Principes et enjeux de la Directive NIS : la cybersécurité de l’Union Européenne

6 novembre 2018

Adoptée en juillet 2016, la Directive européenne NIS (Network and Information Security) va pouvoir entrer très prochainement dans une phase de mise en œuvre opérationnelle. En effet, le 9 novembre au plus tard, la France devra communiquer à la Commission Européenne une première liste d’entités qui seront considérées comme des Opérateurs de Service Essentiel (OSE). Cette liste ne sera pas rendue publique mais les acteurs désignés seront informés individuellement.

Ces opérateurs, acteurs privés ou publics, sont considérés comme essentiels au fonctionnement de l’économie et de la société, et devront mettre en œuvre un dispositif de cybersécurité pour se protéger : l’objectif de la Directive est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne.

Cybersecurité

Les grands principes de la Directive NIS

La Directive NIS repose sur une gouvernance pour chaque état membre et sur une coopération entre les pays européens tant au niveau opérationnel que pour les aspects politiques, ainsi que sur un renforcement de la cybersécurité des Opérateurs de Service Essentiel et des Fournisseurs de Service Numérique.

En France, cette directive a été transposée par un texte de loi le 26 février 2018. Différents arrêtés ou décrets du Premier Ministre sont venus compléter cette transposition.

En particulier, le décret du 23 mai 2018[1] précise les secteurs d’activité concernés par cette directive. Les banques, les infrastructures de marchés financiers, les prestataires de services financiers et les acteurs du monde de l’assurance en font partie, et certains sont donc susceptibles d’être désignés comme OSE.

Tous les opérateurs concernés ne seront pas désignés le 9 novembre. A cette date, la liste publiée sera le résultat d’un processus contradictoire qui a démarré suite à la publication du décret du 23 mai 2018 : les opérateurs pressentis pour être considérés comme des OSE par l’ANSSI[2] et le gouvernement ont été avertis par une lettre d’intention, et ont pu faire valoir leurs observations. Ce processus se poursuivra, et la liste des OSE désignés pourra donc être enrichie ultérieurement.

Des règles de sécurité imposées aux Opérateurs de Service Essentiel désignés dans chaque pays de l’Union Européenne

Le 14 septembre dernier, un arrêté[3] a également précisé les règles de sécurité qui devront être mises en œuvre par les OSE et les délais dont ils disposent pour le faire : ces délais vont de 3 mois à 3 ans après leur désignation, et peuvent varier selon que le système concerné est déjà en service ou non, et s’il sera mis en service dans les 2 ans qui suivent la désignation ou au-delà de ce délai.

Les règles sont au nombre de 23 et sont catégorisées en 4 familles :

  • La gouvernance de la sécurité des réseaux et systèmes d’information,
  • La protection des réseaux et systèmes d’information (par exemple par cloisonnement, par gestion des droits d’administration et des identités, etc…),
  • La défense des réseaux et systèmes d’information (notamment par la détection et le traitement des incidents),
  • La résilience des activités.

Plus particulièrement, une règle impose de mettre en place sous 3 mois un dispositif de réception et de traitement des alertes diffusées par l’ANSSI.

Outre la mise en œuvre des règles de sécurité prévues par la loi, un OSE devra très rapidement :

  • Désigner une personne qui sera son représentant vis-à-vis de l’ANSSI (sous 2 mois),
  • Identifier les sous-ensembles de son système d’information qui sont nécessaires aux services essentiels qu’il fournit et sur lesquels un incident conduirait à une interruption importante de ces services : ils sont alors identifiés comme Systèmes d’Information Essentiels ou SIE et doivent être déclarés à l’ANSSI (sous 3 mois).

Il est important de noter que chaque SIE doit faire l’objet d’une procédure d’homologation de sécurité, comportant un audit de la sécurité du SIE et la constitution d’un dossier d’homologation. Des audits de contrôle peuvent également être réalisés par l’ANSSI ou par un prestataire qualifié par l’ANSSI : les travaux réalisés et le respect des règles doivent donc être précisément documentés.

Les travaux de sécurisation et la mise en œuvre des règles de sécurité pourront s’inscrire dans la continuité de réglementations déjà existantes.

Une directive complémentaire à la Loi de Programmation Militaire

Cette Directive est notamment complémentaire à la Loi de Programmation Militaire de 2013 (LPM). Cette dernière a conduit à identifier les Opérateurs d’Importance Vitale (OIV), qui ont déjà dû mettre en œuvre des travaux et des règles comparables à celles de la Directive NIS. Les OIV qui seront également OSE disposent donc d’une expérience avérée, même s’ils ne pourront pas se contenter des travaux déjà réalisés ou en cours dans le cadre de la LPM. L’ANSSI a également capitalisé sur la méthodologie et les retours d’expérience de la LPM pour accompagner la transposition de la Directive et définir les modalités de sa mise en œuvre.

Cependant, de nombreuses entités qui ne sont pas des Opérateurs d’Importance Vitale pourront être désignées comme opérant des Services Essentiels, si elles sont indispensables à la vie quotidienne. L’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai dernier a conduit un nombre important d’entreprises à entreprendre des travaux sur lesquelles elles pourront s’appuyer pour répondre à leurs obligations dans la cadre de la Directive NIS. On peut citer en particulier les dispositifs de détection et de notification d’incidents, l’identification des traitements de données personnelles et leur cartographie par le biais du Registre des traitements, ou l’analyse de certains risques dans le cadre des DPIA (Data Privacy Impact Analysis, ou Analyse d’Impact sur la protection de la vie privée) et les mesures de prévention de ces risques.

Cyber sécurité

[1] Décret n° 2018-384 du 23 mai 2018 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036939971

[2] ANSSI : Agence nationale de la sécurité des systèmes d’information

[3] Arrêté du 14 septembre 2018 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012