Présentation
La directive NIS 2 (Network and Information Security, version 2) vise à harmoniser et à renforcer la cybersécurité sur le territoire européen.
Elle oblige les entités essentielles ou importantes à mettre en œuvre des mesures humaines, techniques, juridiques et organisationnelles pour renforcer la résilience de leur système d’information face aux cybermenaces.
Différents secteurs d’activités sont concernés par la directive NIS 2, dont celui du numérique.
Pourquoi le numérique est-il dans le viseur de NIS 2 ?
La directive NIS 2 vise à renforcer la cybersécurité ; les prestataires du numérique sont donc par nature acteurs et sujets de cette nouvelle réglementation.
Ils sont aussi une cible de choix privilégiée pour les cyberattaquants.
En effet, le Panorama de la cybermenace 2022 de l’ANSSI a mis en lumière une évolution des attaques qui cible davantage les chaînes de sous-traitance, dont les prestataires IT. Ces attaques ciblées permettent ensuite de remonter à la cible réelle des attaquants, que sont les grandes entreprises détenant des informations stratégiques, secrètes ou sensibles.
Quels sont les secteurs du numérique visés par NIS 2 ?
Trois catégories de secteurs du numérique sont identifiés par la directive NIS 2.
1) Les infrastructures numériques
Les infrastructures numériques sont identifiées comme appartenant aux secteurs hautement critiques (annexe I). Cette catégorie regroupe les acteurs suivants :
- Fournisseurs de points d’échange internet (=IXes/IXPs)
- Fournisseurs de services DNS (à l’exclusion des opérateurs de serveurs racines de noms de domaine)
- Registres de noms de domaine de premier niveau (EURid, Afnic, etc.)
- Fournisseurs de services d’informatique en nuage*
- Fournisseurs de services de centres de données (= datacenter)
- Fournisseurs de réseaux de diffusion de contenu (= CDN provider)
- Prestataires de services de confiance (TSP, signature électronique)
- Fournisseurs de réseaux de communications électroniques publics
- Fournisseurs de services de communications électroniques accessibles au public
*La directive donne plusieurs définitions de ces activités, dont celle consistant à fournir un «service d’informatique en nuage» :
un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits
Le considérant 33 de la directive NIS 2 est quant à lui plus explicite sur ce qu’englobe un service d’informatique en nuage :
Les modèles de services liés à l’informatique en nuage comprennent, entre autres, les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Les modèles de déploiement de l’informatique en nuage devraient inclure les modèles privés, communautaires, publics et hybrides en nuage.
2) Les gestionnaires de services TIC (en B2B)
Les gestionnaires de services TIC sont identifiés comme appartenant eux aussi aux secteurs hautement critiques (annexe I). Cette catégorie regroupe les acteurs suivants :
- Fournisseurs de services gérés
- Fournisseurs de services de sécurité gérés
3) Les fournisseurs numériques
Les fournisseurs numériques sont identifiés comme appartenant aux autres secteurs critiques (annexe II). Cette catégorie regroupe les acteurs suivants :
- Fournisseurs de places de marché en ligne
- Fournisseurs de moteurs de recherche en ligne
- Fournisseurs de plateformes de services de réseaux sociaux
Que dois-je faire si mon activité est listée/n’est pas listée ?
Si vous êtes listé…
Même si votre activité est listée ci-dessus, cela ne signifie pas nécessairement que votre organisation sera soumise à la directive NIS 2.
Ainsi, si vous êtes un fournisseur de logiciels SaaS – appartenant à la catégorie des services d’informatique en nuage – vous exercez dans un secteur identifié comme « hautement critique».
Pour autant, votre organisation ne correspondra pas nécessairement à une entité essentielle ou une entité importante. D’autres critères (chiffre d’affaires, nombre de salariés) sont à prendre en considération.
Si vous n’êtes pas listé (ou pas concerné)…
La directive NIS 2 peut néanmoins concerner vos clients qui exercent dans des secteurs stratégiques (santé, transport, administration publique, bancaire, etc.).
Ces acteurs vont devoir rapidement se mettre en conformité avec la directive NIS 2.
Or l’une de leur nouvelle obligation sera d’être capable de démontrer qu’ils ont sécurisé contractuellement leur chaîne d’approvisionnement, y compris leur supply chain IT :
« Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. (…) [Elles comprennent au moins :] (…) d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs (Article 21, directive NIS 2) »
Les éditeurs SaaS/PaaS, les hébergeurs, les éditeurs de logiciels sont spécifiquement visés par la directive NIS 2 car ils sont devenus la porte d’entrée privilégiée des attaquants :
Il est tout particulièrement important de répondre aux risques découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés et les éditeurs de logiciels, vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et où des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de gestion des risques en matière de cybersécurité qui y sont intégrées et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisées. Les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion des risques en matière de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs. Ces entités pourraient prendre en considération les risques découlant d’autres niveaux de fournisseurs et de prestataires de services. (Considérant 85)
Ainsi, les grands comptes vont progressivement imposer de plus en plus de mesures de sécurité à leurs prestataires IT.
Les prestataires IT doivent se préparer techniquement et contractuellement à ce prochain défi.
Quand est-ce que NIS 2 s’appliquera ?
La directive NIS 2 doit être transposée au plus tard le 18 octobre 2024. La France devra donc adapter son droit national à la directive NIS 2 avant cette date. La loi qui en découlera permettra de connaître les obligations précises retenues par la France pour ses entités essentielles et importantes.
La Commission européenne peut également venir compléter la directive NIS 2 par des actes d’exécution supplémentaires pour des secteurs d’activités spécifiques. Tel sera le cas pour le secteur du numérique, comme l’indique le considérant 84 :
Compte tenu de leur nature transfrontière, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centre de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, ainsi que les fournisseurs de services de confiance devraient faire l’objet d’un degré d’harmonisation élevé au niveau de l’Union. La mise en œuvre de mesures de gestion des risques en matière de cybersécurité à l’égard de ces entités devrait donc être facilitée par un acte d’exécution.
A retenir
Sans attendre la date limite de transposition, nous vous recommandons de vérifier si la directive NIS 2 vous concerne.
Dans l’affirmative, un chantier technique et juridique peut d’ores et déjà être initié, la mise en conformité de la directive NIS 2 étant évalué à plusieurs mois et dépend évidemment de votre niveau de maturité cybersécurité.
Mais les entités non concernées par la directive NIS 2 pourront aussi être concernées si elles approvisionnent des clients soumis à NIS 2.
Si tel est votre cas, nous vous recommandons de réviser vos contrats commerciaux pour y prévoir des engagements juridiques en termes de sécurité informatique et établir une annexe relative à vos moyens de sécurité.
Ce travail doit vous permettre de définir et établir votre niveau d’engagement contractuel proportionné et mesuré aux services que vous fournissez. Vous éviterez ainsi de subir les engagements « clés en mains » fournis par vos clients grands comptes, mais trop engageant et dangereux pour votre activité.
*