viperagp - stock.adobe.com

NIS 2 : les mesures concoctées par l’Anssi

L’Agence nationale de la sécurité des systèmes d’information mène, depuis plusieurs mois, des consultations sur les mesures de gestion des risques de cybersécurité qui s’imposeront aux organisations assujetties.

C’est un document de travail créé mi-novembre dernier. Mais il semble toutefois toujours valide : il a été modifié le 14 mai, sur Mac. Il s’agit du « référentiel de cybersécurité pour les futurs acteurs économiques assujettis à NIS 2 ». 

Ce document vise les « fédérations et associations professionnelles ainsi que leurs adhérents » et « détaille l’ensemble des objectifs de sécurité qu’il conviendrait d’atteindre pour les entités essentielles et importantes » dans le cadre de la transposition de NIS 2 en droit français. 

Nos confrères de L’Informé avaient, début avril, levé le voile sur le projet de loi de transposition, mettant en place un cadre dans lequel viendront s’enchâsser des décrets d’application. Ce sont eux qui définiront les mesures de gestion des risques de cybersécurité, selon une mécanique qui rappelle celle qui avait été retenue pour sécuriser les systèmes d’information des OIV. Le document de travail que nous avons pu consulter leur sert de préparation.

On y trouve 20 objectifs, chacun étant accompagné de justifications, des mesures à mettre en place et d’un tableau précisant lesquels de ces « moyens acceptables de conformité » s’appliquent aux entités essentielles et aux entités importantes. 

Les opérateurs de services essentiels (OSE), tels que définis par la première version de NIS, ne devraient guère être déroutés. Pour les entités importantes, qui représenteront la grande majorité des organisations se découvrant des systèmes d’information réglementés, la surprise promet d’être grande et même violente.

Heureusement que Vincent Strubel, patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi), prévoit de laisser s’écouler 3 ans avant de commencer à vérifier la conformité des entités concernées. Le portail leur permettant de se déclarer n’est d’ailleurs pas encore ouvert.

Les principales mesures pour les entités importantes

Sans surprise, les entités importantes et essentielles vont devoir recenser leurs systèmes d’information réglementés, à partir d’une cartographie des activités et services de l’entité et des SI associés. Moyennant justification, des SI pourront être laissés de côté : à condition de ne pas être porteurs de risque « impactant les activités ou les services fournis par l’entité ».

Les vraies différences commencent après. Les entités importantes sont ainsi exemptes de l’obligation, pour son dirigeant exécutif, de désigner une personne le conseillant et l’accompagnant dans l’exercice de sa responsabilité de la sécurité numérique. La gouvernance pas les risques ne s’impose pas non plus aux entités importantes, ni même l’audit de la sécurité de ses systèmes d’information.

La sécurité doit bien être prise en compte dans la gestion des ressources humaines, mais aucune clause de sécurité n’est obligatoire dans les contrats de travail des entités importantes.

Paradoxalement, malgré l’obligation initiale de cartographie, les entités importantes sont dispensées de cartographie de leurs systèmes d’information réglementés. Elles sont également exemptées de la mise en œuvre et du maintien à jour d’une procédure de maintien en conditions opérationnelles et de sécurité des ressources du SI. 

Pour autant, ces entités n’échappent pas à la veille sur les vulnérabilités et les correctifs de sécurité, et encore moins l’installation de ces derniers « sans délai » pour les ressources exposées à des réseaux tiers. 

La sécurité physique des locaux n’est pas oubliée, mais encore une fois allégée pour les entités importantes qui échappent aux obligations de protection physique des locaux, salles serveurs et locaux techniques : il ne s’agit, pour elles, que de s’assurer de limiter l’accès aux personnes autorisées.

Des attentes de résilience réduites

Un cloisonnement logique ou physique des SI réglementés vis-à-vis des autres est prévu, mais certaines injonctions relatives au filtrage des communications risquent de produire quelques migraines. Et surprise, le recours à l’authentification à facteurs multiples apparaît significativement allégée pour les entités importantes. Ces dernières échappent en outre entièrement aux obligations de sécurisation de la configuration des ressources de leurs SI réglementés, ou encore à celles de modification « sans délai de l’élément secret associé à un compte désactivé » et de traçabilité des accès.

Les entités importantes ne sont, en outre, pas obligées de dédier des ressources spécifiques à l’administration de ressources du SI, ni de superviser l’activité des SI réglementés. Les mesures attendues de ces entités en matière de gestion des incidents et de la continuité/reprise d’activité sont en outre significativement allégées par rapport aux entités essentielles. 

Elles n’échappent toutefois pas à certaines dispositions relatives à la gestion de crises cyber. Mais sans obligation de stratégie d’entraînement à la gestion de ces crises. 

Le document complet est téléchargeable ici.

Pour approfondir sur Cyberdéfense