Romolo Tavani - stock.adobe.com

NIS 2 : entreprises, fuyez les ESN irresponsables

Certaines ESN semblent avoir besoin de se faire tirer l’oreille pour accepter de discuter de NIS 2 avec leurs clients, et encore plus pour le faire à l’écrit, contractuellement. À fuir.

« C’est mon quotidien depuis des mois, avec la question phare : “trouvez-moi un moyen de ne pas avoir à appliquer la législation cybersécurité” ». C’est ce qu’indique Marc-Antoine Ledieu sur LinkedIn.

L’avocat spécialiste du numérique complète là une publication dans laquelle il rapporte une conversation avec le représentant d’une ESN (« dans le top 10 en France », précise-t-il) chargée d’infogérance pour son client. L’échange concerne NIS 2 qui, faute de transposition en droit national, est entré en application directe le 7 novembre. Surtout, il porte sur un effort délibéré de l’ignorer, avec « rien sur [les] engagements de prestataire “entité et réseau critique” et sur le fait que mon client soit également entité régulée NIS 2 » dans le contrat. Lunaire.

C’est un peu comme si les ESN n’étaient jamais victimes de cyberattaques, ou bien que cela n’ait aucun impact sur leurs clients. Ce qui ne pourrait être plus éloigné de la réalité.

Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN en 2021, contre 4 l’année précédente.

L’Anssi soulignait alors le « risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas étaient connus publiquement pour 2021 : Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum – ou encore Xefi – du moins selon l’un de ses clients et les allégations d’Everest et ce que suggèrent les données divulguées par le groupe début octobre 2021.

L’année 2023 nous a apporté d’autres exemples, avec notamment les clients de Coaxis – établissements de soins, laboratoire d’analyses médicales, cabinets comptables, etc. – à partir du 8 décembre.

Le même jour, de l’autre côté des Alpes, une autre ESN faisait la même malheureuse expérience : WestPole. Là, de nombreuses collectivités territoriales ont été affectées. Wired expliquait alors que « les inconvénients les plus importants concernent les services offerts par Pa Digitale et les sites des municipalités ». Et les institutions utilisant les services de Westpole sont nombreuses, jusqu’à l’Autorité nationale anticorruption, le régulateur des télécommunications, ou encore le Conseil supérieur de la magistrature ».

Un mois plus tôt, l’ESN Südwestfalen-IT (SIT-NRW), basée à Siegen en Rhénanie-du-Nord–Westphalie, était victime d’une cyberattaque avec rançongiciel. Car comme l’expliquaient alors nos confrères du Westfalenpost, « au total, SIT dessert 73 clients, dont toutes les municipalités de Siegen-Wittgenstein ». Un an plus tard, la presse locale n’a pas manqué de commémorer l’incident dont certains clients finissent seulement de pleinement se relever.  

Et au même moment, une autre ESN, Designa Verkehrsleittechnik, était victime d’une cyberattaque. Ses solutions sont utilisées par de multiples parkings payants, dans divers pays. Outre-Rhin, certains à Pforzheim ou encore Ulm ont dû, un temps, laisser leurs barrières levées

Outre-Atlantique, autour du 28 novembre 2023, HTC Global Services a été frappé par une cyberattaque, depuis revendiquée par Alphv/BlackCat. Plusieurs hôpitaux ont été affectés.

Tout début 2024, la litanie se poursuivait : « l’un des nombreux centres de calcul de Tietoevry en Suède a été partiellement sujet à une attaque avec ransomware dans la nuit du 19 au 20 janvier », indiquait l’ESN sur son site Web. L’impact, en Suède, fut loin d’être négligeable : 120 administrations locales ont été affectées, et quelque 60 000 utilisateurs finaux. 

Discuter de NIS 2 avec ses clients, se l’appliquer, pour une ESN, ce n’est pas une question de conformité. C’est une question de responsabilité. Et encore plus alors que l’Anssi n’envisage aucune sanction avant trois ans. Mais certains le réaliseront peut-être au détour d’une action en justice.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)