Lutte contre la cybercriminalité : explication des nouvelles lois de l’UE sur la cybersécurité
Network and Information Security2, nom de code NIS2, est la directive européenne qui est entrée en vigueur le 17 janvier 2023 et doit être transposée dans les différents pays avant le 17 Octobre 2024.
Le but est de renforcer la cybersécurité et sauvegarder les infrastructures critiques dans les différents États membres en réponse à l’augmentation des cyber-menaces de plus en plus sophistiquées et malveillantes en établissant une stratégie de défense robuste.
Comme nous l’avons mentionné à maintes reprises, y compris dans ce blog, les évolutions technologiques, en particulier les outils d’IA, la connexion permanente de tous les appareils privés et professionnels et le télétravail, qui a pris de l’ampleur pendant la pandémie, induisent un risque cyber croissant.
À cela s’ajoute les circonstances géopolitiques mondiales, qui ont des répercussions de plus en plus dangereuses sur le réseau. Le piratage, le cyber-espionnage et la cyber-guerre parrainés par des États ne sont certainement pas nouveaux, car les tensions et les conflits mondiaux se manifestent de plus en plus dans l’espace numérique. Tout cela s’accompagne d’une professionnalisation croissante du secteur de la cybercriminalité.
Il s’agit là d’une combinaison pour le moins explosive qui accroît considérablement le risque d’attaques contre des secteurs essentiels : énergie, éducation, santé, administration publique, transports, médias et télécommunications.
Autant de secteurs qui ne peuvent pas se permettre d’interrompre leurs activités ou de mettre en péril leur précieux patrimoine de données et qui, pour cette même raison, constituent des proies très attrayantes et lucratives pour les criminels.
Une forte accélération du risque qui a incité l’Union européenne à réviser profondément la précédente directive NIS de 2016, qui était, selon beaucoup, déficiente, en émettant le NIS2.
Les objectifs et actions envisagés par la NIS2
La nouvelle directive fait donc un pas en avant nécessaire dans le domaine de la résilience numérique et de la gestion des menaces.
Elle ne se contente pas de renforcer la cybersécurité, mais souhaite établir une feuille de route pour garantir la continuité des performances économiques et promouvoir une main-d’œuvre bien formée et compétente dans le digital au sein de toutes les organisations concernées.
Pour ce faire, elle poursuit un certain nombre d’objectifs, allant de l’élargissement du champ d’application à l’élimination de la différenciation – désormais obsolète – entre les opérateurs de services essentiels et les fournisseurs de services numériques, de l’amélioration de la coordination en termes de mesures de sécurité envisagées et de ressources disponibles pour les autorités de surveillance à la réduction de la marge de manœuvre des États membres.
Pour atteindre ses objectifs, le NIS2 envisageait un certain nombre d’actions, notamment
- La mise en œuvre de pratiques de gestion des actifs afin d’identifier et de protéger les systèmes d’information et les actifs critiques.
- La communication aux autorités compétentes et le maintien des capacités de réponse aux incidents.
- La mise en œuvre de stratégies de sécurité de l’information et de protocoles de gestion des risques.
- L’établissement de protocoles de gestion des incidents, mandats de signalement et de plans d’intervention.
- L’élaboration d’une stratégie visant à assurer la continuité des services essentiels en cas de cyber-incidents.
- La mise en œuvre de mesures de sécurité des chaînes d’approvisionnement afin d’examiner et de garantir la sécurité des fournisseurs tiers.
- La formation et la sensibilisation des employés aux protocoles adaptés de sécurité informatique.
- Le signalement rapide des incidents aux organismes compétents.
- L’élimination des incohérences et le renforcement de la communication et de la coopération entre les États membres.
Les acteurs et secteurs concernés
L’une des nouveautés les plus importantes introduites par la directive NIS2 est le large éventail de secteurs impliqués.
La distinction, jugée obsolète, entre opérateurs de services essentiels et fournisseurs de services numériques est abandonnée au profit de celle entre les sujets essentiels (les sujets des secteurs hautement critiques tels que les administrations publiques et les entreprises de l’énergie, des transports, des banques, du secteur de la santé, des infrastructures numériques, etc.) et les acteurs importants (tous les acteurs des autres secteurs critiques, à partir des moyennes entreprises, tels que les services postaux et de messagerie, la gestion des déchets, les fournisseurs de services numériques, etc.).
Le champ d’application du NIS2 s’étend donc à d’autres entités, notamment à des secteurs tels que la production chimique, la fabrication de dispositifs médicaux, l’industrie alimentaire et les réseaux sociaux, qui ne relevaient pas de la compétence du NIS.
Bien que ces classifications partagent des obligations similaires, les entités principales feront l’objet d’une surveillance réglementaire et de mesures d’application plus strictes.
En vertu des critères de taille, toutes les grandes entreprises des secteurs identifiés sont automatiquement concernées, c’est-à-dire celles qui emploient plus de 250 personnes ou dont le chiffre d’affaires annuel est supérieur à 50 millions d’euros ou dont le total du bilan annuel est supérieur à 43 millions d’euros.
