La directive NIS2 arrive… Mais qu’est-ce que cela signifie ?

Le 28 novembre 2022, les États membres de l’Union européenne ont formellement adopté la directive révisée sur la sécurité des réseaux et des systèmes d’information (NIS2) (EN, DE, FR). La directive entrera en vigueur avant la fin de l’année, mais ne sera applicable qu’une fois transposée par les États dans leur législation nationale, d’ici à septembre 2024. C’est donc le moment de faire le point sur les changements à venir et leurs implications pour vos opérations de cybersécurité.

Pourquoi est-ce aussi important ?

• La directive NIS2 va devenir le nouvel ensemble d’obligations de cybersécurité pour les organisations de nombreux secteurs jugés critiques pour l’économie.
  
  
• Les 27 États membres de l’UE devront intégrer ces nouvelles obligations dans leur législation nationale avant septembre 2024.
  
  
• Ces obligations englobent notamment une réduction du délai de déclaration des incidents (première alerte sous 24 heures) et l’application de mesures de gestion du cyber-risque.
  
  
• En cas de non-conformité, les amendes sont élevées, et les cadres dirigeants auront de nouvelles responsabilités dans le domaine de la cybersécurité. Des mesures seront appliquées au moyen d’inspections sur place et d’audits, et les cadres pourront être suspendus voire interdits d’exercice. 

Qu’est-ce que la directive NIS ?

En 2016, la directive NIS initiale était la première législation européenne sur le cyber. Elle imposait aux États membres d’identifier les opérateurs de services essentiels et d’introduire de nouvelles obligations de cybersécurité pour les encadrer, notamment en ce qui concerne le signalement des incidents. Vous ne connaissez peut-être pas la directive NIS elle-même, mais vous savez comment votre gouvernement national l’a mise en œuvre : on parle d’identification des opérateurs de services essentiels (OSE) en France ou des opérateurs KRITIS en Allemagne.

Cependant, la directive a été mise en œuvre sans homogénéité dans les États membres, entraînant des incohérences : certaines entreprises sont considérées comme un « service essentiel » dans certains pays, mais pas dans d’autres. Par exemple, le nombre de services identifiés variait de 12 à 87, et le nombre d’opérateurs de 20 à 10 897. C’est ce qui a amené la Commission européenne à réviser la directive NIS pour obtenir NIS2, qui apporte davantage de clarté sur les organisations concernées et indique les exigences spécifiques qui s’y appliquent.

La directive NIS2 s’applique-t-elle à vous ?

Contrairement à NIS, NIS2 établit une liste claire des secteurs relevant du champ d’application et prévoit que toutes les entités actives dans ces secteurs sont automatiquement considérées comme des entités « essentielles » ou « importantes » si elles emploient plus de 250 personnes et ont un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros. Les entités essentielles et importantes sont confrontées aux mêmes obligations, mais celles qui relèvent de la deuxième catégorie sont soumises à un régime d’application plus léger.

Les secteurs habituels sont couverts – infrastructures énergétiques, aéroports, chemins de fer, santé, eau, banques – mais il existe également une liste plus large qui comprend les fournisseurs de cloud, les data centers, les réseaux publics de communications électroniques, les fournisseurs de services gérés, les services postaux, la production alimentaire, les eaux usées, la gestion des déchets, la fabrication de produits chimiques, le secteur spatial, etc. NIS2 couvre également les organes de l’administration publique aux niveaux central et régional, mais exclut les parlements et les banques centrales. Guillaume Poupard, Directeur de l’ANSSI en France, a estimé que la nouvelle directive allait couvrir dix fois plus de secteurs que la première version de NIS.

Les États membres peuvent également ajouter certaines entités à leur liste nationale, telles que les administrations locales, les établissements d’enseignement et les entreprises n’atteignant pas le seuil de taille mais considérées comme critiques pour le pays. Cela sera décidé ultérieurement par les gouvernements nationaux, qui disposeront de 27 mois pour établir leur liste d’entités essentielles et importantes après l’entrée en vigueur de la directive (jusqu’en mars ou avril 2025).

Quelles sont les nouvelles obligations dans le cadre de NIS2 ?

L’un des plus grands changements imposés par NIS2 concerne les obligations de signalement des incidents.

Conformément à NIS2, les incidents « importants » doivent être signalés dans les 24 heures. Pour éviter que les définitions et les seuils ne varient d’un État membre à l’autre, la Commission européenne définira les cas où les incidents sont jugés importants, mais le champ d’interprétation sera probablement large.

Des délais plus courts

Les entités essentielles et importantes doivent signaler les incidents aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente. NIS2 introduit un processus en trois étapes pour les délais de déclaration :

• Une alerte précoce doit être donnée dans les 24 heures « après avoir pris connaissance de l’incident ». 
  
  
• Cette alerte sera suivie d’une notification complète dans les 72 heures, qui devra inclure une évaluation initiale de l’incident.
  
  
• Un rapport final devra être présenté dans un délai d’un mois à compter de la notification de l’incident. Il comprendra une description détaillée de l’incident, le type de menace en jeu et l’impact transfrontalier.

