Interview Cyber : focus de Mathieu Charbois et Valère Iacuzzi sur la nouvelle directive de cybersécurité NIS 2 et ses impacts sur l’ERP

« Désormais il y a une loi. Nous allons donc passer d’une période de bonnes pratiques à une période d’obligations réglementaires et légales »

La directive européenne NIS , établie en juillet 2016 et transposée dans le droit français en mai 2018, vise à améliorer la sécurité des réseaux et des systèmes d’information dans l’Union Européenne face à l’augmentation des menaces cyber. Elle encourage ainsi la coopération entre les États membres et augmente la maturité cyber des secteurs clés comme l’énergie, la santé et les marchés financiers.

Toutefois, l’augmentation des cyberattaques a révélé des lacunes dans NIS 1, notamment dans la protection des chaînes d’approvisionnement et le périmètre des entités couvertes. Ce qui a mené à l’élaboration d’une version 2 pour adresser ces défis en élargissant la portée de la directive et en précisant davantage les exigences.

Pour échanger sur les profonds changements apportés par cette nouvelle directive applicable dès le 18 octobre 2024, nous avons le plaisir d’inviter Mathieu Charbois, Directeur de la BU Cybersécurité Fidens, et Valère Iacuzzi, Directeur Commercial et Associé TVH Consulting.

Si les résultats de votre test montre que votre entité est concernée par la directive NIS 2, nos expert Fidens vous accompagnent pour répondre aux exigences de cette directive.

Quels sont les principaux changements de NIS 2 par rapport à NIS 1 ?

Mathieu Charbois : NIS 2 ne représente pas simplement une évolution de NIS 1, c’est un changement très fort de paradigme ! Il faut savoir qu’avec NIS 1, les entités concernées (les Opérateurs de Services Essentiels ou OSE, c’est-à-dire les organisations tributaires de systèmes d’information et qui fournissent un service essentiel, dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société) ne représentaient que quelques centaines d’organisations en France. Avec NIS 2, le périmètre est considérablement élargi avec plus de 10 000 entités concernées, voir 20 000 en incluant les collectivités publiques. On multiplie donc à minima par 1 000 les organisations éligibles ! Ce qui étend de manière très large le périmètre de cette directive, qui vise à la mise en place de mesures de cybersécurité pour l’ensemble des secteurs jugés critiques par l’Union Européenne.

Qui est concerné et comment se passe les désignations ?

MC : Avec NIS 1, les OSE étaient désignés par l’ANSSI. Avec NIS 2, ce sont les entités concernées qui doivent s’autodésigner en fonction des annexes 1 et 2 de cette nouvelle directive. On y trouve les secteurs métier définissant les entités hautement critiques, les EE ou « Entités Essentielles », et les entités critiques ou EI pour « Entités Importantes ». Notez que le secteur d’activité n’est pas le seul critère, des filtres de volumétrie sont également donnés. Ainsi, les organisations comptant moins de 50 employés ou avec un chiffre d’affaires inférieur à 10 millions d’euros ne devraient pas être concernées par NIS 2 (sauf exceptions (collectivités, administrations et infrastructures numériques).

A l’image du RGPD, il incombe à chaque organisation de vérifier si elle entre dans le champ d’application de la directive, et à se mettre en conformité le cas échéant. Évidemment, la mise en conformité se fera par étapes (identification des systèmes critiques, puis cartographie technique du SI, puis application de bonnes pratiques de cybersécurité sur les systèmes critiques) et pourrait s’étaler sur une période de 3 ans avec des échéances à tenir. A l’issue de cette période,  des audits pourront être fait « à priori » pour les EE. Pour les EI les contrôles se feront sur alerte ou suspicion (comme pour le RGPD).

Annexe 1, secteurs d’activité des EE

1. Energie
2. Transports
3. Secteur bancaire
4. Infrastructures des marchés financiers
5. Santé
6. Eau potable
7. Eaux usées
8. Infrastructure numérique
9. Gestion des services TIC
10. Administration publique
11. Espace

Annexe 2, secteurs d’activité des EI

1. Services postaux et d’expédition
2. Gestion des déchets
3. Fabrication, production et distribution des produits chimiques
4. Production, transformation et distribution des denrées
5. alimentaires
6. Fabrication
7. Fournisseurs numériques
8. Recherche

Faîtes le point sur votre niveau de protection face aux cybermenaces en téléchargeant notre guide pratiques des mesures préventives :

Que va-t-il se passer pour les prestataires et les fournisseurs ?

Valère Iacuzzi : Il faut bien avoir en tête ce pilier de NIS 2 : la sécurité de la chaine d’approvisionnement (la supply chain). Car c’est la méthode la plus répandue pour attaquer les grandes structures : passer par les maillons plus faibles représentés par les prestataires et les TMA (Tierce Maintenance Applicative), qui se réfèrent notamment à la maintenance des matériels et logiciels d’une entreprise assurée par un prestataire externe dans le domaine des technologies de l’information. Or l’ERP, colonne vertébrale du SI, fait le lien avec tous ces acteurs externes. L’ERP représente donc une porte d’entrée pour les cyberattaques, et NIS 2 va logiquement « redescendre » indirectement sur les prestataires, voir sur les prestataires des prestataires.

Et c’est certainement pour ces derniers que ce sera le plus compliqué, car ils vont endosser une partie non négligeable de la « pression » exercée par NIS 2, sans pour autant disposer de la maturité cyber attendue. Mais les organisations visées par cette directive ne pourront pas déporter toute la responsabilité sur leurs prestataires. Car c’est par elles que vont se diffuser les bonnes pratiques de sécurité. D’ailleurs, si elles disposent déjà de la certification ISO 27001, elles ont mécaniquement de l’avance car elles ont déjà mis en œuvre un certain nombre de mécanismes voulues par NIS 2. Pour les autres, il n’y a pas de secret : pour gérer NIS 2 il faut mettre en place un SMSI (Système de Management de la Sécurité de l’Information) sans pour autant viser la certification ISO 27001. C’est le socle qui va permettre de gérer NIS 2 dans le temps.

NIS 2 : quels impacts sur les offres ERP et de cybersécurité ?

VI : TVH Consulting est contractuellement tenu à un devoir de conseil sur la mise en œuvre de nos ERP, et le volet cybersécurité y est intégré. Pour les clients ERP déjà installés qui se trouveront dans le périmètre de la directive, il faudra prêter une attention particulière aux systèmes qui ne sont pas à jour et à la dette technique. Un état des lieux de l’existant est souhaitable car il représente la meilleure approche pour disposer d’une vision précise de ses faiblesses.

Pour les projets futurs, nous systématiserons les prestations de cybersécurité qui seront « de base » intégrées à nos offres. Soyons clair, il sera inenvisageable demain de proposer le volet de cybersécurité « comme une option » car il y a une loi désormais. Nous allons donc passer d’une période de bonnes pratiques à une période d’obligations réglementaires et légales. Rappelons par exemple le montant de l’amende de 10 millions d’euros ou 2% du chiffre d’affaires (le chiffre le plus haut sera retenu) pour les EE non conformes. A l’image du plan comptable imposé en France, ce n’est pas une option, il y a obligation de conformité. Et dans le cas contraire, les problèmes avec le législateur sont assurés.

En ce qui concerne NIS 2, Octobre 2024 c’est demain. Il faut donc se mettre en ordre de marche au plus vite, faire un diagnostic global pour identifier les axes d’améliorations, et mettre en place une feuille de route et un accompagnement dans la durée. Autant de points que TVH Consulting peut gérer, quels que soient le profil et le niveau de maturité IT du client.