Directive NIS, préparez-vous à la mise en conformité

Aujourd’hui transposée en droit français, la directive NIS (Network and Information System) imposera de nouvelles exigences en matière de sécurité des systèmes d’information. Mais qui est réellement concerné et en quoi consistent exactement ces obligations ? Voici un aperçu des questions auxquelles les entreprises doivent répondre pour s’assurer de leur conformité.

Votée par le Parlement européen en juillet 2016, la directive relative aux réseaux et aux systèmes d’information (NIS) a créé un ensemble d’obligations visant à protéger les principaux opérateurs et fournisseurs de services des risques liés à la cybersécurité et à uniformiser ce cadre juridique dans l’Union. Ses dispositions légales ont été transposées en droit français début 2018. Il incombe maintenant à tous les intervenants concernés de reconnaître les nouvelles exigences en matière de sécurité et d’en assurer la conformité.

A lire en complément : Cybersécurité, comment s'organiser en cas de crise

Qui est concerné par la directive NIS ?

La loi de programmation militaire (LPM) française de 2013 a déjà fait de la cybersécurité une nécessité majeure pour assurer la longévité des opérateurs essentiels (OE), à savoir les acteurs dont les services sont essentiels à la souveraineté du pays, tels que l’approvisionnement en eau, en énergie ou en services de santé par exemple.

Mais avec la directive NIS, les opérateurs essentiels ne seront plus les seuls acteurs concernés. La loi définit deux nouvelles catégories de parties prenantes pour lesquelles la continuité des activités doit être garantie : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Lire également : La Bretagne, dix choses à voir et à faire

Le statut d’ Opérateur de Services Essentiels (OSE) est attribué aux acteurs dont les services jouent un rôle vital pour le pays, tels que la fourniture d’énergie, d’eau et de services de santé, ainsi que les infrastructures de transport, bancaires et financières. La liste exacte des entreprises désignées comme OSE a été fixée par décret en novembre 2018, et le statut d’OSE est attribué sur une base individuelle par le Premier ministre français.

Le terme Fournisseur de Services Numériques (FSN) inclura les parties prenantes B2B et B2C qui sous-tendent l’économie numérique. Elle concerne plus particulièrement les places de marché, les moteurs de recherche et les services de cloud computing comptant au moins 50 salariés et générant plus de 10 millions d’euros de chiffre d’affaires annuel. Les FSN ne sont pas désignés de la même manière que les OSE : il leur incombe de se conformer automatiquement à la législation.

Quelles sont les exigences de transposition de la directive NIS ?

La transposition en droit de la directive NIS exige que tous les OSE et les FSN sachent identifier les risques, se protéger de ces risques, assurer leur résilience et informer les autorités compétentes de tout incident.

Qu’en est-il de la pratique ? En ce qui concerne OES, la loi de transposition fixe les principaux domaines de cybersécurité concernés par la loi :

  • la gouvernance des systèmes d’information (SI) et des réseaux ;
  • la protection des risques ;
  • la défense en cas d’attaque ;
  • la résilience des opérations commerciales.

Pour les FSN, la loi stipule qu’ils doivent garantir un niveau de sécurité adapté aux risques existants et mettre en œuvre les mesures nécessaires pour les réduire. Ces mesures concernent les domaines suivants :

  • la sécurité des systèmes et des services ;
  • la gestion des incidents ;
  • la gestion de la continuité des activités ;
  • la surveillance, les audits et les inspections ;
  • la conformité aux normes internationales.

La législation sur la sécurité devant être appliquée par les OSE et les FSN est fixée par la loi du 14 septembre 2018.

Qu’il s’agisse d’OSE ou de FSN, tout incident “susceptible d’avoir une incidence majeure sur la fourniture ou la continuité des services” doit être déclaré à l’autorité compétente (AC) du pays où l’incident se produit. En France, il s’agit de l’ANSSI, l’Agence nationale française de sécurité des données.

En cas de négligence, la loi prévoit les sanctions importantes suivantes :

  • des amendes pouvant aller jusqu’à 100 000 euros pour absence ou non-respect de la législation sur la sécurité ;
  • des amendes pouvant aller jusqu’à 75 000 € pour non-déclaration d’incidents ;
  • des amendes pouvant aller jusqu’à 125 000 € pour toute entrave à une inspection de l’ANSSI.

En quoi consiste la conformité ?

Le fait de ne pas déclarer un incident est sanctionné, ce qui démontre à quel point la question est complexe ; en effet, détecter les risques et chercher à s’en protéger ne suffit pas. Les entreprises doivent également savoir comment qualifier lesdits incidents et comment établir les politiques de gestion appropriées. La conformité est loin d’être une question technique ; elle nécessite une véritable gouvernance.

Comment préparer votre organisation ? La méthodologie utilisée doit suivre le processus suivant.

  • Etape 1 : Déterminer si votre organisation relève du champ d’application de la loi. Dans l’affirmative, indiquer le ou les services essentiels tels que définis par la loi.
  • Etape 2 : Analyser les risques qui menacent la sécurité du SI de l’organisation afin d’identifier ce qui peut affecter les services critiques.
  • Etape 3 : Evaluer les mesures de sécurité techniques et organisationnelles en place afin d’identifier les lacunes éventuelles entre la législation actuelle et la nouvelle législation.
  • Etape 4 : Établir un plan de conformité en tenant compte du budget, du parrainage et du plan de développement global.
  • Etape 5 : Mettre ce plan en œuvre.

Cela peut sembler lourd mais c’est crucial. La première phase vous permettra de définir le périmètre en identifiant les services critiques concernés. L’évaluation de l’étape précédente servira à évaluer le projet en définissant les lacunes de la réglementation existante et les nouvelles exigences. Ces conditions préalables sont essentielles pour que le plan de conformité puisse être rédigé de manière à tenir compte des restrictions budgétaires ainsi que du plan de développement global.

Comment commencer ?

La conformité implique une réelle approche de transformation, tant pour l’infrastructure que pour l’organisation dans son ensemble. Dans le monde de la cybersécurité, toutefois, nous pouvons tirer parti de l’expérience des personnes concernées par les exigences énoncées dans la loi sur la planification militaire (LPM) en 2013. De ces projets complexes, nous pouvons tirer quelques clés du succès.

Tout d’abord, nous pouvons faire preuve de prévoyance pour éviter d’ajouter «urgence» à la liste des nombreuses restrictions déjà définies par le projet. Ensuite, nous pouvons mobiliser toutes les personnes impliquées dès la mise en route du projet, en nous rappelant d’impliquer la direction générale et tous les travailleurs qualifiés susceptibles d’être concernés. Enfin, nous pouvons assurer un suivi régulier du projet afin d’identifier rapidement les problèmes rencontrés, ainsi que les dépendances inévitables et les points d’achoppement, en nous adressant si nécessaire, aux autorités telles que l’ANSSI, le CIGREF ou le CLUSIF (Club français  pour la sécurité des systèmes d’information).

La conformité est souvent perçue comme une dépense restrictive avec un retour sur investissement difficile à démontrer. Cependant, l’expérience directe et les retours d’expérience montrent qu’il s’agit finalement d’une “opportunité pour s’attaquer à la source des problèmes de sécurité et de transformer définitivement la sécurité des SI”. Dans un contexte de menace croissante, cela signifie que la conformité deviendra un réel avantage pour les partenaires de l’entreprise et garantira enfin la résilience de l’entreprise.

Abonnez-vous à notre newsletter

Abonnez-vous à notre newsletter

Rejoignez notre liste de diffusion pour recevoir les dernières nouvelles et mises à jour de notre équipe.

You have Successfully Subscribed!