> Data > NIS2 : le CESIN mobilise ses membres

NIS2 : le CESIN mobilise ses membres

Data - Par Sabine Terrey - Publié le 19 avril 2024
email

L’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a sollicité l’expertise du CESIN dans le cadre de la transposition nationale de la directive européenne NIS2. Retour sur les enseignements.

NIS2 : le CESIN mobilise ses membres

Consultation en 3 phases

Le CESIN a mobilisé ses membres pour collecter leurs remarques, avis et propositions dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2), avec des enquêtes et ateliers-débats autour des questions et textes soumis par l’ANSSI. Résultat : 150 membres du CESIN ont exprimé leurs opinions et contribuer à cette consultation. Le panel est constitué de membres issus d’ETI et de grandes entreprises, dont 30% ont une implantation internationale. Parmi les membres du CESIN ayant contribué :

  • 25% pensent que leur entreprise est assujettie à NIS2 en tant qu’Entreprise Essentielle (EE)
  • 19% en tant qu’Entreprise Importante (EI),
  • 23% pensent que leur entreprise n’est pas assujettie
  • un tiers ne sait pas déterminer si leur entreprise sera assujettie.

Les critères d’éligibilité à NIS2

Enseignement N°1, les critères d’éligibilité à NIS2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé. Cette difficulté de positionnement ne semble pas corrélée à la taille de l’entreprise, ni à son implantation.

En matière de gestion d’incidents, les entreprises disposent d’équipes internes ou externes prêtes à prendre en charge rapidement des incidents cyber (86%) et une petite majorité d’entre elles (71% des EE, mais seulement une EI sur deux) pourraient mettre en place des dispositifs d’astreinte, à défaut de pouvoir assurer une disponibilité 24/7.

Un incident classé important

La définition d’un incident classé « important » suscite des commentaires. Un critère simple a émergé : un incident important est un incident notifié au COMEX de l’entreprise. Exprimé autrement, un incident qui ne remonte pas au COMEX, n’est pas jugé important. La qualification de l’incident important devrait être liée au métier de l’entreprise et à la structure de son ou de ses Systèmes d’Information, notamment pour les grandes entreprises qui ont des SI et organisations plus ou moins centralisés, et pour lesquelles la notion d’incident important peut avoir des sens très différents.

En plus d’une définition formelle, le CESIN suggère que le critère d’importance d’un incident soit adaptable aux spécificités propres à chaque entreprise. Pour les autres incidents, il propose de les qualifier d’incidents « mineurs » plutôt que d’incidents « évités ». Certains incidents, bien que contenus et ayant un impact limité, sont néanmoins pertinents à notifier pour comprendre les modes d’attaques et enrichir les statistiques sur les menaces.

Une stratégie de notification des incidents

Le CESIN propose une stratégie de notification des incidents qui va dans le sens d’une meilleure connaissance globale des volumes et formes de menaces. Les incidents importants seraient déclarables, suivant une procédure et qui ne doit pas emboliser les ressources en charge de gérer une crise.

Les incidents mineurs pourraient être déclarables de façon facultative et seraient alors enregistrés de façon anonymisée par le régulateur. Alain Bouillé, délégué général et porte-parole du CESIN, confirme : « Nous considérons que cet anonymat est la seule possibilité de favoriser un partage réel d’information sur les menaces, leur volume et leur nature. Cela permet aussi de lever les freins à la déclaration. »

La cartographie des entreprises et du SI

Le CESIN suggère que les entreprises ne se décrivent pas à travers leurs entités légales, mais plutôt qu’elles fournissent une vision opérationnelle de leur organisation, en lien avec leur SI. Cela implique de détailler la structure sur laquelle les mesures de prévention et de cyberdéfense sont déployées et appliquées, pour permettre notamment de mieux comprendre la surface d’attaque d’une entreprise.

Les plans d’adressage pour les actifs exposés devraient tenir compte des architectures de plus en plus tournées vers le cloud, avec un certain nombre d’IP exposées qui ne sont plus privatives, mais mutualisées ; d’autant que ces surfaces exposées publiquement évoluent constamment. Les formats et méthodes pour les transmettre à l’opérateur devront être efficaces et industrialisables pour que l’opérateur puisse avoir une cartographie à jour.

La qualité des livrables produits par l’ANSSI

Les membres du CESIN soulignent la qualité des livrables produits par l’ANSSI, et leur utilité au quotidien. Ils aimeraient pouvoir en disposer sous un format plus facilement intégrable dans les politiques de sécurité des entreprises, avec un historique des versions, et des documents traduits en anglais utiles aux acteurs internationaux.

Le CESIN propose que les experts et auteurs de ces documents puissent les présenter lors de webinars et qu’il y ait des espaces pour questionner l’ANSSI sur certains contenus, voire y contribuer.

