Aller au contenu
United States of Security

La Directive NIS : kézako ?

·976 mots·5 mins·
Sécurité IT ANSSI FSN NIS OIV OSE Protection Sécurité IT
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

La Directive NIS

Il s’agit d’un texte voté par le Parlement Européen le 6 juillet 2016, et entré en vigueur en août de la même année. Néanmoins, les États membres avaient jusqu’au 9 mai 2018 pour le transposer en droit national. NIS signifie Network and Information Systems, ou Réseaux et Systèmes d’Information.

L’objectif de cette directive est de booster le niveau de sécurité informatique dans l’Union selon quatre axes :

  • gouvernance
  • coopération
  • cybersécurité des opérateurs essentiels
  • cybersécurité des fournisseurs de services numériques

La directive donne des consignes pour y parvenir, en imposant trois points majeurs :

  1. chaque État doit mettre en place une autorité nationale en charge d’appliquer la directive NIS, et toute autre institution nécessaire pour se préparer à une crise, notamment un CSIRT ;
  2. une coopération à l’échelle de l’Union doit être instaurée, typiquement entre CSIRT ;
  3. enfin, les secteurs identifiés comme vitaux pour l’économie et la société doivent promouvoir la culture de la sécurité, et auront une autorité de tutelle en la matière.

Transposition en France

La France a presque respecté les délais imposés : si la loi de transposition a été publiée au Journal Officiel le 27 février 2018 (soit bien avant la date limite), le décret d’application a été signé seulement le 25 mai. Mais on pardonnera ces quelques jours de retard.

Gouvernance

De manière assez naturelle, l’ANSSI a été désignée comme autorité NIS, et nous disposions déjà d’un CSIRT national : le CERT-FR (anciennement le CERT-A).

La France avait également documenté sa doctrine au travers d’une « Stratégie nationale pour la sécurité du numérique (2015) et de la Revue stratégique de cyberdéfense (2018).

Sur cet axe, donc, la France figure parmi le peloton de tête de l’Union Européenne.

Coopération

La cybercriminalité ne connait pas de frontières, il est donc normal que la cyberdéfense n’en connaisse pas non plus. Sur un plan opérationnel, les grandes entreprises et la plupart des CSIRT nationaux n’ont pas attendu cette directive pour s’organiser de manière transfrontalière. La directive renforce cette coopération et surtout y rajoute une coopération politique au plus haut niveau au sein d’un Groupe de coopération. C’est l’ANSSI qui y représente la France.

Cybersécurité des opérateurs essentiels

On connaissait déjà les Opérateurs d’Importance Vitale (OIV) depuis la loi de programmation militaire de 2013. Ces opérateurs étaient soumis à un certain nombre d’obligations et de contrôles de la part de l’ANSSI pour garantir que la survie de notre société ne serait pas mise en péril par une crise informatique majeure. Là encore, la France avait de l’avance sur le texte.

L’ANSSI prévoit de se conformer à cet axe en deux étapes :

  1. la désignation des Services Essentiels. La liste des secteurs concernés est publiée au Journal Officiel en annexe du décret d’application de la loi de transposition le 25 mai 2018.
  2. la désignation des Opérateurs de Service Essentiel (OSE), les entreprises publiques et privées concernées. Elles seront désignées par le Premier ministre sur recommandation des ministères compétents. Les OSE seront soumis à des obligations similaires à celles des OIV, comme de devoir garantir un socle minimal de cybersécurité. Sur une note personnelle, je connais certains décideurs qui vont être très surpris le jour où ils recevront le courrier estampillé bleu-blanc-rouge ! Enfin bref, cette étape devra être terminée le 9 novembre 2018 car la liste des heureux élus doit être transmise à la Commission européenne.

Parmi les obligations, l’ANSSI en souligne 5 :

  • identifier un représentant auprès de l’Agence,
  • identifier les Systèmes d’Information Essentiels (SIE),
  • appliquer les règles de sécurité décidées par décret dans les délais impartis,
  • déclarer à l’ANSSI tout incident significatif,
  • se soumettre aux contrôles de sécurité effectués par l’ANSSI ou des tiers qualifiés.

Plutôt que de paraphraser, le lecteur intéressé consultera directement la FAQ publiée par l’ANSSI.

Un aparté sur les SIE

Cette notion de Système d’Information Essentiel vient réduire le champ d’application des mesures qui s’appliquent aux OIV et aux OSE. Elle vient reconnaître que tous les SI ne sont pas égaux, et que l’application de rechargement du badge de cantine est moins sensible que le logiciel du réseau interbancaire SWIFT.

Il ne faut néanmoins pas perdre de vue qu’un SIE s’entend TCC (Toutes Couches Comprises) : l’applicatif lui-même mais aussi tous les composants physiques (serveurs, réseaux, etc.) qui le desservent. En fonction de l’architecture, il est donc possible que des applications ou des composants moins sensibles soient considérés comme SIE par effet de bord. Ce cas particulier traduit néanmoins une architecture surprenante sinon dangereuse : cela veut dire que des applications de niveau de criticité différents partagent des composants et que l’isolation n’est pas parfaite. Les applications moins sensibles étant généralement moins protégées, elles peuvent servir de point d’entrée puis de rebond vers les applications plus sensibles.

Cybersécurité des fournisseurs de services numériques

Présenté comme ça, le terme semble englober énormément d’entreprises. En réalité, le texte ne vise essentiellement que les fournisseurs d’informatique en nuage1, de moteurs de recherche et des market places dépassant 10 millions d’euros de chiffre d’affaires et 50 salariés.

Concrètement, qui est concerné ?

  • Amazon, Google, Microsoft, OVH, Dropbox, etc. pour les opérateurs cloud,
  • Google, Microsoft, Yahoo!, etc. pour les moteurs de recherche,
  • Amazon, eBay, les stores d’applications mobiles, etc. pour les market places.

Les FSN seront soumis pratiquement aux mêmes obligations que les OSE, à savoir l’application de mesures de sécurité issues de différents thèmes de l’ISO/IEC27001, la déclaration des incidents à l’ANSSI et la soumission à des contrôles de l’ANSSI. Là encore, l’Agence a publié une FAQ très complète à laquelle je renvoie le lecteur. Il est à noter que ce texte fait fi de la nationalité du fournisseur de service : il faut et il suffit qu’il fournisse ses services dans un État membre de l’UE pour qu’il soit concerné par les obligations des FSN.

  1. je m’essaie à la terminologie française, mais ce n’est pas évident… on parle ici de cloud↩︎

Articles connexes

Notifier ou ne pas notifier ?
·1219 mots·6 mins
Sécurité IT AlphV ANSSI Malware Notification SEC Sécurité IT
Où l’on reparle de la notification des incidents de sécurité, grâce à AlphV et la SEC.
Aperçu d’EBIOS Risk Manager
·443 mots·3 mins
Sécurité IT Analyse De Risques ANSSI EBIOS EBIOS 2018 EBIOS Risk Manager EBIOS RM Sécurité IT

À l’occasion des Assises de la Sécurité 2018, l’ANSSI a annoncé la publication de sa nouvelle méthodologie d’analyse des risques : EBIOS Risk Manager. Elle succède à EBIOS 2010, qui avait bien besoin d’être dépoussiérée.
DICT, l’ADN de la cybersécurité
·761 mots·4 mins
Sécurité IT DICT Protection Sécurité IT

Les biologistes ont leurs 4 bases A, C, G et T qui composent l’ADN de tout être vivant, les praticiens de la cybersécurité ont les leurs : D, I, C et T. Elles sont apparues pour répondre à la situation suivante :