Le CESIN, association professionnelle des responsables de la cybersécurité en France, s'est récemment engagé dans une collaboration avec l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) concernant la transposition nationale de la directive européenne NIS2. L’objectif ? Rassembler les attentes des acteurs de la cybersécurité et mieux répondre aux défis posés par cette nouvelle directive.
Category
🗞
NewsTranscription
00:00Alors je dis trois questions mais en fait ça va être beaucoup plus parce que ce sujet mérite davantage.
00:08On va faire un point sur la transposition d'une directive européenne majeure en matière de cybersécurité.
00:14Elle s'appelle NIS2 et Alain Bouillet est avec moi pour nous en parler. Bonjour Alain.
00:19Bonjour.
00:19Vous êtes ancien RSSI responsable donc de la sécurité des systèmes d'information de la Caisse des dépôts et consignations.
00:25Vous êtes le cofondateur et aujourd'hui délégué général du CES1 qui est le club des experts de la sécurité de l'information et du numérique.
00:32C'est une association qui rassemble donc les responsables de la cybersécurité qui compte parmi ses membres plusieurs organismes, institutions.
00:40On peut citer l'ANSI, l'Agence nationale de sécurité des systèmes d'information, la gendarmerie nationale, la CNIL mais aussi le ministère de la justice,
00:48le ministère de l'intérieur, cybermalveillance.gouv.fr et j'en passe.
00:53Et donc le CES1 s'est récemment engagé dans une collaboration avec l'ANSI concernant la transposition nationale de cette directive NIS2.
01:02J'aurais qu'on fasse un petit rappel sur ce qu'est NIS1 et puis pourquoi ce NIS2 n'est pas simplement une évolution d'un NIS1 mais quelque chose de bien plus important.
01:14Très bien on va essayer de faire ça. Alors NIS, Network and Information Security, on a eu effectivement la directive NIS1 il y a quelques années.
01:25Et aujourd'hui l'objectif c'est pas de prendre NIS1 et simplement d'élargir le périmètre. C'est plus fin que ça évidemment.
01:33Pourquoi ? Qu'est-ce qui a changé en un temps ?
01:37NIS1 c'était vraiment destiné aux grandes entreprises stratégiques qu'on avait eues avant les OIV.
01:43Ces grandes entreprises stratégiques qui contribuent finalement au fonctionnement de l'Etat, il fallait en effet qu'elles aient un niveau de sécurité à l'état de l'art.
01:54Et c'était OIV, NIS1, grosso modo 500 entreprises étaient concernées.
02:00Là on change de dimension puisqu'on parle d'une quinzaine de milliers d'entreprises qui vont être en France sujetties à NIS2.
02:09C'est une directive européenne, c'est-à-dire qu'elle se décline dans chaque pays européen.
02:13Et l'objectif premier c'est déjà d'harmoniser les mesures de sécurité qu'on va mettre en place dans les entreprises en premier lieu.
02:21Mais évidemment 15 000 entreprises, il n'y a pas que des grandes.
02:25Il y a des entreprises qui sont assujetties à NIS1 aujourd'hui qui vont être assujetties à NIS2.
02:29Et pour lequel finalement le périmètre va simplement augmenter de ce qui va être contrôlé.
02:35Tandis que d'autres entreprises qui sont assujetties à rien aujourd'hui vont découvrir le merveilleux monde de la réglementation.
02:43On passe de zéro à NIS2, ça doit faire tout de suite un saut important.
02:50Parce qu'effectivement il y a des entreprises aujourd'hui membres du CES1 qui ont des gouvernants sécurité, des organisations sécurité.
02:58Elles sont assujetties à rien mais quand elles vont avoir NIS2 qui va les réguler, ça ne sera pas un saut quantique.
03:04Ça va être quelque chose d'assez léger.
03:07Par contre les quelques milliers d'entreprises qui aujourd'hui sont au degré zéro de la cyber,
03:15et bien effectivement ça va être pour elles quelque chose de très important.
03:19Et du coup ce qu'a fait le législateur c'est qu'il a créé plusieurs niveaux d'entités.
03:26Alors on a les entités essentielles et les entités importantes.