Ces délais sont courts, mais Splunk aide les équipes de sécurité et informatiques à les respecter grâce à des outils de détection précoce et à des processus automatisés. Par exemple, l’équipe des opérations de sécurité d’.italo, fournisseur de services essentiels (transports publics) en Italie, utilise Splunk et Splunk Enterprise Security pour détecter rapidement les problèmes de sécurité, mener les investigations nécessaires et y répondre. Grâce à la centralisation des données d’audit, et parce que le puissant langage de traitement de recherche (SPL) de Splunk permet d’interroger rétrospectivement les événements, les équipes SecOps peuvent produire une analyse post-mortem et un rapport complet en quelques jours, et non plus en quelques semaines.

NIS2 exige également que les entités concernées mettent en place une liste de mesures de gestion des risques.

La liste suivante décrit un minimum ; les organisations sont tenues de mettre en place une mesure de gestion des risques dans chacun des domaines suivants :

• les politiques d’analyse des risques et de sécurité des systèmes d’information ;
  
  
• la gestion des incidents ;
  
  
• la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
  
  
• la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
  
  
• les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
  
  
• les stratégies et procédures concernant l’utilisation de la cryptographie et, le cas échéant, le chiffrement ;
  
  
• la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs.

Splunk peut vous aider

Splunk ne peut pas déployer vos stratégies de cryptographie et de sécurité à votre place, mais il est essentiel que vous puissiez superviser le bon fonctionnent de ces mesures une fois en place. Splunk possède une expérience avérée dans bon nombre de ces domaines et vous permet de :

• fournir les données nécessaires pour une prise en charge et une réponse plus performantes face aux incidents, à ceux qui en ont besoin, quand ils en ont besoin. Le but est à la fois de respecter l’exigence de notification d’incident sous 24 heures de NIS2 et d’augmenter l’efficacité de l’analyse des causes profondes pour le rapport sous 72 heures ;
  
  
• collecter et analyser des données sur les incidents de sécurité et l’exposition aux risques en temps réel, en les enrichissant avec l’évaluation dynamique des risques, pour une meilleure hiérarchisation des incidents ;
  
  
• déterminer rapidement la disponibilité des services critiques, exploiter les données pour trouver la cause profonde des interruptions de service et collaborer avec les équipes opérationnelles pour résoudre l’incident ;
  
  
• détecter les cyberattaques plus rapidement et plus en amont de la chaîne d’attaque, grâce à des détections basées sur des règles, des statistiques et le ML. Le but est de réduire les attaques à des « quasi-incidents » plutôt qu’à des « incidents de cybersécurité de grande envergure » ;
  
  
• exploiter de puissantes pratiques d’ingénierie de détection et accélérer la mise en production de nouvelles techniques de détection pour une amélioration rapide de la couverture et de la visibilité ;
  
  
• mettre en place une plateforme semi-automatisée pour relier des outils indépendants au sein de la pratique de cybersécurité, afin de débloquer les goulets d’étranglement, synchroniser les efforts inter-équipes et gagner encore en efficacité ;
  
  
• exploiter la threat intelligence, et partager les données de sécurité pertinentes avec les institutions gouvernementales, les fournisseurs et les autres acteurs du secteur ;
  
  
• auditer l’accès aux données, y compris sur des volumes importants, pour vérifier que les stratégies fonctionnent et que les données sont traitées de manière sécurisée et conforme ;
  
  
• superviser l’application des correctifs, créer un inventaire des actifs et vérifier la mise en œuvre des stratégies de cyberhygiène pour suivre l’exposition aux risques et présenter facilement des informations de sécurité, pour les audits réguliers comme pour les demandes ponctuelles des organismes de régulation ;
  
  
• développer des capacités et des pratiques matures en s’appuyant sur l’extensibilité et l’interopérabilité de Splunk, permises par notre utilisation de l’Open Cybersecurity Schema Framework (OCSF) et des normes OpenTelemetry (OTel).

De plus, Splunk propose une version gratuite et une formation en ligne gratuite destinées aux petites et micro-entreprises désireuses de mettre en place la journalisation.

Étapes suivantes

Les gouvernements nationaux ont jusqu’à septembre 2024 pour mettre en place une législation nationale reflétant les obligations de la directive européenne. En France, l'ANSSI a prévu de transposer le texte dans les prochains mois, sans précision pour le moment sur le calendrier exact de cette transposition. De nombreuses organisations étudient déjà les modalités d’une mise en conformité afin d’être prêtes dans les temps.

Splunk suivra attentivement la transposition de NIS2 par les gouvernements nationaux, pour respecter les éventuelles différences de mise en œuvre, et continuera à soutenir ses clients dans chaque État membre.

Nous vous tiendrons informés des prochains développements de l’implémentation de NIS2. Ne manquez pas non plus l’enregistrement de la conversation informelle avec nos experts Splunk.

Je remercie particulièrement Clara Lemaire et Matthias Maier pour leur collaboration à la rédaction de cet article de blog.

*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.