L’Anssi a confirmé en juin au salon FIC 2022 que les sociétés de services IT seront concernées désormais par la V2 de la directive européenne Network and Information Security (NIS). L’annonce n’inquiète pas outre-mesure ces ESN, ou du moins celles qui investissent déjà dans la cybersécurité pour s’y préparer.
Le périmètre des sociétés sous la surveillance de la Cnil et de l’Anssi sera étendu dès fin 2022, lors de la publication de la V2 de la directive européenne Network and Information Security (NIS). Les nouveaux secteurs stratégiques concernés sont désormais l’espace, et surtout, les entreprises de services numériques de plus de 50 employés.
« Certains acteurs ne pourront plus passer sous le radar ou échapper à leurs obligations »
Ces dernières seront désormais obligées de prévenir l’Anssi et la Cnil sous 24H désormais si elles, ou l’un de leurs clients, subissent une cyberattaque. « C’est une bonne nouvelle. Il y avait un vrai trou dans la raquette dans le dispositif NIS 1 ». estime Julien Birene, RSSI et responsable GRC de Synetis. « Le fait que les OIV soient concernés, et pas leurs intégrateurs, constituait une opportunité pour certains acteurs de passer sous le radar ou d’échapper à ces obligations. Or, il est plus facile d’attaquer un intégrateur IT, surtout non spécialisé en cybersécurité, et donc son client par rebond… Ce problème a déjà été soulevé par l’Anssi dans sa méthode d’analyse des risques ».
Le non-respect des obligations NIS 2 sera puni d’une amende
Le périmètre de NIS 2 s’est également considérablement élargi par rapport à la première version de la directive de 2016 confirme Laurent Cayatte, le président de Metsys, un intégrateur IT spécialisé en cybersécurité : « Cette nouvelle directive s’adresse maintenant à plus de 150 000 entreprises qui devront augmenter leur niveau de sécurité informatique. Tous les secteurs d’activité stratégiques sont maintenant visés par cette directive et des sanctions élevées sont prévues en cas de non-respect ». Effectivement, le non-respect des obligations imposées par NIS 2 sera puni par une amende pouvant représenter jusqu’à 2 % du chiffre d’affaires mondial des contrevenants.
A l’instar de ses confrères, Laurent Cayatte en conclut que de nombreuses entreprises devront désormais faire davantage appel à des spécialistes comme Metsys, afin de les aider dans la gestion des cyber risques, dans la notification d’incidents ou la divulgation de vulnérabilités. D’autant que NIS 2 invite désormais les ESN à montrer l’exemple et à s’appliquer des mesures de sécurité de base : « Les ESN doivent adopter les meilleures pratiques en matière d’hygiène cyber, d’analyse des risques, de gestion des incidents, de continuité des opérations et de sécurité de la chaîne d’approvisionnement » confirme l’Anssi.
Les ESN investissent déjà pour s’y préparer, à la demande de leurs clients
L’extension de la directive NIS 2 aux ESN de plus de 50 employés n’inquiète pas outre-mesure celles que nous avons interrogé. Elles investissent déjà pour s’y préparer, souvent à la demande de leurs clients, comme le souligne Paul Bayle, le directeur du département sécurité d’Atos : « Sans attendre la Directive NIS 2, je constate que les Conseils de Direction des entreprises sont désormais beaucoup plus sensibilisés à la question depuis 2019. Cette approche découle du tsunami de menaces sur les sociétés et de la compréhension des risques de sécurité au sein des chaînes d’approvisionnement ».
A l’instar de ses concurrentes, Atos a donc été contrainte de remonter les niveaux de sécurité très fortement sur ses services IT depuis quelques années. « Ainsi, nous estimons qu’il n’y aura probablement pas de contraintes insurmontables pour nous dans cette future mise en conformité, car nous avons déjà fait la majeure partie du travail ».
La future application de NIS 2 soulève déjà des sujets opérationnels
Si elles se disent prêtes à NIS 2, la plupart des ESN attendent toutefois de voir quel texte final voté en mai 2022 par le parlement européen sera adopté au second semestre 2022, car elles redoutent parfois sa mise en œuvre concrète. Comme dans tout exercice de conformité avec une législation, l’enjeu de la documentation et de la preuve se posera.
D’ailleurs, cette contrainte de notification soulève déjà quelques sujets opérationnels brûlants selon Alain Bouillé, délégué général du Cesin, le Club des Experts de la Sécurité de l’Information et du Numérique : « Concrètement, cela signifie qu’il va falloir prévoir une notification « étendue » : à la Cnil pour les données personnelles, à l’Anssi pour le vital et l’essentiel, aux ministères de coordination pour les différents secteurs (transport, énergie, bancaire, etc.), aux autorités dites Métiers (nucléaire, bancaire, etc.), sans parler des spécificités de certaines activités (à titre d’exemple, informer le Ministère des finances implique aussi informer la DG Trésor). Cela vaut pour la France, il y a autant de complexité au niveau Européen. Une fois les notifications faites, il faut se préparer à faire le support, puis le service après-vente ! »
Le mécanisme actuel d’alerte des autorités est « trop bureaucratique »
Juhan Lepassaar, le directeur exécutif de l’Agence européenne pour la cybersécurité (Enisa) estimait en effet ce printemps que le mécanisme actuel d’alerte des autorités est « trop bureaucratique ». Des négociations sont en cours entre le Conseil, la Commission et le Parlement européens pour renforcer les obligations de notification d’incidents par les États membres et les Opérateurs de services essentiels (OSE), ainsi que par les Opérateurs d’importance vitale (OIV).
« La directive NIS 2 étend notamment le périmètre des secteurs concernés par des obligations de cybersécurité. Jusqu’à présent, la liste des « opérateurs de services essentiels » était laissée à la discrétion des Etats membres. Ce sera désormais la directive qui fixera les critères » confirme le cabinet Bensoussan – Lexing Technologies.
Et Julien Birene de conclure : « Cette uniformisation au niveau européen est une bonne chose car un tiers des pays européens n’étaient pas en conformité avec NIS, ne serait-ce que pour identifier et déclarer leurs OSE et OIV aux autorités locales. La France est moins concernée car le périmètre de la réglementation sur la loi de programmation militaire imposée par l’Anssi était déjà plus étendue que NIS 1 ».