03:31Alors pour schématiser les entités essentielles ça va être les grosses entreprises,
03:34celles qui contribuent fortement je dirais à la continuité du pays.
03:38Et puis les entités importantes ça va être celles qui sont certes importantes mais un peu moins essentielles que les autres.
03:45Par exemple alors, on parle de qui qui aujourd'hui est au niveau zéro je dirais des obligations en matière de cybersécurité au niveau européen
03:53et qui va d'un seul coup devoir adopter ces réglementations NIS2 ?
03:58On parle de qui ? On parle des collectivités territoriales par exemple ?
04:01Certaines collectivités vont effectivement être dans le scope, c'est encore en cours de discussion.
04:08Mais vous avez par exemple des entités comme les transports par exemple.
04:16Les transports NIS1, OIV, on avait la RATP, la SNCF, on avait bref des gens qui ont depuis des années mis en place ce qu'il fallait en matière de cyber
04:27et qui avec NIS2 auront peut-être un périmètre qui va augmenter mais bon ce sera encore une fois sans trop de douleur.
04:34Mais les transports c'est pas que la SNCF et la RATP.
04:37Donc vous pouvez avoir des quiriels d'entreprises qui contribuent effectivement à la bonne marge du pays dans le domaine du transport
04:44et qui vont se retrouver en effet sous le joug de NIS2.
04:48Et ça peut être des entreprises de petite taille ?
04:51Oui alors vous prenez...
04:52En fait la dimension de l'entreprise n'est pas le critère retenu ?
04:55Si si alors il y a plusieurs critères qui sont retenus justement et ces critères sont pas toujours très limpides.
05:01Pour l'instant je dirais que nous on a un tiers de nos membres qui disent bon on sait pas finalement si on sera dedans ou si on sera pas dedans.
05:12C'est embêtant quand même comment est-ce possible ?
05:14Oui parce qu'en fait si vous voulez le problème c'est que quand vous avez des grandes entreprises, des grands groupes avec plusieurs filiales,
05:21des filiales qui peuvent être présentes dans plusieurs pays européens, qui peuvent être en dehors de l'Europe, est-ce que je suis dedans, est-ce que je suis pas dedans,
05:27quelle législation va s'appliquer à moi, celle de la Belgique, celle de l'Allemagne, celle de la France etc.
05:33Parce qu'il faut pas oublier que c'est une directive et quand une directive est déployée au sein de l'Europe,
05:39chaque pays l'ajuste avec des limites évidemment mais quand même l'ajuste et on peut se retrouver en effet avec des distorsions d'un pays à un autre.
05:48Et c'est pour ça que pour un certain nombre d'entités c'est compliqué.
05:51Si on prend un autre exemple peut-être plus parlant c'est le secteur alimentaire.
05:56Le secteur alimentaire était très peu régulé en matière de cyber, il est extrêmement régulé sur la santé et sur la protection des clients
06:02mais pas du tout pratiquement sur la sécurité.
06:06Bon ben vous prenez des grandes enseignes, je vais citer Carrefour, Intermarché etc.
06:11Il est évident qu'ils seront dans le scope de Nice 2 mais jusqu'où on va ?
06:15Jusqu'aux fournisseurs de beurre, de jambon, de l'abattoir qui va fournir les viandes etc.
06:21Donc c'est là en fait où le spectre aujourd'hui est encore flou et en cours de discussion.
06:29Et vous nous dites que c'est un des premiers enseignements des travaux justement que vous menez avec l'Annecy,
06:34c'est cette question de flou qui règne encore sur les critères d'éligibilité à Nice 2.
06:42Il y a aussi cette notion de plus grande coopération qui va s'imposer en matière de cybersécurité entre les Etats membres.
06:50C'est ça, alors une coopération entre les Etats membres.
06:53Il ne faut pas oublier que cette directive elle est aussi destinée, enfin je l'ai dit,
06:58mais à vraiment harmoniser ce qui va se passer au niveau de l'Europe et à avoir effectivement une meilleure coopération.
07:07C'est un peu comme les tempêtes ou les dégâts naturels, c'est-à-dire que quand vous avez une cyberattaque,
07:13elle ne s'arrête pas à la frontière du pays.
