« Le 17 octobre il ne se passera rien », a indiqué Vincent Strubel dans son discours inaugural des Assises de la sécurité à Monaco la semaine dernière. Le directeur général de l’Anssi faisait ici référence à la date d’entrée en vigueur de la directive NIS (Network and Information System Security) 2. Cette dernière succède à la première version de ce cadre qui visait à renforcer la cybersécurité de certains acteurs fournissant des services jugés essentiels. En 2022, ce texte a été révisé par l’Union européenne pour accroître les exigences de sécurisation et élargir le nombre d’entités concernées. Un chantier titanesque, car la France recense 15 000 structures (sociétés privées, collectivités locales, centre de recherche, établissement de santé,…) touchées.
Comme toutes les directives, celle de NIS 2 doit être transposée en droit national avant de s’appliquer. L’Anssi avait déjà fait un travail de préparation pour identifier les acteurs impactés et les obligations en matière de cybersécurité. En parallèle, un projet de loi a été élaboré en avril dernier, mais la dissolution de l’Assemblée nationale a perturbé sa discussion. Ce mercredi, le texte est passé en conseil des ministres et devra donc être discuté prochainement au Parlement sans qu’une date soit pour l’instant fixée.
Une identification des entités concernées et une liste d’obligations
Le projet de loi apporte des précisions sur les définitions des entités essentielles et importantes. Les premières comprennent en autres des entreprises « qui emploient au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 M€ et dont le total du bilan annuel excède 43 M€ », des EPIC (établissement public à caractère industriel et commercial), les opérateurs de communication électronique, Les régions, les départements, les communes d’une population supérieure à 30 000 habitants,… Pour les entités importantes, sont notamment concernées, les entreprises « qui emploient au moins 50 personnes ou dont le chiffre d’affaires et le total du bilan annuel excèdent chacun 10 M€ », les établissements d’enseignement menant des activités de recherche, certaines collectivités, communauté de communes, etc.
Pour ces deux entités, la directive NIS 2 impose des obligations de sécurisation à plusieurs niveaux. Elles doivent ainsi réaliser une analyse de risque pour connaître leur faiblesse et la surface d’attaque, mais aussi celles des fournisseurs et partenaires. La loi prévoit également une obligation de notification des incidents de sécurité à l’Anssi, un décret doit préciser les modalités et notamment le délai. Des efforts sur la résilience des systèmes IT sont demandés. Les questions de sensibilisation et de la formation ne sont pas oubliées avec un devoir d’insuffler une culture de cybersécurité au sein de l'organisation. Enfin et non des moindres, le texte fixe des amendes (pouvant aller jusqu’à 2% du chiffre d’affaires et 10 M€ maximum pour les entités essentielles et jusqu’à 1,4% du CA et 7 M€ maximum pour les entités importantes).
Trois ans pour une conformité minimale
Sur cet aspect coercitif, Vincent Strubel préfère le côté pédagogique et bienveillant en laissant une période de trois ans pour se conformer à la directive NIS 2. Mais cela ne signifie pas ne rien faire pendant ce laps de temps. Il a fixé un minimum requis à mettre en place sur cette période, à savoir « l’enregistrement auprès de l’Anssi de l’entité régulée sur le portail monespaceNIS 2, les notifications des incidents et de montrer les investissements dans les solutions de sécurité » Un petit coup de pression sur des entités qui pour certaines ont déjà commencé à travailler sur le sujet, mais qui pour une majorité ne savent pas par où commencer.
Les éditeurs et les fournisseurs de solutions sont eux prêts à les aider. Les acteurs de la sauvegarde notamment y voient une opportunité de business importante autour de la résilience. Ainsi Datacore, à l’occasion de son récent évènement à Menon a annoncé des évolutions de ses offres pour accompagner les clients sur la conformité à NIS 2. Dans les allées des Assises de la sécurité à Monaco, ils étaient nombreux à promouvoir leurs solutions (authentification, protection de l’AD, les EDR,….). Une chose est sûre, il ne se passera peut-être rien le 17 octobre, mais c’est sans conteste le début de quelque chose….