Transposer pour mieux régner

Grâce à un accord trouvé durant la Présidence française du Conseil de l’Union européenne (PFUE), la directive Network and Information System Security (NIS) va être mise à jour, devenant ainsi NIS 2. Celle-ci devrait étendre les obligations de sécurité à dix fois plus d’organisations que sa première version adoptée il y a six ans. Tour d’horizon d’un sujet stratégique et décrit comme une opportunité unique par l’ANSSI.

Par Alexandre Guichard

En 2016, l’Union européenne se dotait de son premier outil juridique en matière de cybersécurité grâce à la mise en place de la directive NIS. L’objectif était clair : « assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’UE »¹. Si à l’heure actuelle, le texte doit encore être soumis au vote en séance plénière au Parlement européen avant d’être adopté, l’accord politique entre la Commission, le Parlement et le Conseil européen a été atteint à la mi-mai et augure de bons présages.

NIS2 se verrait ainsi attribuer des domaines d’applications étendus, incluant les secteurs de l’énergie, de la recherche, de l’Espace ainsi que les administrations publiques et les entreprises de service du numérique (ESN). La directive devrait également distinguer deux catégories d’opérateurs : les entités essentielles ou opérateurs de services essentiels (OSE) et les entités importantes.

La protection physique des infrastructures est également un sujet majeur qui couvre plusieurs menaces, au premier rang desquelles l’espionnage, industriel ou institutionnel, mais également le sabotage et les catastrophes naturelles. « Des milliers d’entités seront concernées dès son entrée en vigueur, des entreprises du CAC40 et des administrations comme des PME, sur a minima 28 secteurs d’activité différents. Alors que la menace complexe, professionnelle, et en constante évolution, ne faiblit pas et que les systèmes d’information restent pour partie vulnérables, la directive NIS2 représente une opportunité unique pour nous et sa mise en application va permettre à des milliers d’opérateurs potentiels de bien se protéger » affirme Yves Verhoeven, sous-directeur stratégie de l’ANSSI.

Un sujet stratégique

Quant à lui, le marché pour la sécurisation des systèmes d’information devrait atteindre 208 milliards de dollars en 2023, puis doubler en trois ans pour parvenir à 400 milliards de dollars en 2026². Le marché est donc voué à évoluer rapidement et à se complexifier. La directive NIS 2 vise donc à uniformiser le degré de préparation des Etats-membres, entendant augmenter le niveau de cyber-résilience de l’écosystème européen, réduire les décalages d’implémentation de la norme et améliorer l’intelligence situationnelle des collectivités et leurs capacités à répondre aux attaques. « Cette directive est stratégique parce qu’elle impose aux Etats-membres de se doter d’une stratégie nationale de cybersécurité. Il s’agit moins d’appréhender les obligations qui seront faites que de se préparer à les exécuter » dévoile Eric Bothorel, député français auteur d’un rapport sur l’avenir de la cybersécurité européenne.

Auparavant, les standards et réglementations imposaient des mesures de sécurité. Aujourd’hui, ces derniers imposent des règles ainsi que des systèmes de gouvernance. Les OSE doivent démontrer qu’ils peuvent faire face aux risques qu’ils encourent. Le fonctionnement entend faire prendre conscience aux entités qu’elles sont à risques et que ces réglementations sont créées pour les en protéger. L’approche n’est plus tournée vers la compliance mais vers la performance, afin d’illustrer l’efficacité de la directive.

Mais le marché ne sait pas comment NIS2 va être mise en application, puisqu’il appartient à chaque Etat de transposer la directive dans son droit national. Difficile donc, pour les entreprises de se préparer. Se pose alors la question de l’homogénéité à l’échelle de l’Union, dépendante du degré d’interprétation des parlements nationaux.

Les implications pour l’écosystème cyber français

« Nous voulons transposer NIS2 au maximum dans le droit français. J’aurais aimé une transposition globale du texte mais cela sera complexe au vu du contexte parlementaire. Une fragmentation du texte est à privilégier, pour gagner en clarté et se prémunir contre quelconque instrumentalisation, même si le message politique de la directive perdra en force se faisant. Nous devons privilégier l’efficacité à la publicité » déclare Philippe Latombe, député français. Dès la rentrée, le sujet devrait être abordé dans le cadre du Projet de Loi de Finances, qui pourrait consacrer une nouvelle augmentation du budget de l’ANSSI.

L’agence entend venir en aide aux structures concernées par la directive : « Sans attendre, nous conseillons à chaque entité de se préparer​ utilement, et à moindres frais, en commençant par veiller à appliquer des règles d’hygiène informatique. Ces règles, loin d’être vaines, sont complémentaires aux nouveaux apports de la directive» souligne Yves Verhoeven. « Peut-être que l’on a trop longtemps sous-estimé les budgets dédiés à la cybersécurité dans les administrations et les entreprises. En 2022, ce n’est pas du luxe d’investir dans la cybersécurité. C’est se protéger contre un risque croissant ces derniers mois, ainsi qu’un vecteur de croissance économique » complète Eric Bothorel.

La directive a d’ores et déjà vocation à être, à terme, élargie, poussée par la croissance exponentielle du volume de données créées et traitées dans le cyberespace autant que par l’apparition des metavers. Mais pour l’heure, les principaux concernés ne semblent pas tout à fait prêts. « Beaucoup de RSSI ne sont pas prêts du tout.Les élus n’ont pas tous la notion de ce qui va leur arriver. Il est nécessaire d’anticiper, en suivant le guide de l’ANSSI. Sinon, cela sera extrêmement compliqué » prévient Jérôme Poggi, RSSI de la ville de Marseille.

Préparer le terrain

« Nous avons beaucoup d’efforts à produire. La réglementation est nécessaire pour protéger compagnies et administrations » martèle Philippe Latombe. Et d’ajouter sur la question des coûts de mise en conformité : « Nous ne voulons pas créer d’effet d’aubaine pour les cabinets de conseils, puisque les entreprises doivent implémenter cette directive à leur main. Pour cela, on peut imaginer que les coûts de la mise en conformité soient allégés par un crédit d’impôts ».

Si grands groupes et OSE se préparent, ils font face à des difficultés majeures, dont celle du manque de main d’œuvre qualifiée. « Cela fait un moment que l’on se prépare, puisque la ville de Marseille est pressentie pour devenir OSE. NIS2 aura un impact important sur notre calendrier puisqu’il sera nécessaire de se conformer aux obligations réglementaires. Nous avons hâte que cela arrive puisqu’il est difficile d’avancer sans ces obligations mais cela nécessitera des investissements, notamment en moyens humains.Aujourd’hui, nous savons que nous ne pourrons pas y arriver avec nos effectifs. Nos moyens internes ne nous permettront pas d’atteindre cette conformité et les prestataires devraient eux aussi atteindre rapidement leurs limites » s’inquiète Jérôme Poggi.

Il faut dire que pour les collectivités, le défi est de taille : « Le travail sera fastidieux. Il sera nécessaire de réaliser une cartographie des réseaux, alors même que certains systèmes d’information interconnectés seront à auditer. L’écosystème doit anticiper et séquencer » affirme le député. Lui veut porter un message clair : « Nos entreprises doivent profiter des externalités positives du cloud tout en se protégeant contre ses externalités négatives.NIS2 vient rappeler l’aspect consubstantiel de la numérisation, alors que la survie de nos entreprises est en jeu ».

1^ https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/

2^ https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf