Les dessous des enjeux de NIS2

Dans un peu plus d'un an, le 17 octobre 2024, la directive européenne NIS2, adoptée par le Conseil de l'UE fin 2022, doit être transposée dans le droit hexagonal. Prolongement de la première directive NIS, datant de 2016, celle-ci marque une extension des organisations visées par des obligations en matière de cybersécurité, du fait de leur activité jugée clef pour le fonctionnement de la société. Le resserrement du calendrier a poussé Hexatrust, l'association qui regroupe les acteurs français et européens de la sécurité, à organiser une table ronde sur le sujet, lors de son université d'été, qui se tenait le 19 septembre à Paris. En réalité, l'impact de la future directive, qui distingue deux catégories d'acteurs (entités essentielles et entités importantes) soumis des obligations proportionnelles à la criticité de leurs activités, varie largement en fonction du niveau de protection actuel déployée par chaque organisation.

Ainsi, pour un industriel comme Airbus, la directive apparaît comme une prolongation des efforts déjà menés jusqu'à présent, sous la pression de textes comme la première mouture de NIS ou de la LPM (Loi de programmation militaire de 2013, qui identifie les opérateurs d'importance vitale). « La directive n'augmente pas les difficultés auxquelles nous faisons face, indique Vincent Seruch, responsable technique OT chez Airbus Protect. Il s'agit toujours de mener des interventions de sécurité sur des systèmes très opérationnels. » Pour ce spécialiste des systèmes opérationnels, l'agenda de l'année à venir reste marqué par le travail sur la cohabitation de la cyber avec les opérations, y compris sur des aspects très pratiques comme l'intégration des opérations techniques dans les plannings de production. « Nous sommes loin d'en avoir terminé avec ces sujets. C'est pour cela qu'il est important de maintenir une dynamique, c'est un des apports de NIS2. »

« Tout digitaliser implique de tout sécuriser »

Le constat est similaire chez Framatome, lui aussi déjà concerné par les textes précédents. « La contrainte de la protection des objets physiques est déjà intégrée par notre organisation, dit Thomas Epron, vice-président sénior de l'industriel du nucléaire. NIS2 s'inscrit dans la continuité de ce que nous faisons déjà. Elle nécessitera toutefois un renforcement de nos pratiques, en nous poussant à porter un regard acéré sur nos automates, que nous devrons patcher sans interruption de service. » Une gymnastique à laquelle peu d'industriels sont aujourd'hui réellement prêts et qui impose la mise en place de processus dédiés, comme des tests de non-régression. « Car, avant tout, il faut éviter que votre machine s'arrête ou se trompe », reprend Thomas Epron. Par ailleurs, pour ce dernier, il faut tenir compte de l'extension du périmètre à protéger.

« Depuis quelques années, l'injonction des directions générales consiste à tout digitaliser. Par ricochet, cela signifie qu'il faut tout protéger, y compris la moindre vanne intégrant un contrôleur électronique. On trouve désormais du code informatique partout, donc des points faibles partout. » Pour Thomas Epron, c'est cette numérisation croissante qui a poussé Framatome, avant tout spécialisé dans la maintenance des installations nucléaires, à se « jeter à corps perdu » dans le sujet. Sans oublier de réfléchir à la dimension relative au contrôle du code déployé dans les systèmes opérationnels, donc aux notions de souveraineté sur ce code. Une attente de plus en plus fréquente au sein des grandes entreprises, indique Luc d'Urso, le Pdg de l'éditeur d'outils de protection de la donnée Atempo. « Nous avons pris le parti d'éditer tous nos codes en France, ce qui a un coût non négligeable puisque le coût de revient d'un développeur y est de 100 000 euros par an, contre 20 000 en Inde », dit-il.

Impliquer plusieurs niveaux de fournisseurs

Dans un secteur totalement différent, Patrick Guyonneau, le directeur de la sécurité du groupe Orange, confirme cette extension du périmètre à sécuriser et la complexité croissante de l'exercice : « avec les API ou la virtualisation des fonctions réseau, les systèmes sont de plus en plus ouverts. La question n'est pas si, mais quand une attaque va réussir. Ce qui nous pousse à travailler sur nos fonctions de gestion de crise et à penser inter organisationnel, autrement dit à nos relations avec les États, les sous-traitants ou les autres opérateurs. » Des contraintes qui remettent les PCA/PRA, et les exercices visant à valider leur efficacité, au centre du jeu.

Si, pour Airbus ou Framatome, NIS2 apparaît donc comme une prolongation des efforts déjà entrepris, « pour d'autres industriels, tout est à faire d'ici un an ! », glisse Vincent Seruch. De facto, NIS2 s'étend à 35 secteurs d'activité (dont les administrations publiques), et à des acteurs de toutes tailles, là où la première version n'identifiait que 6 pans de l'économie concernés. « Quasiment tous nos clients y sont soumis », observe Jérôme Lecat, le Pdg de Scality, fournisseur de logiciel de stockage de données. Et devront se conformer à des obligations en matière de traitement des incidents, de divulgation de ceux-ci, de tests et audit de sécurité ou encore de sécurité de leur chaîne d'approvisionnement. Un dernier élément accueilli plutôt favorablement par les organisations déjà concernées par les textes précédents, l'extension par ricochet que dessine NIS2 permettant d'impliquer leurs fournisseurs sur plusieurs niveaux. Une garantie intéressante sur le papier, à l'heure où de nombreuses attaques ciblent des sous-traitants pour s'introduire dans des entreprises très protégées. Tout récemment d'ailleurs, Airbus a été victime d'un vol de données, trouvant son origine dans l'infection d'un poste de travail d'un employé de la compagnie aérienne turque Turkish Airlines par un malware.

Si le sujet cyber est mis sur le devant de la scène par NIS2, il ne faut pas perdre de vue le sujet dans sa globalité, avertit le Directeur de la protection et de la sécurité de l'État, Nicolas de Maistre, qui appelle les entreprises à lancer une réflexion globale sur leur sécurité. « NIS2 et une autre directive appelée REC (pour Résilience des entités critiques, NDLR) ont été négociées en même temps, lors de la présidence française de l'UE, avec la volonté d'intriquer les sujets cyber et sécurité physique. » « Les deux sujets ne peuvent plus être séparés, confirme Patrick Guyonneau, d'Orange. Rien ne sert de chiffrer les données si les salariés ont des conversations ouvertes au bar d'en face ! La convergence des deux sujets nous aide à être plus cohérents vis-à-vis des salariés. » Une cohérence qui se fait au prix d'une avalanche de textes réglementaires : NIS2 et REC devant être transposés en droit français en même temps.