ou organisations publiques (dont l’interruption d’activité aurait un impact significatif sur le fonctionnement de la société) doivent respecter, sous peine de sanctions. 

De nouveaux secteurs d’activité et deux entités stratégiques

La première différence notable entre les deux versions de la directive est leur périmètre : NIS1 couvrait 19 secteurs d’activité, alors que NIS2 en couvre 35. 

Parmi les nouveaux secteurs se trouvent : 

  • les services postaux et d’expédition, 
  • la gestion des déchets, 
  • la fabrication, la production et la distribution de produits chimiques, 
  • l’industrie, 
  • l’agroalimentaire,
  • et les fournisseurs de services numériques. 

Autre évolution : l’ajout d’une famille d’entreprises / organisations cibles. Alors que la directive NIS1 ne désignait qu’une seule catégorie d’organisations stratégiques (les OSE, opérateur de services essentiels), NIS2 fait désormais la distinction entre deux acteurs clés : les entités essentielles et les entités importantes. 

Quelles différences entre les deux ?

  • Les entités essentielles sont des structures publiques ou privées réalisant des activités dans les secteurs catégorisés comme hautement critiques et disposant de plus de 250 salariés ou avec un chiffre d’affaires supérieur à 50 millions d’euros. 
  • Les entités importantes, qu’elles soient publiques ou privées, emploient entre 50 et 250 salariés ou réalisent entre 10 et 50 millions d’euros de CA. Leurs activités ne sont pas jugées comme “hautement critiques”, mais leur arrêt aurait toutefois un impact significatif sur la société.

Le périmètre s’élargit donc, passant d’une couverture de 300 à environ 15 000 entreprises en France.

La prise en compte de la supply chain et un régime de sanction renforcé

La directive NIS2 prend également en compte l’ensemble de la chaîne d’approvisionnement, en réponse aux attaques de type « supply chain » qui visent les sous-traitants d’un éditeur de logiciels, d’un intégrateur ou de tout autre acteur clé de la chaîne de valeur. Cela signifie que les sous-traitants d’une entité essentielle ou importante devront eux aussi se soumettre aux obligations de NIS2

Cette prise en considération du risque lié à la chaîne d’approvisionnement fait suite à des cyberattaques ayant défrayé la chronique comme celle ayant touché Solarwinds en 2020. Pendant plusieurs mois, cet éditeur d’outils de gestion des infrastructures informatiques a été compromis, distribuant à son insu un composant logiciel de sa plateforme Orion contenant une porte dérobée. Selon Solarwinds, jusqu’à 18 000 de ses clients ont téléchargé les mises à jour compromises. Parmi ces organisations, figurent plusieurs entreprises du CAC 40 et des ministères américains.

NIS2 se distingue par ailleurs de NIS1 en raison du renforcement de son régime de sanction. Un pourcentage du chiffre d’affaires mondial de l’entité concernée est désormais prévu en cas de non-respect de la directive : 

  • Pour les entités essentielles, les sanctions peuvent aller jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires annuel mondial. 
  • Pour les entités importantes, les sanctions peuvent atteindre 7 millions d’euros et 1,4 % du chiffre d’affaires.

Les principales obligations liées à NIS2

L’approche de la directive NIS2 est d’inciter les entités essentielles et importantes à prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information qu’elles utilisent.

Les mesures reposent sur une approche « tous risques » visant à protéger les réseaux et les systèmes d’information, ainsi que l’environnement physique de ces systèmes contre les incidents. 

Elles comprennent les éléments suivants : 

  • mise en œuvre de politiques d’analyse des risques et de sécurité des systèmes d’information, 
  • gestion des incidents, 
  • continuité des activités (gestion des sauvegardes et la reprise après sinistre),
  • sécurité de la chaîne d’approvisionnement. 

Les entités essentielles et importantes doivent aussi mettre en place des procédures permettant : 

  • d’évaluer l’efficacité des mesures de gestion des risques de cybersécurité, 
  • de déployer des pratiques de base en matière de cyber-hygiène et de formation en cybersécurité, 
  • d’assurer la sécurité des ressources humaines, 
  • de mettre en œuvre des politiques de contrôle d’accès et de gestion des actifs. 

La directive préconise de renforcer la sécurisation en utilisant notamment la cryptographie et les technologies de chiffrement des données. Par exemple, l’utilisation de solutions d’authentification multifacteur ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d’urgence sécurisés au sein de l’entité est également vivement encouragée.

Une incitation à utiliser des produits européens certifiés

Autre point important à préciser : la directive NIS2 incite les entités concernées à utiliser des produits certifiés. L’article 24 précise en effet que : « Afin de démontrer la conformité à certaines exigences visées à l’article 21, les États membres peuvent prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 (Cybersecurity Act). En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés ».

Dans le cadre de NIS2, le recours à davantage de chiffrement et à des produits certifiés implique de faire appel à des acteurs spécialisés. La certification est au cœur de la stratégie de PRIM’X : les certificats sont entretenus, repassés pour les différentes versions et les différentes plateformes afin de suivre l’évolution des technologies, de l’état de l’art en cryptographie et des menaces. En plus des certifications, nos solutions de chiffrement passent des contre-évaluations nationales, trans-nationales ou spécifiques à un marché donné.

La directive NIS2 a pour objectif de renforcer la résilience des organisations françaises et européennes. Même si le niveau de maturité cyber des entreprises françaises augmente (49 %, contre 46% il y a un an), il reste encore insuffisant pour se prémunir durablement contre la multitude des cybermenaces, selon la dernière édition du benchmark du cabinet de conseil Wavestone

PRIM'X - La certification par l'ANSSI