07:16Donc la coopération est essentielle en ce domaine, on faisait du mieux qu'on pouvait jusqu'à présent,
07:22maintenant il y aura une réglementation qui nous mettra dans un cadre qui sera effectivement beaucoup plus efficace.
07:29Et donc ça veut dire qu'on va devoir communiquer sur les incidents de cybersécurité que l'on subit ?
07:35Voilà, alors ça ce n'est pas la chose la plus facile à admettre pour les entités qui aujourd'hui ne sont pas régulées
07:45et n'ont pas cette habitude de communiquer.
07:48L'attaque informatique est quand même restée assez longtemps une maladie honteuse.
07:54On essayait de moins en parler le possible parce qu'effectivement ça peut montrer une faiblesse évidemment de l'entreprise.
08:05Ça ne donne pas une bonne image dans l'entreprise.
08:09Donc il va y avoir d'un côté les incidents majeurs et ceux sur lesquels on sera moins tenu de communiquer, expliquez-nous.
08:16Voilà, alors la classification des incidents en incidents majeurs etc. je crois que personne n'est d'accord, c'est à peu près clair.
08:25Là aussi c'est un problème de définition de qu'est-ce qu'un incident majeur ?
08:29Voilà, mais nous on a proposé un truc très simple, alors je ne sais pas s'il sera retenu,
08:34c'est de dire pour nous un incident il est majeur s'il est rapporté au COMEX.
08:39Si le COMEX n'a pas à être informé des turpitudes quotidiennes de l'informatique, alors ça n'est pas un incident majeur.
08:49Alors il y aura peut-être des tentations du coup de ne pas faire remonter tous les incidents COMEX.
08:54À un moment donné quand il n'y a plus rien qui marche, il vaut mieux que le COMEX soit au courant quand même.
08:58Donc plus sérieusement, je pense qu'effectivement cette notion de transparence par rapport à ce qui se passe,
09:05pour nous elle est essentielle et il n'est pas question évidemment de cacher la poussière sous le tapis.
09:11Mais en effet, par exemple dans la directrive il y a un truc qui nous étonne un peu, il y a ce qu'on appelle les incidents évités.
09:20Les incidents évités il y en a des millions par jour, parce que finalement quand vous avez fait votre travail vous évitez plein d'incidents.
09:25Donc ces notions-là méritent très largement encore d'être discutées et nous en avons effectivement, nous avons déjà abordé cette discussion.
09:34Et pour les incidents mineurs, vous proposez un anonymat.
09:38Oui parce que, bon, qu'est-ce qui compte finalement ? C'est de savoir que tel ou tel groupe attaque en ce moment tel ou tel type d'activité.
09:52Peu importe finalement que ce soit Pierre-Paul Jacques qui soit ciblé.
09:57Ce qui compte c'est de savoir qu'effectivement parce que je suis dans tel secteur d'activité, parce qu'il y a un groupe d'activistes qui se manifeste en ce moment,
10:06alors je peux être la cible effectivement.
10:08Mais en revanche il y a un devoir de communication quand même auprès de la CNIL pour les données personnelles des clients, des sous-traitants ou des utilisateurs
10:16qui auraient été mis en danger par cette attaque même si elle est mineure.
10:20Oui mais ce qu'il faut voir c'est qu'effectivement la CNIL c'est pareil, il y a des seuils, vous n'êtes pas obligé de déclarer des trucs très mineurs
10:31qui peuvent se passer sur les données à caractère personnel.
10:34Là on est vraiment sur des choses relativement sensibles d'un point de vue, encore une fois, image, d'un point de vue continuité de l'entreprise, etc.
10:47Et je pense qu'effectivement ce point d'achoppement sur ce qu'est un incident critique, ce qu'est un incident évité si cette notion est retenue,
10:59on a encore un petit peu de discussion.
11:03Et sur l'anonymat, comment sera protégé l'anonymat de l'entreprise qui déclare un incident mineur ?
11:08Bon ça c'est assez... Oui on sait anonymiser les données sans problème.
11:13Bon, l'agenda, je voulais qu'on parle de l'agenda parce que cette directive a été publiée au journal officiel de l'Union Européenne en décembre 2022.
11:22Quel est le calendrier en France ?
11:24Alors le calendrier, d'ailleurs il est commun avec tout le monde, c'est le mois d'octobre.
