La grosse actualité de septembre et de la rentrée aura certainement été NIS 2, et notamment les débats autour des délais qu’auront les EE (entités essentielles) et les EI (entités importantes) pour leur mise en œuvre en interne.

L’annonce d’un délai de 3 années supplémentaires, et surtout les débats autour des difficultés budgétaires de l’État ne sont pas propices à un débat de fond sur la pertinence ou pas de ce délai additionnel : d’une part on se souvient du cas du RGPD, voté en 2016 pour une fin de mise en œuvre en 2018, a pris des années de retard en sus de ce délai additionnel de 2 ans. D’autre part, si restrictions budgétaires il y a sur les services de l’État, il est probable que cela fasse ricochet sur l’ensemble de l’écosystème.

Tel n’est pas le sujet. La directive 1 (en cours de transposition) traite essentiellement des aspects relevant des l’échelon étatique : 

  • stratégie nationale (art 7), 
  • mise en place des CSIRT (art 10), 
  • partage des incidents et coordination nationale, etc. 

Concrètement, qu’en est-il des acteurs sur le terrain dans les entreprises concernées (EE et EI) ? Quelles sont les mesures à mettre en œuvre ? Leur niveau de détail ? On trouve des projets à l’état de consultation de ces mesures, rédigés par l’ANSSI2, et cela mérite que l’on s’y penche attentivement.

Première constatation : les mesures sont listées de façon assez génériques dans les articles 21 et 22 de la directive, et le texte de l’ANSSI décline des éléments opérationnels en proposant à la fin un tableau de correspondance. On passe des 23 mesures de NIS 1 à une vingtaine pour NIS 2 (selon la façon dont on compte) et à 20 objectifs de sécurité pour le projet de l’ANSSI.

Deuxième constatation : si on trouve des objectifs « classiques » telle la gouvernance (désignation d’un responsable de la démarche) ou la gestion IAM (objectif 13), certains sont plus étonnants par leur formulation. Par exemple:

  • l’objectif 4 (l’entité maîtrise son écosystème) qui en substance adresse les relations avec les fournisseurs. 
  • Ou l’objectif 6 (sécurité dans les RH), mais qui fait référence aux sensibilisations et formations. 

Mais à part ces petites nuances de forme, rien de neuf : ni l’ANSSI ni le législateur n’ont réinventé la roue ou la poudre, rien d’étonnant du reste. On retrouve, organisé différemment, soit les 114 mesures de la 27001 version 2017, soit les 94 mesures de la 27001 version 2022/2023, soit les 42 mesures d’hygiène de sécurité de l’ANSSI.

C’est quasi la même chose que d’habitude oserait-on dire, mais avec une légère nuance, et elle est de taille : cette fois-ci il s’agit d’une obligation réglementaire (ce qui était déjà le cas de NIS 1) mais qui va toucher un grand nombre d’entreprises (on parle de 30 000 sur le territoire national). Et cette extension du nombre d’entités touchées a un impact ou bénéfice collatéral pour les grosses structures publiques ou privées, qui dans la plupart des cas était déjà soumises à NIS 1 : avec NIS 1 nous étions quasi seuls au monde face à des gros fournisseurs qui ne l’étaient pas et n’avaient aucune obligation de prendre en compte les nôtres, avec NIS 2 on se retrouve tous dans le même bateau avec ces mêmes gros fournisseurs, bienvenue au club m’sieur-dames. Fini de se voir imposer des conditions d’accès distants rédigés avec les pieds, fini de se voir livrer des produits où l’on vous explique qu’il ne faut pas d’antivirus sur la console machinchose qui pilote le bazard trucchose v2.2. Clients / fournisseurs NIS 2 : on va tous partager les paires de juri-claques si nécessaire. D’ailleurs si, comme moi, vous êtes Gémeau ascendance Belzébuth avec une partie des gènes de Detritus 3, je vous conseille instamment de profiter de l’obligation de signalement des incidents… pour déclarer comme un incident les manquements de votre fournisseur à l’une des 114 / 94 / 42 mesures ci-dessus). Terrible cette stratégie de FEI (fiche d’événement indésirables): ni le fournisseur ni l’organisme récipiendaire ne peuvent nier en avoir eu connaissance… Terrible vous dis-je…

Après, forcément, les débats vont porter sur le niveau de précision des mesures mises en place : gérer ses accès distants, mais jusqu’où ? Former ses agents, mais à quelle fréquence ? Protéger son VLAN d’admin (objectif 15) mais avec quel niveau d’isolation. À ce stade, vous avez 3 types de réponses.

Première réponse : noircir des feuilles de papier, pondre de la doc pour de la doc dans le but de cocher des cases. Cela marche la première année, cela coûte moyennement cher et, en gros, sur le moyen terme cela ne sert pas à grand-chose.

Deuxième réponse, et je vais me faire tout plein d’amis : appeler des consultants. Quand je vois le nombre de gugusses qui m’envoient des mails à longueur de journée en me proposant de « m’accompagner dans la mise en œuvre de NIS 2 », sûr que cela va becqueter à tous les râteliers, comme d’habitude. Cela coûte très cher et sur le moyen terme l’efficacité reste à démontrer. Juste pour avoir une échelle de valeur, pour un CHU de 12 000 agents et 1 milliard d’euros de budget annuel, j’estime qu’une prestation de consultants pour une démarche qualité de type ISO (et par extension de type NIS 2) ne doit pas dépasser 50 jours, et encore c’est riche. Au-delà, cela s’appelle autrement que du consulting, plutôt de la chasse à la bécasse. Tiens cela me donne une idée : je vais faire du consulting sur des prestations de consulting !

Enfin, dernière réponse : la mesure dont l’objectif est le plus important est certainement la gouvernance. Il faut en effet qu’une personne dédiée s’occupe du machin. RSSI, CISO, quel que soit le nom que vous lui donnez. Lisez l’objectif 11 : « L’entité protège ses systèmes d’information réglementés contre les codes malveillants ». Vous pouvez le lire d’une autre façon : l’entité ne peut pas ne pas s’occuper de la protection contre les codes malveillants. Le niveau de couverture, le niveau de contrôle, le dispositif d’alerte et de correction, c’est dans un second temps, pas en premier. Que quelqu’un se saisisse du sujet, avec une mission transversale (il y a des objectifs techniques, mais d’autres beaucoup plus MOA / organisationnels) et selon les moyens que lui donnera sa DG, et à minima : 

  • Ecrire une politique de protection contre les codes malveillants : inutile.
  • Demander à un consultant d’écrire la protection contre les codes malveillants parce que vous n’avez pas le temps : inutile et cher.
  • Superviser votre solution existante de protection contre les codes malveillants, repérer les trous dans la raquettes, les bouchers, re-contrôler, tous les mois : utile et pas cher. Je me suis fait tatouer PDCA sur la cuisse gauche, cela sert tous les jours.
  • En matière de qualité / sécurité / cyber : gros et lourd = inutile et cher, petit et agile = utile, efficace et pas cher.

Après si vous tenez absolument aux solutions 1 ou 2, la chasse est ouverte depuis le 15 septembre dernier.

1 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555

2 https://www.lemagit.fr/rms/LeMagIT/NIS2-PROJETphase3decret20Reglesdesecuritev5.2.pdf

3 Le personnage horrible dans « La zizanie »

cedric@cartau.net

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.