Les mesures de sécurité

La phase 3 de la consultation de l’ANSSI portait sur les mesures de sécurité. Les membres du CESIN qui ont répondu à l’enquête jugent très largement que ces mesures sont claires (90%), tandis que 70% d’entre eux pressentent des difficultés pour leur mise en œuvre.

Alors qu’une EE sur deux ne pense pas pouvoir intégrer des mesures complémentaires, 71% des EI se disent prêtes à monter le curseur des mesures. Globalement, 82% des EE jugent les objectifs au bon niveau d’exigence, contre 61% chez les EI. Un quart des EI ne se prononcent pas sur le niveau d’exigence. Dans l’ensemble, les membres du CESIN jugent satisfaisant que le niveau attendu pour les EI ne soit pas trop élevé d’emblée, cela permet d’entrer progressivement dans la dynamique de cette nouvelle conformité.

Réflexions complémentaires

  • Des mesures de sécurité ajustées

Les mesures de sécurité pourraient être ajustées afin de mieux intégrer l’impact croissant du cloud dans les systèmes d’information des entreprises. En particulier sur les aspects tels que la gestion des réseaux, la segmentation, l’accès, la surveillance, la protection des données et la résilience. Notamment au plan des responsabilités et des processus de gestion en cas d’incident.

  • Les risques & les dommages collatéraux

Les risques liés aux tiers restent très centrés sur les risques en lien avec des interconnexions entre les entreprises et leurs partenaires externes. Or, il est important de tenir compte des dommages collatéraux, notamment les violations de données qui peuvent découler de facteurs indirects et engendrer des impacts, au-delà des seuls risques liés à la connectivité.

  • La gestion des identités et des accès & MFA

D’autres interrogations émergent concernant la gestion des identités et des accès, appelant à clarifier les aspects relatifs aux facteurs d’authentification et au multi-facteur (MFA) : quand les utiliser, et sous quelles conditions ? Car le MFA lui-même doit être sécurisé, puisque de nombreux scénarios d’attaques cherchent à le contourner. Les processus de gestion des facteurs d’authentification renforcés, sur la base d’exigences plus détaillées. Des mesures spécifiques pourraient être définies pour la fédération d’identité, l’accès conditionnel et le Single-Sign-On, qui constituent des éléments structurants des nouvelles architectures d’accès.

  • Terminaux & BYOD

Les membres s’étonnent de ce qui peut sembler être une acceptation du BYOD pour les EI. Une posture incompatible avec d’autres règles qui demandent par exemple, des restrictions sur les droits d’administration des terminaux ou l’installation libre de composants non approuvés.

  • La dimension détection et surveillance

La dimension détection et surveillance est pour le moment absente des obligations des EI. Selon Frank Van Caenegem, administrateur du CESIN et co-organisateur des sessions de consultation avec les membres du club : « Sans un minimum de capacité à tracer et surveiller, il est considéré qu’une entreprise ne peut pas faire face à des incidents. Nous avons tous que la seule prévention ne sera jamais suffisante, et que des incidents surviendront forcément. » Les membres du CESIN recommandent donc des mesures a minima sur ce pilier essentiel de la cybersécurité, pour permettre de détecter, contenir, investiguer, trouver les portes d’entrée et de sortie des attaques. A défaut, la réponse aux incidents est quasi impossible et le risque d’aggravation est élevé.

  • Des propositions adaptées au contexte actuel des organisations et SI en France.

Le CESIN a pu participer activement aux trois phases de la consultation en collectant et consolidant les réactions et propositions de ses membres. Le CESIN joue un rôle significatif en tant que témoin direct des défis en matière de cybersécurité auxquels font face les entreprises, et des orientations permettant de renforcer le niveau de sécurité. Mylène Jarossay, Présidente du CESIN, ajoute que « La consultation menée par l’ANSSI pour la transposition nationale de NIS2 est une opportunité pour le CESIN d’apporter des propositions concrètes et adaptées au contexte actuel des organisations et des SI en France. Le CESIN est pleinement engagé et nous sommes ravis de mobiliser notre expertise collective pour éclairer les décisions stratégiques en matière de cyberdéfense. Nous restons disponibles pour soutenir toute initiative complémentaire de l’ANSSI et continuer à œuvrer ensemble pour la sécurité de nos entreprises et de notre pays. »

Dossiers complémentaires sur le thème des propositions et réflexions du CESIN avec les experts du site iTPro.fr

Présidentielles 2022 : les 10 propositions du CESIN pour la cybersécurité

Baromètre annuel du CESIN : Cybersécurité des entreprises françaises

Indemnisation par les cyber-assurances : le CESIN réagit au nouveau cadre réglementaire

Téléchargez cette ressource

Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’entreprise

Le livre blanc "The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.

Data - Par Sabine Terrey - Publié le 19 avril 2024