Après les opérateurs d’importance vitale (OIV) définis par la loi de programmation militaire française (LPM), la directive européenne NIS crée une nouvelle catégorie d’entreprises : les opérateurs de services essentiels (OSE), soumis à de strictes obligations en matière de cybersécurité. Décryptage.
Après British Airways en septembre, Cathay Pacific révélait en octobre avoir été victime de la plus grande affaire de violations de données subie par une compagnie aérienne qui a touché 9,4 millions de ses clients. Les pirates ont mis la main sur des données personnelles comme les dates de naissance, les numéros de téléphones et de passeports. Ce risque est au cœur des préoccupations de la directive network and information security (NIS). À travers ce texte inspiré de la LPM française, datant de 2013, l’Union européenne vise à assurer la sécurité des réseaux et des systèmes d’information du continent en développant la coopération entre les États membres.
Les OSE, au cœur de la directive NIS
Adoptée le 6 juillet 2016 puis transposée dans le droit français le 26 février 2018, la directive NIS a abouti le 9 novembre dernier à l’identification d’une première liste de 122 opérateurs de services essentiels (OSE). Ces acteurs, qui fournissent un service « dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société », se rajoutent au dispositif de cybersécurité des 249 opérateurs d’importance vitale (OIV) introduit par la LPM en 2013. Cette directive a également été transposée dans les pays voisins ; le 30 juin 2017 en Allemagne, le 9 mai 2018 en Grande-Bretagne et le 8 septembre 2018 en Espagne.
L’arrêté d’application français impose 23 nouvelles obligations en matière de cybersécurité aux systèmes d’information essentiels (SIE) des OSE. Issus pour l’essentiel des secteurs industriels (énergie, transports, santé, distribution et traitement de l’eau…), ces OSE gèrent des biens physiques qui peuvent avoir un impact direct sur la vie humaine et l’environnement. En cela, leur sécurisation est essentielle.
Et les entreprises françaises concernées ont un enjeu de taille : le temps. En effet, le décret impose la nomination d’un contact interne à destination de l’ANSSI dans les deux mois suivant la désignation en tant qu’OSE. L’arrêté français quant à lui précise les délais par règle – ceux-ci allant de trois mois à deux ans.
Mieux se connaître pour mieux réagir
Conformément à la transposition française (article 6) de la directive NIS, quatre grands chantiers sont à mener par les OSE : la gouvernance, la protection, la défense et la résilience. En matière de gouvernance, les entreprises concernées ont l’obligation (décret - article 10) d’élaborer et mettre une œuvre une politique de sécurité ainsi que de procéder à une homologation de sécurité, en d’autres termes de réaliser une analyse de risque, un audit et une cartographie fine de leurs installations et des usages.
Il s’agit là sans aucun doute de la partie la plus importante. Seule une bonne compréhension de son système d’information permet de définir une politique de cybersécurité efficace.
Mettre en place les bonnes pratiques
Le second chapitre de l’arrêté consiste à mettre en place un système de protection visant à réduire les risques sur les SIE. Le cloisonnement, le filtrage (pare-feux…), la gestion des comptes d’administration, l’authentification ou les droits d’accès sont autant de mesures de protection imposées.
Il s’agit là de choisir les outils adaptés, et de bien prendre en compte leur vie dans le temps et leur capacité à évoluer avec les besoins du systèmes d’information.
Anticiper la gestion des incidents
En ce qui concerne le chapitre de la défense de ce même arrêté, les OSE doivent se mettre en capacité de détecter les incidents qui pourraient survenir dans leurs SIE et de remonter le processus d’attaque dans le temps. Pour comprendre ce qui s’est passé et d’identifier les failles de vulnérabilités éventuelles, ils doivent être en mesure de corréler toutes ces informations. Il faut donc avoir préalablement mis en place une infrastructure contenant :
- des équipements (pare-feux, sondes, operational historian…) adéquats pour capter les informations qui circulent,
- des outils de journalisations adéquats et capables de soutenir six mois d’archives,
- des outils ad hoc, comme un security operations center (SOC) ou un security information and event management (SIEM), destinés à repérer les activités malveillantes sur ses réseaux,
- des ressources humaines dédiées à la configuration des équipements et outils ainsi qu’à l’étude des résultats.
Il s’agit là de s’équiper et de s’inscrire sa protection dans une démarche d’amélioration continue. En effet, face à des risques cyber qui évoluent sans cesse, la défense doit s’adapter.
Gérer la crise
Reste enfin la gestion proprement dite de la crise et donc la capacité de résilience de l’organisation. L’arrêté français dédie un chapitre entier à la gestion de crise en cas d’incidents de sécurité ayant un impact majeur. Les OSE doivent ainsi avoir des procédures adéquates pour la gestion des risques identifiés préalablement (lors de l’analyse des risques et l’audit). Des procédures qui doivent prendre en compte aussi bien les canaux de notification que les personnes à mobiliser et les outils à disposition. Dans l’idéal, il existe une procédure par risque de crise, exhaustive et régulièrement mise à jour.
Important à noter ici : l’arrêté d’application français insiste sur une séparation entre gestion des incidents et gestion de la crise. Ce qui montre une vraie montée en maturité entre les décrets d’application de la LPM et celui de la NIS.
Une démarche itérative
Enfin, les OSE doivent notifier les incidents de sécurité (décret - section 4) qu’ils détectent à leurs autorités nationales compétentes (l’ANSSI en France). Celles-ci doivent remonter ces notifications et collaborer entre elles. Cela a pour objectif le partage de connaissances et des actions préventives de protection auprès des OSE non-impactées, dans un processus itératif d’amélioration de la cybersécurité globale.
L’accroissement des cyberattaques de ces dernières années a obligé les États membres de l’UE à augmenter leur niveau de sécurité dans le but de protéger les citoyens, les collectivités territoriales et les entreprises. Et pour faire face à ce défi, la directive NIS se réforme, s’harmonise et se renforce en une version 2.0.