11:31Les états membres qui sont en retard.
11:33On doit transposer cette directive au mois d'octobre 2024, dernier délai.
11:41Alors ça n'aura échappé à personne qu'entre les Jeux Olympiques en France, les élections européennes, si j'en mets dans le bon ordre.
11:52Bref, ça fait tout ça, ça fait des événements qui sont en effet un petit peu perturbateurs sur ce calendrier.
11:59Donc on peut dire que la France a toujours été bonne élève en la matière.
12:04On a toujours été plutôt en avance. Bon là on a vu que la Belgique a tiré les premiers, ils ont transposé cette semaine je crois.
12:12Bon, il n'y a aucune raison pour l'instant, à ma connaissance, qu'on ne transpose pas en temps voulu et qu'on ait effectivement besoin d'un délai supplémentaire.
12:24Ceux qui vont avoir besoin de délais supplémentaires, ça va être les entreprises.
12:28Parce qu'effectivement, aujourd'hui, quand vous allez découvrir, parce qu'il y en a qui ne le savent pas encore, qu'ils sont assujettis,
12:38bon, encore une fois, en fonction de l'état de la cybersécurité de l'entreprise.
12:44C'est ça, il y a un délai qui est prévu j'imagine.
12:46Il y a un délai qui est prévu, il y a déjà des entreprises qui disent que le délai est un peu court et qu'il va falloir le négocier.
12:53Il y a aussi des entreprises qui disent, mais voilà, financièrement, comment je fais ? Est-ce que je pourrais aussi bénéficier de soutien financier ?
13:03Toutes ces questions-là, pour l'instant...
13:05Vous avez la réponse Alain, là-dessus ?
13:06Je n'ai pas la réponse et je n'ai malheureusement pas les réserves monétaires pour pouvoir assurer ça.
13:12Dites-moi, je voulais savoir, parce qu'on parle beaucoup en ce moment de la question des ingérences étrangères dans l'espace numérique.
13:18Est-ce que CNIS 2, par exemple, va mieux nous protéger sur ce point-là ?
13:22C'est le but. En fait, on se rend compte que je crois que ces 60% des attaques aujourd'hui réussies sur les entreprises
13:30ne sont pas le fait d'attaquer directement l'entreprise, mais on passe par le fournisseur.
13:36Ça veut dire qu'aujourd'hui, moi, je ne vais pas attaquer EDF ou Total, je vais passer par un fournisseur,
13:43et ce fournisseur, il a peut-être des portes d'entrée plus faciles à ouvrir que chez Total, et du coup, je vais rentrer.
13:51Alors, peut-être pas chez Total, mais en tout cas, c'est l'exemple.
13:55Donc, ce qu'il faut bien voir, c'est que cette directive va aussi s'intéresser à ces questions de fournisseurs.
14:02Alors, il y a des fournisseurs qui vont se retrouver...
14:05Mais là, moi, je vous parlais d'ingérences étrangères.
14:08Je vous parlais d'ingérences étrangères dans l'espace numérique parce que ça passe par les fournisseurs.
14:12Mais bien sûr, bien sûr, parce qu'en fait, le cyberattaquant, il va chercher à trouver la porte ou la fenêtre qui est ouverte.
14:21Donc, mieux on sera protégé tout autour aussi de nos grandes organisations, plus on sera à l'abri de ces nouveaux risques numériques.
14:30Oui, mais le problème, c'est que les entreprises externalisent à tout va.
14:35On externalise tout maintenant. Enfin, on parle pas que simplement de l'externalisation informatique.
14:40On parle bien évidemment de tout un tas de secteurs d'activité où les fournisseurs sont absolument pas...
14:47Je parlais de l'environnement alimentaire tout à l'heure.
14:51Les fournisseurs sont absolument pas sensibilisés à ces questions-là.
14:55Donc, NIS2 va s'occuper de ça et du coup, va contribuer à petit à petit refermer les portes et les fenêtres chez ses fournisseurs.
15:04Merci beaucoup Alain Bouillet pour toutes ces explications sur ce sujet d'importance.
15:08Je rappelle, vous êtes le délégué général du Cézanne. Merci encore.
15:11Merci.