Sont également concernées les entreprises de taille moyenne, c’est-à-dire celles qui occupent entre 50 et 250 personnes ou dont le chiffre d’affaires annuel ou le total du bilan annuel est compris entre 10 et 50 millions d’euros ou dont le total du bilan annuel n’excède pas 43 millions d’euros, et qui opèrent dans les secteurs identifiés.
Les critères d’identification des administrations publiques sont différents, ce qui laisse une plus grande marge d’évaluation aux États membres au stade de la transposition. Enfin, un certain nombre de catégories spécifiques d’entités, y compris les petites entreprises, identifiées plus précisément dans la directive, sont ajoutées.
Il en résulte un élargissement significatif du nombre de sujets concernés par la directive : selon les estimations présentées par la Commission européenne, environ 110 000 organisations seront directement concernées, réparties, à titre indicatif, entre 67 000 sujets essentiels et 43 000 sujets importants. En France, l’ANSSI indique qu’environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.
Protection des chaines d’approvisionnement
La nouvelle directive exige des organisations qu’elles veillent à la sécurité de leur chaîne d’approvisionnement, y compris aux risques créés par les relations avec les fournisseurs.
Ce dernier aspect est crucial, car de nombreuses attaques sont dues à des vulnérabilités de fournisseurs tiers. Les organisations doivent donc évaluer la qualité et la résilience des produits et services qu’elles utilisent afin de s’assurer qu’ils ne constituent pas une vulnérabilité pour les fournisseurs de services critiques. Il est également important que les organisations évaluent la manière dont leurs fournisseurs tiers gèrent la cybersécurité et si les mesures qu’ils utilisent sont suffisamment solides pour protéger l’ensemble de la chaîne d’approvisionnement.
Afin de garantir un niveau de cybersécurité commun à tous les fournisseurs et de réduire les risques de cyber-incidents, les fournisseurs de services essentiels doivent inclure les mesures requises dans leurs contrats avec les fournisseurs tiers.
Coopération et coordination au niveau européen : EU-CyCLONe
La directive NIS2 insiste beaucoup sur la coopération entre les États membres.
En effet, la création de l’organisation EU-CyCLONe était prévue, composée de représentants des pays de l’UE chargés de la gestion des crises cyber et, si nécessaire, de représentants de la Commission Européenne.
L’objectif principal de l’EU-CyCLONe est de coordonner la manière dont les différents pays traitent les problèmes de sécurité majeurs en veillant à ce qu’ils soient bien préparés à gérer les incidents et les crises cybernétiques, à ce qu’une compréhension commune de ce qui se passe pendant ces incidents et ces crises soit développée, à ce que l’impact des incidents soit correctement évalué et à ce que les dirigeants politiques soient guidés pour prendre les meilleures décisions à cet égard.
EU-CyCLONe fera régulièrement rapport au groupe de coopération sur les principaux incidents et tendances en matière de cybersécurité, en particulier ceux qui touchent des organisations et des services essentiels.
D’ici au 17 juillet 2024, et tous les 18 mois par la suite, l’organisation fera rapport au Parlement européen et au Conseil, en décrivant ses activités récentes.
Les situations d’urgence
Afin de garantir une réaction rapide, le NIS2 exige des organisations concernées qu’elles envoient un signalement à temps à l’équipe de réaction aux incidents de sécurité informatique (CSIRT), ou à une autorité nationale compétente, dans les 24 heures suivant la survenue d’un cyber-incident important, c’est-à-dire un incident qui entraîne une perturbation majeure des processus ou une perte financière pour l’organisation, ou qui cause un dommage matériel ou immatériel important à une autre personne. Si nécessaire, les organisations peuvent également demander de l’aide pour mettre en œuvre des mesures d’atténuation. Les autorités répondront à la notification, offriront des conseils sur la manière de gérer l’incident et informeront les autres pays touchés si nécessaire.
Dans les 72 heures suivant la prise de connaissance de l’incident, l’organisation touchée doit fournir des détails sur l’attaque ainsi qu’une première évaluation des dommages. Enfin, dans le mois suivant la notification de l’incident, l’organisation concernée doit fournir un rapport contenant une description détaillée de la gravité, de l’impact, de la cause première et des mesures d’atténuation appliquées par l’organisation.
La cyber-hygiène
Les cyber-menaces devenant de plus en plus complexes et sophistiquées, il est essentiel que les organisations maintiennent un niveau de sécurité de base et des pratiques de cyber-hygiène pour protéger les infrastructures essentielles : mises à jour régulières des logiciels et du matériel, changements périodiques des mots de passe, gestion des nouvelles installations, limitations des comptes d’accès au niveau de l’administrateur et sauvegardes des données.
En outre, étant donné que de nombreuses attaques se produisent par l’intermédiaire d’appareils connectés, la formation des employés et la sensibilisation des utilisateurs aux cyber-menaces courantes sont essentielles pour renforcer la chaîne de sécurité.