Depuis mi-octobre, NIS2, deuxième mouture de la directive européenne de protection des réseaux et des systèmes d'information de secteurs économiques essentiels, a été transposée en France. Il faudra encore probablement attendre plusieurs mois et la publication des décrets, pour en connaitre les implications techniques détaillées pour les RSSI et DSI. D'autant que, si NIS1 ne concernait que quelques centaines d'organisations, le périmètre d'application de NIS2 s'étend à plusieurs milliers d'entre elles et concerne désormais l'ensemble de leur SI. Dans ces conditions, nous avons donc choisi de consacrer une émission de notre Grand Théma CIO / Le Monde Informatique « cybersécurité : assurer la résilience » à la façon dont les structures concernées pouvaient d'ores et déjà se préparer.

CHU de Brest, étendre NIS1 à tout le SI

Notre premier invité, Jean-Sylvain Chavanne, RSSI du CHU de Brest et du GHT de Bretagne Occidentale, confirme ainsi que les décrets conditionneront les ressources humaines et financières nécessaires à la mise en conformité des organisations. Mieux vaut donc ne pas attendre sans rien faire. Ainsi, le CHU de Brest, qui était déjà soumis à NIS1, a entrepris d'étendre ce niveau de conformité à l'ensemble de ses systèmes d'information. Et, comme l'indique son RSSI, il est déjà possible, voire indispensable de commencer à identifier les périmètres applicatifs visés, et à préparer la cartographie associée. Dans ce secteur où certains équipements, par exemple, sont déjà soumis à des contraintes cyber, il est également attentif aux incompatibilités avec la directive.

Regardez notre émission consacrée à NIS2

C'est d'ailleurs ce type d'informations que le club RSSI Santé, association des RSSI d'établissements hospitaliers, glane à destination de l'Anssi, afin que l'application de la directive se fasse dans les meilleures conditions le temps venu. Jean-Sylvain Chavanne, qui en est le secrétaire général, insiste ainsi sur l'intérêt pour les structures concernées par NIS2 de se tourner vers ces organisations sectorielles afin de se faire accompagner dans la démarche de conformité. D'autant que, comme il le rappelle, avec des milliers d'organisations concernées, l'Anssi pourrait être moins disponible pour répondre aux sollicitations qu'avec NIS1.

CERT Aviation, accompagner les plus petits

Notre deuxième invitée, Marion Buchet, est d'ailleurs aux commandes du CERT aviation, centre de ressources de veille, d'alerte et de ressources, créé il y a deux ans, ouvert à toutes les organisations de l'aéronautique et du spatial. Les 9 membres fondateurs (dont Airbus, Dassault Aviation, la DGAC, etc.) mettent à disposition, par le biais de cette structure, un accompagnement cyber des plus petits. Avec l'objectif clair de sécuriser l'ensemble de la chaine de valeur. Les missions du CERT Aviation recouvrent la veille sectorielle sur la menace spécifique à ces secteurs, que sont l'activisme et le vol de propriété intellectuelle, et l'accompagnement des membres en matière de prévention et de réaction à des attaques. L'association propose par exemple déjà un service de réponse à incidents en 24/7 s'appuyant sur des prestataires.

Si les grands acteurs de ces secteurs très techniques et régulés ont des équipes formées, Marion Buchet explique qu'il n'en va pas forcément de même chez les plus petits, avec des ressources internes plus modestes qu'il faut donc accompagner. Et, comme notre premier invité, la directrice du CERT Aviation a rappelé qu'en attendant les décrets, qui pourraient en particulier définir le rôle des CERT, il faut se préparer pour la remontée obligatoire d'informations vers l'Anssi, l'obligation de gestion des risques et le partage d'informations en cas d'incidents.

Regardez l'intégralité de notre Grand Théma « Cybersécurité : assurer la résilience »