Sollicitée par l’Anssi (Agence nationale de sécurité des systèmes d’information), le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a mobilisé ses membres afin de collecter leurs remarques, avis et propositions dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2).
Pendant les trois phases de la consultation, le CESIN a organisé des enquêtes et des ateliers-débats autour des questions et des textes soumis par l’ANSSI, dans le but de susciter des propositions tangibles. En moyenne, 150 membres du CESIN ont pu exprimer leurs opinions et contribuer à cette consultation. Le panel est principalement constitué de membres issus d’ETI et de grandes entreprises, dont 30% ont une implantation internationale. Parmi les membres du CESIN qui ont contribué à ces travaux 25% pensent que leur entreprise est assujettie à NIS2 en tant qu’Entreprise Essentielle (EE), 19% en tant qu’Entreprise Importante (EI), 23% pensent que leur entreprise n’est pas assujettie, et un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie. C’est sans doute le premier enseignement de ces travaux, les critères d’éligibilité à NIS2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé. Cette difficulté de positionnement ne semble pas corrélée à la taille de l’entreprise, ni à son implantation. En matière de gestion d’incidents, les entreprises déclarent disposer d’équipes internes ou externes prêtes à prendre en charge rapidement des incidents cyber (86%) et une petite majorité d’entre elles (71% des EE, mais seulement une EI sur deux) pourraient mettre en place des dispositifs d’astreinte, à défaut de pouvoir assurer une disponibilité 24/7.
Les incidents notifiés au COMEX considérés comme « importants »
La définition d’un incident classé « important » a suscité beaucoup de commentaires. Un critère simple a émergé : un incident important est un incident notifié au COMEX de l’entreprise. Exprimé autrement, un incident qui ne remonte pas au COMEX, n’est pas jugé important. Par ailleurs, la qualification de l’incident important devrait être liée au métier de l’entreprise et à la structure de son ou de ses Systèmes d’Information, notamment pour les grandes entreprises qui ont des SI et organisations plus ou moins centralisés, et pour lesquelles la notion d’incident important peut avoir des sens très différents. En plus d’une définition formelle, le CESIN suggère que le critère d’importance d’un incident soit adaptable aux spécificités propres à chaque entreprise. Pour les autres incidents, il propose de les qualifier d’incidents « mineurs » plutôt que d’incidents « évités ». Certains incidents, bien que contenus et ayant un impact limité, sont néanmoins pertinents à notifier pour comprendre les modes d’attaques et enrichir les statistiques sur les menaces. Sur ce point, le CESIN propose une stratégie de notification des incidents qui va dans le sens d’une meilleure connaissance globale des volumes et formes de menaces. Les incidents importants seraient déclarables, suivant une procédure et qui ne doit pas emboliser les ressources en charge de gérer une crise. Par ailleurs, les incidents mineurs pourraient être déclarables de façon facultative et seraient alors enregistrés de façon anonymisée par le régulateur. Alain Bouillé, délégué général et porte-parole du CESIN, confirme : « Nous considérons que cet anonymat est la seule possibilité de favoriser un partage réel d’information sur les menaces, leur volume et leur nature. Cela permet aussi de lever les freins à la déclaration. »
La vision opérationnelle des organisations an guise de cartographie
En ce qui concerne la cartographie des entreprises et de leurs systèmes d’information, le CESIN suggère que les entreprises ne se décrivent pas à travers leurs entités légales, mais plutôt qu’elles fournissent une vision opérationnelle de leur organisation, en lien avec leur SI. Cela implique de détailler la structure sur laquelle les mesures de prévention et de cyberdéfense sont déployées et appliquées, pour permettre notamment de mieux comprendre la surface d’attaque d’une entreprise. En outre, le CESIN précise que les plans d’adressage pour les actifs exposés devraient tenir compte des architectures de plus en plus tournées vers le cloud, avec un certain nombre d’IP exposées qui ne sont plus privatives, mais mutualisées ; d’autant que ces surfaces exposées publiquement évoluent constamment. Les formats et méthodes pour les transmettre à l’opérateur devront être efficaces et industrialisables pour que l’opérateur puisse avoir une cartographie à jour. Les membres du CESIN soulignent unanimement la qualité des livrables produits par l’ANSSI, et leur utilité au quotidien. Ils aimeraient pouvoir en disposer sous un format plus facilement intégrable dans les politiques de sécurité des entreprises, avec un historique des versions, et des documents traduits en anglais utiles aux acteurs internationaux. Le CESIN propose que les experts et auteurs de ces documents puissent les présenter lors de webinars et qu’il y ait des espaces pour questionner l’ANSSI sur certains contenus, voire y contribuer.
