Face à une menace cyber qui ne cesse de s’intensifier, l’Union Européenne a décidé de renforcer sa règlementation en matière de cybersécurité, avec la directive NIS 2 (Network and Information Security). Cette directive devra être transposée dans le droit français d’ici le 17 octobre 2024, et aura un impact significatif sur les entreprises et les administrations en France. Les équipes de supervision joueront un rôle crucial dans l’application de NIS 2 : quel est son contenu et comment s’y préparer ?
NIS 2, un changement de paradigme
NIS 1, la première mouture de la directive, avait été appliquée de manière plutôt restreinte en France : la directive concernait seulement 300 entités, regroupées sous les termes OIV (Opérateur d’Importance Vitale) ou OSE (Opérateur de Services Essentiels). Les critères d’application divergeaient selon les Etats membres : dans un pays comme la Norvège (5 millions d’habitants), NIS 1 concernait plus de 10000 entités.
Face à cette disparité, NIS 2 élargit fortement les objectifs et les périmètres d’application de NIS 1. NIS 2 concerne désormais plus de 18 secteurs économiques, avec trois labellisations possibles : Entité Critique (EC), Entité Essentielle (EE) et Entité Importante (EI). Les critères de taille ne sont pas encore établis, mais il est vraisemblable que cela concernera un panel très large d’entités, des PME (Petites et Moyennes Entreprises) aux multinationales.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est en charge du contrôle des règlementations liées à NIS 2 en France. Elle n’a pas seulement pour mission de conseiller ou de diffuser les bonnes pratiques, elle mène aussi les opérations d’audit et d’enquête. Intervenant pour le compte de l’Etat français, l’ANSSI a toute la latitude pour investiguer au sein des entreprises et administrations. Elle peut déclencher une procédure sur la base de preuves, ou d’un simple signalement. L’ANSSI est intégrée au réseau CyCLONe (Cyber Crisis Liaison Organisation Network), avec ses homologues des Etats membres, pour renforcer la coopération à l’échelle européenne.
L’ANSSI peut infliger des sanctions, qui sont durcies avec NIS 2. La responsabilité des dirigeants est désormais engagée, avec des suspensions possibles. Les entités ont l’obligation de rendre publiques les failles de sécurité, notamment auprès du réseau des CSIRT (Computer Security Incident Response Team). L’Union Européenne a fixé un barème sur les amendes, qui sont désormais substantielles :
- EE (Entité Essentielle) : jusqu’à 10M€ ou au moins 2% du chiffre d’affaires mondial,
- EI (Entité Importante) : jusqu’à 7M€ ou au moins 1,4% du chiffre d’affaires mondial.
Il faut rappeler que NIS est une directive : elle fixe un ensemble d’objectifs à atteindre pour les Etats membres, avec un délai. A eux de transposer dans leurs droits nationaux les mesures de la directive, pour qu’elles fassent force de loi.
Comment Panorama peut vous aider dans votre
conformité avec NIS 2 ?
Face à ce changement de paradigme, les équipes en charge de la supervision se doivent, elles aussi, de concourir à la sécurité globale des systèmes informatiques en place. Les applications qu’elles utilisent doivent être exemptes de vulnérabilités. Pour réaliser cet objectif, Panorama est un atout de choix.
En effet, Panorama E2 est le premier SCADA à avoir été certifié par l’ANSSI, et ce au niveau CPSN (plus haut niveau possible pour un SCADA). Les partenaires de confiance de l’ANSSI ont soumis Panorama à de nombreux tests, passés avec succès. Pour aider les entités à sécuriser leurs supervisions, Panorama E2 dispose de plusieurs mécanismes internes de cybersécurité :
- Protocoles de communication chiffrés : basés sur des certificats, ces protocoles assurent une communication protégée entre les différents objets du système (automates, serveurs, clients),
- Annuaire externe : les utilisateurs de Panorama peuvent être déclarés dans un annuaire externe (Active Directory/LDAP) → un tiers de confiance peut donc conserver les données de connexion confidentielles,
- Network Wizzard : cet outil aide au paramétrage de sécurité des échanges entre les différents objets.
Il est à rappeler que ces éléments sont une aide à la sécurisation de l’application finale, et non une garantie de sécurité. Aux équipes de développement de construire une application entièrement sécurisée.
NIS 2 va obliger les équipes de supervision à mettre à niveau leurs applications. Panorama, plate-forme certifiée et qualifiée par l’ANSSI, sera là pour les accompagner dans cette tâche.
Il faut voir NIS 2 comme une opportunité : les bonnes pratiques développées au sein des systèmes de supervision pourront être reprises par toute l’entreprise, dans une dynamique de convergence IT/OT. Concourons ensemble à la sécurisation globale des entreprises et des administrations européennes !