Censée être transposée dans le droit national depuis le 17 octobre 2024, la directive NIS (network and information system security) 2 renforçant la cybersécurité de milliers d'administrations et d'entreprises françaises, se fait toujours attendre. Cela n’empêche pas l’Anssi d’être à la manoeuvre pour encourager les organismes qui ne sont pas encore prêts à se mettre en ordre de marche. L'organisme a ainsi publié son référentiel cyber France (Recyf) listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2.
Pour l’instant il s’agit d’un document de travail mais il est totalement opérationnel et apporte de précieuses recommandations pour se conformer à cette directive poussée au niveau européen depuis 2022. « Tant que les travaux législatifs et réglementaires relatifs à la transposition n’ont pas eu lieu, et tant qu’il n’a pas fait l’objet d’une consultation, aucune version définitive n’est publiée par l’Agence », indique l’Anssi. « Les mesures inscrites dans ce référentiel visent un niveau de sécurité adapté pour protéger les entités contre la menace cybercriminelle de masse. Recyf intègre un principe de proportionnalité selon lequel le niveau d’effort attendu est adapté à la maturité des entités et aux ressources dont elles disposent. »
15 objectifs de sécurité communs aux entités importantes et essentielles
Ce référentiel détaille 15 objectifs de sécurité obligatoires à atteindre aussi bien pour les entités importantes qu’essentielles, mais ces dernières en ont 5 de plus. Dans le détail les objectifs communs à toutes les entités sont les suivants : recensement des SI, mise en oeuvre d’un cadre de gouvernance de la sécurité numérique, maitrise de l’écosystème, intégration de la sécurité numérique dans la gestion des ressources, maitrise des SI, maitrise des accès physiques aux locaux, sécurisation de l’architecture des SI, sécurisation des accès distants aux SI, protection des SI contre les codes malveillants, gestion des identités et des accès des utilisateurs aux systèmes, maîtrise de l’administration des SI, identification et réaction aux incidents de sécurité, continuité et reprise d’activité, réaction aux crises d’origine cyber, ainsi que exercices, tests et entrainements. Les 5 objectifs réservés aux entités essentielles sont les suivants : mise en oeuvre d’une approche par les risques, audit SSI, sécurisation de la configuration des ressources des systèmes, administration des SI depuis des ressources, et supervision SSI.
Pour chacun de ces objectifs, l’Anssi a dressé une liste de mesures à prendre (ou moyens acceptables de conformité dans son jargon). Celles-ci pourront servir aux entités concernées pour démontrer, en cas de contrôle, qu’elles mettent bien en oeuvre les moyens nécessaires pour atteindre leurs objectifs de sécurité. A noter que si 15 d'entre eux sont bien communs à la fois aux entités importantes et essentielles, certaines mesures à prendre ne seront pas toutes partagées comme on peut s’en rendre compte dans l’exemple ci-dessous concernant l'objectif sécurité en continuité et reprise d’activité.
Objectif sécurité en continuité et reprise d’activité avec description des moyens acceptables de conformité attendus pour les entités importantes (EI) et les entités essentielles (EE). crédit : Anssi
D'autres outils pour muscler sa défense cybersécurité
En parallèle, l’Anssi a aussi annoncé un outil permettant aux organisations concernées par NIS2 de comparer le Recyf à d’autres référentiels, normes ou règlementations déjà existants aux niveau sectoriel, national, européen et international. Mais aussi un service de pré-enregistrement en ligne de toutes les entités concernées par cette directive. Par ailleurs, l’agence publiera également un référentiel de mesures de sécurité basiques s’inscrivant dans le cadre de l’initiative Cyber Départ, un diagnostic cybersécurité proposé par l’Etat. Ce référentiel promet de pointer les mesures les moins coûteuses mais dont l’impact en termes de sécurisation est le plus fort.