Cybersécurité : 5 mesures pour être en conformité avec la directive européenne NIS

Assurer la sécurité des réseaux et des systèmes d’information dans l’Union européenne est le but de la directive NIS (Network and Information Security). Celle-ci prévoit le renforcement des capacités nationales de cybersécurité et établit un cadre formel de coopération entre les états membres. Le 9 mai 2018 était la date limite pour que les Etats membres la transposent dans leur droit national. Dans cette tribune, Frédéric Julhes, Directeur général France d’Airbus Cybersecurity, rappelle les cinq mesures à prendre pour être en conformité.

Partager
Cybersécurité : 5 mesures pour être en conformité avec la directive européenne NIS

"On entend parfois que les réglementations européennes freinent l’innovation et l'économie. Et si au contraire, par la structuration qu'elle impose, l'UE apportait une aide vitale aux entreprises? C’est le cas dans le domaine de la cybersécurité. Adoptée par les institutions européennes le 6 juillet 2016, la directive NIS (Network and Information Security) poursuit un objectif majeur. Elle entend assurer un niveau de sécurité élevé et commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne, dès lors que leur fiabilité et leur sécurité sont essentielles aux fonctions économiques et sociétales ainsi qu'au fonctionnement du marché intérieur. Le 9 mai dernier a marqué pour les 28 Etats Membres la date butoir pour transposer cette directive dans leur droit national.

La directive NIS, ou la confirmation du choix français

Pionnière, la France est le premier pays en Union Européenne à être passé par la loi pour élever le niveau de sécurité numérique du pays. En effet, l'hexagone a intégré à sa loi de programmation militaire (LPM) de 2013, des obligations à l'attention des organisations publiques et privées, dès lors que leurs activités sont jugées indispensables à la survie de la Nation, appelés les Opérateurs d'Importance Vitale (OIV). Entrée en vigueur en 2016, la LPM exige la mise en application de règles fortement contraignantes et d’un contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Le moins que l'on puisse dire, c'est que la directive NIS est largement inspirée de ce modèle français. Il n’est donc pas étonnant de voir la France au premier rang des pays militant pour une mise en application ambitieuse de cette directive.

Les nouveaux acteurs concernés par NIS

Tout d’abord, la directive NIS définit deux nouveaux types d’acteurs qui seront désormais encadrés par la loi :

- Les opérateurs de services essentiels (OSE) des secteurs de l’énergie, des transports, les banques et marchés financiers, la santé, la fourniture et distribution d’eau potable

- Et les fournisseurs de services numériques (FSN), ainsi que les moteurs de recherche, les places de marché (marketplaces) ou encore les services en nuage.

L’ensemble de ces acteurs est en passe d’être défini par chaque Etat-membre par décret au plus tard le 9 novembre 2018. Il n’est pas exclu que la France en fasse une lecture large et y intègre d’autres secteurs comme le tourisme.

La revue stratégique de cyberdéfense française présentée en février dernier par Mounir Mahjoubi, secrétaire d’État auprès du Premier ministre chargé du Numérique, fait mention du rôle de l’Etat en matière de cyberdéfense et des travaux menés par les différentes institutions, et notamment l’ANSSI, pour la protection des opérateurs d’importance vitale. Il précise que les exigences en matière de sécurité informatique imposées aux OIV dès 2013 par la LPM ont permis de sensibiliser leurs dirigeants au risque cyber et à renforcer les infrastructures les plus critiques de la Nation. Qu’ils soient d’ores et déjà OIV ou en passe de l’être avec la transposition de la directive NIS, les nouveaux acteurs concernés parNIS ont notamment cinq mesures phares à implémenter dans le cadre de leurs projets de mise en conformité et d’amélioration de leur sécurité globale.

Les 5 mesures essentielles de NIS

1) Mettre en place une procédure de gestion des incidents

La notion d’incident de cybersécurité est un des piliers de la directive NIS, comme elle l’est de la LPM. L’incident se doit d’être managé de bout-en-bout de sa survenance jusqu’au retour « à la normale ». Cela suppose la mise en place d’une procédure claire de gestion des incidents au sein de l’entreprise, afin d’établir les responsabilités concernant les différentes actions à effectuer en cas d’attaque. Cette procédure doit aussi prévoir des stratégies de sauvegarde et de récupération des données permettant de revenir au dernier état « correct » avant un incident et d’isoler les systèmes affectés à des fins de quarantaine et d’investigation. Ceci est indispensable pour remonter la piste d’une attaque, comprendre comment elle s’est produite afin de prendre les mesures pour éviter qu’elle ne se reproduise.

