NIS 2 : Qui est concerné ? Présentation de la Directive (2/4)

22 octobre 2024 / Mickaël

Par : Mickaël

Membre des équipes de Blue, Mickaël met en avant son expertise autour de la gouvernance et de la stratégie de cybersécurité. En tant que RSSI, il intervient sur des thématiques telles que la gestion des risques, la conformité, la sécurité organisationnelle et les bonnes pratiques permettant de renforcer la protection des systèmes d’information.

La directive européenne NIS 2 interroge. En effet, qui est concerné ? Qui est visé ? Quel type d'entité ? Qui doit être conforme ? Dirigeants d'entreprises, responsables informatique, directeur des systèmes d'informations... beaucoup se demandent si leur entité est concernée par NIS 2. Aujourd'hui, découvrez si l'entité que vous représentez et son secteur d'activité sont concernés par la directive.

Cet article est le deuxième d'une série proposée par Blue, portant sur NIS 2 et visant à informer chaque entité sur cette directive européenne. Besoin de savoir à quoi correspond NIS 2 ? Découvrez notre premier article sur le sujet :

Article "NIS 2 : Qu'est-ce que c'est ?"

SOMMAIRE :

NIS 2 : Témoignage de notre expert en cybersécurité

Témoignage

Maxime CLOAREC

Ingénieur Avant Vente chez Blue

Lorsqu’on est une petite entreprise, comment peut-on facilement être conforme ?

Je ne pense pas qu'il faut chercher à être conforme à la directive ou de manière générale à telle ou telle directive mais plus à considérer cela comme un levier pour demain. En effet, la directive NIS 2 formule des exigences auxquelles il faut se conformer dans le but de renforcer la sécurité de ses environnements, mais aussi d'être préparé et en capacité à faire face à une attaque informatique. Bien que difficilement applicables à des petites entreprises, quelques règles d'hygiènes vont au-delà de la bonne gestion de ses mots de passe et permettent de limiter les risques. C’est d’ailleurs ce que propose l’ANSSI dans son Guide d’hygiène informatique. Ci-après quelques exemples sous la forme d'une liste non exhaustive.

Exemple 1 - Le suivi des mises à jour :

L'un des premiers enjeux que le public a compris est qu'il est recommandé de maintenir des équipements personnels à jour pour pouvoir toujours profiter d'une expérience optimisée (téléphone, tv, box tv…). Le maintien à jour de ces solutions est ancré dans la tête des gens, pour un système d'information c'est sensiblement pareil. Nous sommes trop souvent confrontés à des environnements techniques qui n'ont pas reçu de mise à jour depuis de nombreuses années et fonctionnent sur des systèmes d'exploitation dépréciés par les éditeurs. Les raisons peuvent être multiples, mais il est recommandé de maintenir à jour ces environnements techniques en conditions de sécurité lorsque cela est possible et, dans le cas où techniquement cela n'est pas envisageable, d'isoler ces environnements dans des bulles de sécurité dédiées pour limiter la surface des attaques.

Exemple 2 - Limiter les accès :

Je prends souvent comme exemple, pour comparer la sécurité d'un système d'exploitation à un objet de la vie courante, celui de la passoire. De base pour faciliter l'administration ou le déploiement de solutions techniques, les administrateurs ont tendance à diminuer le niveau de sécurité des systèmes (passage d'utilisateur dans des groupes d'administrateurs, désactivation de pare-feux intégrés…) si votre application nécessite à vos utilisateurs d'accéder uniquement sur un port spécifique il n'est pas obligatoire d'autoriser à ceux-ci d'accéder ou d’émettre des requêtes sur tous les ports de la machine (#passoire). Limitez les accès aux stricts besoins de production.

Exemple 3 - Administrations en tiers :

Le tiering est un concept de sécurité applicable à des systèmes d’annuaires d’entreprises (Active Directory, LDAP...). L'idée étant de différencier des comptes à privilèges en fonction des couches (tiers) et périmètres fonctionnels, la finalité étant de restreindre l'utilisation d'un compte dans un tiers unique et bloquer un attaquant dans le tiers en cas de compromission.

Par exemple : en cas d'attaque de type rançongiciel (aussi appelée ransomware) seul le tiers compromis est impacté. Cela permet également de séparer les droits d'administration des Contrôleurs de Domaine, serveurs applicatifs tiers, poste de travail et ainsi limiter le risque de découverte et rejeu d'un identifiant administrateur de domaine découvert sur un poste de travail.

Exemple 4 - EDR/XDR, un petit pas pour l'homme :

Composant clé des solutions de sécurité se basant sur une analyse holistique l'EDR/XDR est un rempart simple à mettre en œuvre pour lutter contre les risques du quotidien. Les solutions EDR/XDR représentent l'évolution des antivirus et firewall traditionnels. L'EDR (Endpoint Detection and Response) se concentrera sur la surveillance des événements et la collecte des données télémétriques pour un arbitrage opéré par les équipes de cybersécurité, là où l'XDR (eXtended Detection and Response) accroît les capacités de l'EDR en mettant en corrélation plusieurs couches de sécurité (terminaux, réseaux, email…) et apporte une approche plus globale.

C'est tout l'enjeu de nos services SoC Blue Cyber, faire de la corrélation des données de nos clients pour identifier les menaces et les endiguer dès l'apparition des premiers signes de compromission. La mise en place d'un agent EDR/XDR est simple et permet un premier niveau de conformité facilement atteignable pour nos clients. La seule contrainte est liée à la version des systèmes d'exploitation vieillissants qui ne sont pas forcément pris en charge... Auquel cas les 3 premiers exemples permettent de limiter les risques. Comme évoqué l'EDR/XDR est un pas simple et rapide à faire dans une mise en conformité cyber. Nos solutions Blue Cyber et les équipes dédiées à ces besoins disposent d'un panel large d'outils permettant de travailler en profondeur les risques cyber chez nos clients en étant garant au quotidien du suivi des incidents de sécurité et de leur remédiation.

Exemple 5 - Avez-vous testé vos backups ? :

Combien d'entreprises pensent disposer de solutions de backups conformes et pleinement fonctionnelles et se rendent compte, le jour où elles doivent les utiliser, que les solutions ont été mal implémentées ou que la donnée a été détruite ? En respectant les bonnes pratiques de sécurité et de segmentation des environnements techniques liés à la sauvegarde, cela permet de se donner toutes les chances demain de pouvoir recouvrer des données viables pour redémarrer telle ou telle activités. Nos équipes maintiennent des environnements de sauvegarde dans des réseaux dédiés à ces usages et s'assurent de la bonne réalisation au quotidien des processus de sauvegarde de nos clients. Nous respectons la règle dite des 3-2-1-0 pour minimiser le risque de perte de données pour nos clients.

Ces quelques exemples représentent une liste non-exhaustive des solutions simples et économiques à mettre en œuvre pour assurer un premier niveau de sécurité de ses environnements à une menace cyber. Comme évoqué, le sujet est vaste et chaque client est différent, ce qui rend unique chaque approche et c'est là l'enjeu des workshops avec nos équipes Cyber lors de l'intégration de nouveaux clients au sein de nos services SoC.

Quel est réellement l’intérêt pour une entreprise d’être en conformité avec NIS 2 ?

Plusieurs intérêts, en plus de ceux évoqués en réponse aux questions précédentes (ndlr : la directive NIS2 formule des exigences auxquelles se conformer dans le but de renforcer la sécurité de ses environnements, mais aussi d’être préparé et en capacité à faire face à une attaque informatique).

La conformité vise à apporter une prise de conscience des risques liés à la perte de ses capacités informatiques, d’étudier et d’activer des scénarios de redémarrage, mais, au-delà de ces aspects techniques, de présenter un niveau de conformité satisfaisant vis-à-vis des assureurs, des partenaires d’affaires et également de ses salariés.

Lorsqu’un maillon d’une chaîne de production s’arrête, c’est toute la chaîne qui est mise en péril. On parle de plus en plus d’entreprises victimes, mais également coupables. Une attaque informatique peut avoir des répercussions sur les activités de tous les gens dépendants de la chaîne, du fournisseur à l’artisan local, qui peuvent eux aussi en être impactés.

Au sein d’une entreprise, les personnes décisionnaires doivent intégrer l’importance de la sécurité numérique. C’est le rôle de la direction des entreprises de devoir collaborer étroitement avec leurs services informatiques pour définir clairement les responsabilités et priorités en matière de sécurité numérique. Cela inclut :

La répartition des rôles,
La définition des droits,
Les responsabilités de chacun,
L’ordonnancement précis des actions à mener.

La dépendance croissante à l’informatique implique que toute défaillance dans ce domaine peut paralyser les services essentiels, tels que la comptabilité, les relations avec les fournisseurs ou la production cœur de l’activité de l’entreprise. Certaines entreprises sous-estiment encore les risques liés à des systèmes d’information mal protégés. Cependant, sans une cyberprotection adéquate, les pertes potentielles peuvent largement dépasser les gains.

Un mauvais entretien de l’hygiène informatique peut provoquer des pannes graves et affecter l’ensemble des processus de l’entreprise. L’impact d’un incident ne se limite d’ailleurs pas aux opérations internes : il peut se répercuter sur les partenaires commerciaux, les fournisseurs, les investisseurs, les actionnaires...

Par exemple, une fuite de données, comme des contrats ou des coordonnées bancaires, peut avoir un lourd impact pour des entreprises.

Autre exemple en interne, avec la fuite de données personnelles, telles que des bulletins de salaire ou des papiers d’identité. Ces fuites peuvent entraîner des situations d’usurpation d’identité, avec des conséquences dramatiques pour les employés.

Informez-vous sur la directive NIS 2

Posez vos questions à nos experts en cybersécurité

CONTACTER LES EXPERTS BLUE

NIS 2 : Qui est concerné par la Directive Européenne ?

Quels secteurs d’activité sont concernés par NIS 2 ?

NIS 2, qui est concerné par cette directive ? Une question que beaucoup d’entités se posent en ce moment. Avant tout, il faut savoir que par rapport à NIS 1 (aussi appelée "la directive NIS"), la nouvelle directive NIS 2 élargit considérablement le périmètre des entités soumises à des obligations renforcées en matière de cybersécurité. Elle distingue deux catégories de secteurs d'activité : les secteurs "hautement critiques" et les "autres secteurs critiques".

Secteurs "hautement critiques" :

D’après la directive, les secteurs “hautement critiques” incluent des Entités Essentielles (EE) et des Entités Importantes (EI) :

Energie : Couvrant les sous-secteurs de l'électricité, du gaz, du pétrole et de la chaleur.
Transports : Comprenant les transports aériens, ferroviaires, par voie d'eau, et routiers.
Banques : Établissements de crédit.
Infrastructures des marchés financiers : Exploitants de plateformes de négociation et contreparties centrales.
Santé : Prestataires de soins de santé, laboratoires, entités de recherche et développement, fabricants de produits pharmaceutiques et dispositifs médicaux critiques.
Eau potable et eaux usées : Entreprises responsables de l'approvisionnement et du traitement.
Infrastructures numériques : Fournisseurs de services DNS, d'hébergement de données, de réseaux de distribution de contenu, de services de cloud computing, d'échange internet et opérateurs de centres de données.
Gestion des services TIC (Technologies de l’Information et de la Communication) : Fournisseurs de services gérés et de services de sécurité gérés
Administration publique : Entité de l’administration des pouvoirs publics centraux
Espace : Exploitants d’infrastructures terrestres

Dans ces secteurs, toute interruption de services pourrait avoir des conséquences graves pour l'ensemble de la société.

“Autres secteurs critiques” :

Les autres secteurs critiques incluent uniquement des Entités Importantes (EI) et sont concernés :

Services postaux et d'expédition.
Gestion des déchets.
Fabrication, production et distribution de produits chimiques.
Production, transformation et distribution de denrées alimentaires
Fournisseurs numériques : Plateformes de marché en ligne, moteurs de recherche, et réseaux sociaux.
Recherche : Organismes de recherche.

En France, la directive s'appliquera à des milliers d'entités allant des administrations, des PME, des ETI, aux grandes entreprises, couvrant un large éventail d'activités pour l'économie et la sécurité des États membres de l'Union Européenne.

Comment savoir si mon entreprise est concernée par NIS 2 ?

L’entrée en vigueur de NIS 2 arrive, l’Union Européenne prévoyait initialement le 17 octobre 2024 comme date de l’échéance de transposition nationale pour les États membres. Même si une grande partie des travaux européens sur NIS 2 se dérouleront en 2025, il est déjà l’heure de connaitre son éligibilité.

Pour déterminer si votre entreprise est concernée par la directive NIS 2, vous devez identifier si elle appartient à l'un des secteurs critiques listés dans les annexes de la directive (PDF de la Directive disponible via eur-lex.europa.eu).

Ensuite, il vous faudra vérifier si elle remplit les critères définis pour être classée comme Entité Essentielle (EE) ou Entité Importante (EI). Ces critères incluent le secteur d’activité, le nombre d’employés, le chiffre d’affaires et le bilan annuel.

Prenons des exemples pour plusieurs entreprises concernées :

Une grande entreprise de plus de 250 employés avec un chiffre d'affaires supérieur à 50 millions d'euros et un bilan annuel dépassant 43 millions d'euros sera classée comme Entité Essentielle si elle opère dans un secteur hautement critique (Annexe 1), comme l'énergie ou les infrastructures numériques. Si cette même entreprise opère dans un autre secteur critique (Annexe 2), elle sera classée comme Entité Importante.

Une entreprise de taille moyenne, ayant entre 50 et 250 employés, un chiffre d'affaires compris entre 10 et 50 millions d'euros, et un bilan annuel entre 10 et 43 millions d'euros, sera classée comme Entité Importante qu'elle relève de l'annexe 1 ou 2, qu'elle soit, par exemple, dans le secteur de la gestion des déchets ou des services postaux.

En revanche, une micro ou petite entreprise de moins de 50 employés, avec un chiffre d'affaires inférieur à 10 millions d'euros et un bilan annuel en dessous de 10 millions d'euros, n'est pas concernée par la directive NIS 2, même si elle opère dans un secteur listé dans les annexes. Par exemple, une petite entreprise de réparation de réseaux informatiques ou un fournisseur local de services numériques ne sera pas tenu de se conformer à NIS 2.

L’évaluation ci-dessus nécessite quelques recherches pour savoir si votre entreprise est soumise à NIS 2. Pour gagner du temps et rapidement savoir si vous êtes concerné, vous pouvez utiliser le portail de l’ANSSI, nommé MonEspaceNIS2. Sur ce portail, vous trouverez un simulateur permettant d’évaluer votre besoin de conformité. Rapide et simple d’utilisation, le formulaire vous donnera une réponse claire. En plus, vous aurez également la possibilité de vous enregistrer directement en tant qu’entité concernée, si le résultat le confirme.

Par ailleurs, si vous avez besoin d'avis de spécialistes NIS2 : contactez les équipes de Blue.

Pourquoi les TPE et PME sont particulièrement concernées par NIS 2 ?

