NIS fait, NIS à faire ?
Hop, à la corbeille le brouillon sur NIS commencé il y a quelques mois. Finalement, à l’époque, ça se résumait en « les ESN et sociétés de conseil veulent taper dedans » et « tout le monde cherche dans quelle case se ranger pour ne pas être concerné par NIS ». Je change mon fusil d’épaule et on va juste parler de ce qu’est NIS (et gare au premier qui me sort à nouveau du Brice ou de la salade… 😀 ).
NIS (pour Network and Information Security), c’est une directive européenne qui traite de… cybersécurité. (Vous vous attendiez à quoi, ici ?). Voyons d’où elle sort, pourquoi elle existe…
NIS est donc une directive, pour commencer à poser les bases. C’est-à-dire (rappel de ce que je disais concernant le RGPD) qu’elle nécessite une transposition dans le droit des différents États membres pour être applicable, contrairement au règlement. Une partie est également publiée sous forme de règlement. Le délai pour cette transposition nous menait gentiment à mai 2018.
Aujourd’hui, elle s’applique donc de plein droit, car transposée en France (Loi n°2018-133 du 26 février 2018, à laquelle on ajoute pour faire bonne mesure trois arrêtés et un décret).
Pourquoi une directive de ce genre ?
Comme bien d’autres thématiques, la prise en compte de la cybersécurité varie d’un pays à l’autre, et d’une entreprise à l’autre.
Certaines organisations sont plus vitales que d’autres pour le fonctionnement d’un État. Elles doivent donc être mieux protégées, car souvent plus exposées à des risques et menaces cyber.
NIS a pour objectif de contribuer à cette protection, en définissant deux types d’organisations concernées et en y appliquant un socle commun (et élevé) concernant la sécurité des réseaux et des systèmes d’information, tant en termes de réduction/mitigation des risques qu’en termes de réponse en cas d’attaque.
Aux origines : la LPM
Contrairement à ce que je lis/entends souvent, non, NIS n’est pas la LPM (la Loi de Programmation Militaire). Oui, de la même façon que la Loi « Informatique et Libertés » a inspiré le RGPD, on peut dire que la LPM française a été en partie reprise par la directive NIS. Mais ce sont deux textes distincts.
Au travers de la LPM, la France avait défini une entité spécifique : l’OIV, pour Opérateur d’Importance Vitale. Eh bien indépendamment de ces OIV, NIS implique une transposition en droit français de deux nouveaux types d’organisations :
- Les OSE, pour Opérateurs de Services Essentiels, qui sont publics ou privés, et offrent des services essentiels (si si) au fonctionnement de la société ou de l’économie (au hasard : ce qui touche à la fourniture d’énergie, aux banques, aux établissements de santé…) ;
- Les FSN, pour Fournisseurs de Services Numériques qui comprennent dans le cas présent toute personne morale (de plus de 50 salariés, ou dont le CA est supérieur à 10M€) qui fournit…
- une place de marché en ligne ;
- un moteur de recherche en ligne ;
- un service d’informatique en nuage.
Dans les 2 cas, c’est l’ANSSI qui peut être amenée à contrôler le respect de NIS.
Des implications concrètes pour OSE et FSN
Côté OSE :
- Analyses les risques de haut niveau ;
- Identifier les Systèmes d’Information Essentiels (SIE) ;
- Déterminer leur périmètre ;
- Déclarer les SIE et leurs évolutions ;
- Notifier les incidents à l’ANSSI ;
- Mettre en œuvre les mesures de sécurité définies par les services du Premier Ministre (23 règles) ;
- Gérer les risques, piloter la sécurité du système d’information, prévenir les incidents… ‘fin désigner un RSSI quoi !
Une OSE qui ne respecterait pas ce « contrat » s’expose à des sanctions pénales : 125 000€ en cas d’opposition à un contrôle de l’ANSSI, 75 000€ pour non-déclaration d’incidents, et 100 000€ en cas de non-respect des 23 règles de sécurité qu’on évoquait un peu plus haut.
Côté FSN, c’est un peu plus léger :
- Cartographier ses systèmes d’information ;
- Introduire une notion de gestion des risques IT dans son activité ;
- Notifier les incidents « significatifs » à l’ANSSI ;
- Mettre en place des mesures de sécurité (même liste que pour les OSE) alignées sur les risques identifiés (de la nécessité de faire une analyse propre). On doit retrouver au minimum :
- le respect des normes internationales ;
- la sécurité des systèmes et des installations ;
- la gestion de la continuité des activités (le fameux PCA/PRA) ;
- le suivi, l’audit et le contrôle de cette activité « SSI » ;
- et évidemment la gestion des incidents.
Les amendes sont réduites, comparées aux OSE, mais selon la taille de la structure, cela peut rester largement dissuasif : 75 000€ pour les manquements de sécurité, 50 000€ pour la non-déclaration d’incidents, et 100 000€ pour l’opposition à un contrôle de l’ANSSI.
Je le précise tout de même, et c’est valable pour les OSE comme pour les FSN : les amendes sont à la charge des dirigeants.
Il faut voir ce texte comme une façon de pousser une partie des entreprises françaises vers un socle commun « standardisé », notamment parce que NIS implémente clairement une partie de la norme ISO 27001. Ainsi, la marche à gravir pour une certification n’en sera que plus petite ! 🙂
Si votre entreprise dispose déjà d’une gestion de la sécurité informatique structurée, les coûts de mise en conformité sont plus que raisonnables.
Comme je ne sais pas vraiment comment conclure sur un sujet qui n’appelle aucun commentaire spécifique, on va faire simple : à la lecture des textes, NIS est une sacrée salade (NISoise, comme on me l’a dit sur Mastodon), mais au final pas particulièrement complexe à appréhender.
Si vous avez besoin d’éclaircissements spécifiques sur tel ou tel aspect (j’ai voulu faire succinct ici, et c’est déjà trop long, comme souvent), un petit message via le formulaire de contact, et j’essaierai de compléter ici au plus tôt.
Si des questions plus spécifiques/contextuelles et confidentielles se posaient, ne décrivez pas tout dans le formulaire, mais mettons-nous d’accord sur un canal plus approprié, type mail+GPG ou Signal.
Et merci à la team Masto pour le titre, parce que pour le coup je n’étais pas franchement inspiré ! 😉