Des mesures jugées claires à 90%
La phase 3 de la consultation de l’ANSSI portait sur les mesures de sécurité. Les membres du CESIN qui ont répondu à l’enquête jugent très largement que ces mesures sont claires (90%), tandis que 70% d’entre eux pressentent des difficultés pour leur mise en œuvre. Alors qu’une EE sur deux ne pense pas pouvoir intégrer des mesures complémentaires, 71% des EI se disent prêtes à monter le curseur des mesures. Globalement, 82% des EE jugent les objectifs au bon niveau d’exigence, contre 61% chez les EI. Un quart des EI ne se prononcent pas sur le niveau d’exigence. Dans l’ensemble, les membres du CESIN jugent satisfaisant que le niveau attendu pour les EI ne soit pas trop élevé d’emblée, cela permet d’entrer progressivement dans la dynamique de cette nouvelle conformité.
Remarques générales sur les mesures suite aux discussions entre membres du CESIN :
- Les mesures de sécurité pourraient être ajustées afin de mieux intégrer l’impact croissant du cloud dans les systèmes d’information des entreprises. En particulier sur les aspects tels que la gestion des réseaux, la segmentation, l’accès, la surveillance, la protection des données et la résilience. Notamment au plan des responsabilités et des processus de gestion en cas d’incident.
- Les risques liés aux tiers restent très centrés sur les risques en lien avec des interconnexions entre les entreprises et leurs partenaires externes. Or, il est important de tenir compte des dommages collatéraux, notamment les violations de données qui peuvent découler de facteurs indirects et engendrer des impacts, au-delà des seuls risques liés à la connectivité.
- D’autres interrogations émergent concernant la gestion des identités et des accès, appelant à clarifier les aspects relatifs aux facteurs d’authentification et au multi-facteur (MFA) : quand les utiliser, et sous quelles conditions ? Car le MFA lui-même doit être sécurisé, puisque de nombreux scénarios d’attaques cherchent à le contourner. Les processus de gestion des facteurs d’authentification renforcés, sur la base d’exigences plus détaillées. Des mesures spécifiques pourraient être définies pour la fédération d’identité, l’accès conditionnel et le Single-Sign-On, qui constituent des éléments structurants des nouvelles architectures d’accès.
- Pour ce qui concerne les terminaux, les membres s’étonnent de ce qui peut sembler être une acceptation du BYOD pour les EI. Une posture incompatible avec d’autres règles qui demandent par exemple, des restrictions sur les droits d’administration des terminaux ou l’installation libre de composants non approuvés.
- Par ailleurs, la dimension détection et surveillance est pour le moment absente des obligations des EI. En effet rapporte Frank Van Caenegem, administrateur du CESIN et co-organisateur des sessions de consultation avec les membres du club : « Sans un minimum de capacité à tracer et surveiller, il est considéré qu’une entreprise ne peut pas faire face à des incidents. Nous avons tous que la seule prévention ne sera jamais suffisante, et que des incidents surviendront forcément. » Les membres du CESIN recommandent donc des mesures a minima sur ce pilier essentiel de la cybersécurité, pour permettre de détecter, contenir, investiguer, trouver les portes d’entrée et de sortie des attaques. A défaut, la réponse aux incidents est quasi impossible et le risque d’aggravation est élevé.
Félix Marcel