Aujourd'hui, les TPE et PME de plus en plus touchées par les cyberattaques. Le rapport Panorama de la Cybermenace de 2023, met en lumière l'augmentation préoccupante des cyberattaques ciblant les TPE et PME, en particulier sous la forme de ransomwares. En 2023, malgré une baisse générale des attaques, les petites et moyennes entreprises ont continué de subir des assauts significatifs, souvent orchestrés par des groupes de cybercriminels comme LockBit, Hive, et BlackCat. Ces attaques ont des conséquences graves, perturbant non seulement les opérations quotidiennes des entreprises mais menaçant également leur survie économique ainsi que celle de leurs partenaires. Un partenaire touché peut en compromettre un autre par rebond.

Par exemple, l'attaque sur le Centre Hospitalier Sud Francilien en août 2022 a démontré comment un ransomware peut paralyser une organisation entière, avec des coûts estimés à plusieurs millions d'euros. Pour les TPE et PME, qui disposent souvent de ressources limitées pour se protéger, ces cyberattaques représentent une menace préoccupante. La question se pose de savoir si avec une attaque conséquente, une TPE ou une PME peut vraiment se relever ?

Comment NIS 2 va protéger les TPE et PME ?

Face à cette menace croissante, la directive NIS 2 vient accompagner les TPE et PME pour se renforcer en imposant des mesures de cybersécurité plus strictes et adaptées à leur taille. Les entreprises de taille moyenne, en particulier, sont plus qu’incluses dans le champ d'application de la directive et doivent se conformer à des normes de sécurité élevées pour prévenir les cyberattaques.

NIS 2 met l'accent sur l'obligation pour ces entreprises de renforcer leurs défenses, avec des protections comme :

La supervision de sécurité de son réseau,
La maîtrise de l’administration de son système d’information,
La capacité à réagir en cas d’incident de sécurité.

Pour les petites entreprises, même si elles ne sont pas directement concernées par les obligations de NIS 2, la directive encourage une meilleure gestion des risques numériques, ce qui est vital pour leur survie en cas d’attaque.

Globalement, NIS 2 vise à créer un cadre de sécurité plus robuste pour les TPE et PME. L’objectif est de leur de mieux se défendre contre les cybermenaces croissantes et de garantir leur résilience face aux attaques.

Les collectivités territoriales sont-elles concernées par NIS 2 ?

Les collectivités territoriales peuvent être concernées par la directive NIS 2, en fonction des activités qu'elles exercent. Si une collectivité gère des services critiques tels que la gestion de l'eau, des infrastructures numériques, ou encore des services de santé, elle pourrait être classée comme une entité essentielle ou importante.

Globalement et selon les informations transmises par l’ANSSI, il appartient à chaque collectivité d'évaluer si ses activités entrent dans le périmètre des secteurs couverts par NIS 2. Les secteurs sont consultables dans les annexes de la directive.

Pour aider les collectivités dans cette démarche, l'ANSSI leur ouvrira un formulaire dédié pour connaitre leur éligibilité à NIS2. En cas de doute, des consultations peuvent être menées avec les ministères de tutelle et les associations représentatives pour s'assurer que toutes les obligations règlementaires sont bien prises en compte dans le cadre de la conformité NIS 2.

Et vous, êtes-vous impacté par NIS 2 ?

Votre entreprise est-elle visée par la mise en conformité qu’impose la directive NIS 2 ? Votre entreprise est-elle une entreprise concernées par NIS 2 ? Avec le nombre de secteurs d’activités visés, il est fortement possible que oui. Dans ce cas, c’est d’ores et déjà l’occasion pour vous d’anticiper votre conformité avec les experts NIS 2 de Blue.

Les spécialistes NIS 2 de Blue accompagnent tous leurs clients pour faciliter leur conformité NIS 2, avec l’accueil de leur infrastructure SI dans un environnement conforme.

Préparez-vous dès maintenant à votre conformité NIS 2. Contactez les spécialistes NIS 2 de Blue.