2) Notifier à l’ANSSI les incidents qui ont un impact significatif sur la continuité des services dits essentiels

Une grande partie de la législation proposée porte sur le signalement des incidents de sécurité aux organismes compétents « sans délai après en avoir pris connaissance », sous peine d’une amende de 50.000€ lorsque ne sont pas satisfaites les « obligations de déclaration d’incident ou d’information du public ». Reste qu’il revient aux opérateurs d’évaluer l’étendue de l’impact de l’incident en termes de nombre de personnes touchées, de durée ou encore de portée géographique. Ceci place l’opérateur au cœur de sa gestion des risques.

3) Surveiller son réseau

La détection d’une intrusion sur un réseau peut s’avérer extrêmement difficile dans certains environnements informatiques, comme celui des industriels par exemple. Pour limiter la propagation des attaques, les réseaux industriels de ces entreprises doivent en principe être très compartimentés. Ainsi, si ces entreprises disposent de services type SOC (Security Operations Center) destinés à repérer les activités malveillantes sur leurs réseaux, elles doivent multiplier les capteurs et les systèmes d'alarme pour couvrir chaque zone de ces réseaux cloisonnés. Les SOC devront aussi différencier les zones concernées par la directive NIS - car très sensibles - de celles qui ne le sont pas.

4) Mettre en place un système de gestion des risques en cybersécurité

La directive NIS introduit un principe de responsabilisation des opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN). En effet, outre le fait d'avoir des obligations à remplir, ils devront aussi être en mesure d’en présenter la preuve. En d'autres termes, il reviendra à ces acteurs de réduire les risques sur leurs réseaux informatiques en mettant en place des processus de sécurité, en déployant des procédures, et en veillant à procéder à des contrôles réguliers pour s'assurer de la bonne application des règles. Toutes les mesures de réduction des risques entreprises devront donc être documentées et auditables, en interne ou par des consultants externes.

5) Sensibiliser davantage

Les pirates ciblent prioritairement les personnes clés, tels que les dirigeants ou ceux qui les entourent directement. C'est le cas par exemple dans les cas de « fraudes au Président », où les cybercriminels usent de manipulations très abouties et se font passer pour le PDG pour soutirer de l'argent à l'entreprise en prétextant un besoin de virement urgent et exceptionnel. Les formations à la cybersécurité peuvent considérablement réduire les chances de réussite de ces attaques faisant appel aux méthodes dites d’ingénierie sociale, comme à celles plus élaborées mais tout aussi courantes de spear phishing - ou hameçonnage ciblé en français. Le fait que les systèmes industriels et de production sont de plus en plus connectés aux réseaux d’entreprise voire à Internet a permis des gains d’efficacité considérables. Mais cela a aussi accru le risque de cyberattaques dévastatrices sur ces systèmes, ayant potentiellement des implications concrètes en termes de sécurité physique.

Il est bien évident que la vocation de NIS n’est pas de couvrir l’ensemble des risques spécifiques liés aux activités des différents opérateurs de services essentiels (OSE). En revanche, la mise en conformité des OSE est une étape majeure dans la mise en place de stratégies de cybersécurité rigoureuses et efficaces. Elle va ainsi permettre aux États et aux entreprises d’élever leur niveau de cybersécurité d’un cran supplémentaire. NIS va également contribuer à sensibiliser les responsables publics et privés et ainsi, à améliorer globalement la résistance des sociétés européennes face aux cyberattaques."

Frédéric Julhes, Directeur général France d’Airbus Cybersecurity

SUR LE MÊME SUJET

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

« Le roman permet d'aborder des sujets arides»

« Le roman permet d'aborder des sujets arides»

Nouveau

L'auteur Tom Connan a publié son deuxième roman «Pollution», un récit où se croisent les questions d'écologie, d'environnement, du numérique et du...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Aix en Provence

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

78 - Versailles

Prestations de gardiennage télésurveillance, sûreté, sécurité incendie et filtrage des juridictions judiciaires du ressort

DATE DE REPONSE 10/07/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS