Le CESIN, association professionnelle des responsables de la cybersécurité en France, s’est récemment engagé dans une collaboration avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) concernant la transposition nationale de la directive européenne NIS2.
Cette initiative vise à renforcer la cybersécurité en France en identifiant les défis clés et en proposant des solutions adaptées.
Dans le cadre de cette démarche de consultation, le CESIN a mobilisé ses membres à travers une série de consultations recueillant ainsi les avis et propositions de près de 150 entreprises, dont un tiers ont une portée internationale.
’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a sollicité l’expertise du CESIN dans le cadre de la transposition nationale de la directive européenne NIS2.
Le CESIN dévoile les enseignements de cette consultation.
Lors d’une consultation en trois phases, le CESIN a mobilisé ses membres afin de collecter leurs remarques, avis et propositions dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2). Cette collaboration avec l’ANSSI vise à participer activement au renfort de la cybersécurité en France, en identifiant les défis et en proposant des solutions adaptées.
Pendant les trois phases de la consultation, le CESIN a organisé des enquêtes et des ateliers-débats autour des questions et des textes soumis par l’ANSSI, dans le but de susciter des propositions tangibles. En moyenne, 150 membres du CESIN ont pu exprimer leurs opinions et contribuer à cette consultation. Le panel est principalement constitué de membres issus d’ETI et de grandes entreprises, dont 30% ont une implantation internationale. Parmi les membres du CESIN qui ont contribué à ces travaux 25% pensent que leur entreprise est assujettie à NIS2 en tant qu’Entreprise Essentielle (EE), 19% en tant qu’Entreprise Importante (EI), 23% pensent que leur entreprise n’est pas assujettie, et un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie.
C’est sans doute le premier enseignement de ces travaux, les critères d’éligibilité à NIS2 soulèvent un certain nombre de questions et le taux d’entreprises qui s’interrogent est relativement élevé. Cette difficulté de positionnement ne semble pas corrélée à la taille de l’entreprise, ni à son implantation. En matière de gestion d’incidents, les entreprises déclarent disposer d’équipes internes ou externes prêtes à prendre en charge rapidement des incidents cyber (86%) et une petite majorité d’entre elles (71% des EE, mais seulement une EI sur deux) pourraient mettre en place des dispositifs d’astreinte, à défaut de pouvoir assurer une disponibilité 24/7.
La définition d’un incident classé « important » a suscité beaucoup de commentaires. Un critère simple a émergé : un incident important est un incident notifié au COMEX de l’entreprise. Exprimé autrement, un incident qui ne remonte pas au COMEX, n’est pas jugé important. Par ailleurs, la qualification de l’incident important devrait être liée au métier de l’entreprise et à la structure de son ou de ses Systèmes d’Information, notamment pour les grandes entreprises qui ont des SI et organisations plus ou moins centralisés, et pour lesquelles la notion d’incident important peut avoir des sens très différents.
En plus d’une définition formelle, le CESIN suggère que le critère d’importance d’un incident soit adaptable aux spécificités propres à chaque entreprise. Pour les autres incidents, il propose de les qualifier d’incidents « mineurs » plutôt que d’incidents « évités ». Certains incidents, bien que contenus et ayant un impact limité, sont néanmoins pertinents à notifier pour comprendre les modes d’attaques et enrichir les statistiques sur les menaces.
Sur ce point, le CESIN propose une stratégie de notification des incidents qui va dans le sens d’une meilleure connaissance globale des volumes et formes de menaces. Les incidents importants seraient déclarables, suivant une procédure et qui ne doit pas emboliser les ressources en charge de gérer une crise. Par ailleurs, les incidents mineurs pourraient être déclarables de façon facultative et seraient alors enregistrés de façon anonymisée par le régulateur. Alain Bouillé, délégué général et porte-parole du CESIN, confirme : « Nous considérons que cet anonymat est la seule possibilité de favoriser un partage réel d’information sur les menaces, leur volume et leur nature. Cela permet aussi de lever les freins à la déclaration. »
En ce qui concerne la cartographie des entreprises et de leurs systèmes d’information, le CESIN suggère que les entreprises ne se décrivent pas à travers leurs entités légales, mais plutôt qu’elles fournissent une vision opérationnelle de leur organisation, en lien avec leur SI. Cela implique de détailler la structure sur laquelle les mesures de prévention et de cyberdéfense sont déployées et appliquées, pour permettre notamment de mieux comprendre la surface d’attaque d’une entreprise. En outre, le CESIN précise que les plans d’adressage pour les actifs exposés devraient tenir compte des architectures de plus en plus tournées vers le cloud, avec un certain nombre d’IP exposées qui ne sont plus privatives, mais mutualisées ; d’autant que ces surfaces exposées publiquement évoluent constamment. Les formats et méthodes pour les transmettre à l’opérateur devront être efficaces et industrialisables pour que l’opérateur puisse avoir une cartographie à jour.
Les membres du CESIN soulignent unanimement la qualité des livrables produits par l’ANSSI, et leur utilité au quotidien. Ils aimeraient pouvoir en disposer sous un format plus facilement intégrable dans les politiques de sécurité des entreprises, avec un historique des versions, et des documents traduits en anglais utiles aux acteurs internationaux. Le CESIN propose que les experts et auteurs de ces documents puissent les présenter lors de webinars et qu’il y ait des espaces pour questionner l’ANSSI sur certains contenus, voire y contribuer.
La phase 3 de la consultation de l’ANSSI portait sur les mesures de sécurité. Les membres du CESIN qui ont répondu à l’enquête jugent très largement que ces mesures sont claires (90%), tandis que 70% d’entre eux pressentent des difficultés pour leur mise en œuvre.
Alors qu’une EE sur deux ne pense pas pouvoir intégrer des mesures complémentaires, 71% des EI se disent prêtes à monter le curseur des mesures. Globalement, 82% des EE jugent les objectifs au bon niveau d’exigence, contre 61% chez les EI. Un quart des EI ne se prononcent pas sur le niveau d’exigence. Dans l’ensemble, les membres du CESIN jugent satisfaisant que le niveau attendu pour les EI ne soit pas trop élevé d’emblée, cela permet d’entrer progressivement dans la dynamique de cette nouvelle conformité.
Quelques remarques générales sur les mesures qui ont émergé des discussions entre les membres du CESIN.
Les mesures de sécurité pourraient être ajustées afin de mieux intégrer l’impact croissant du cloud dans les systèmes d’information des entreprises. En particulier sur les aspects tels que la gestion des réseaux, la segmentation, l’accès, la surveillance, la protection des données et la résilience. Notamment au plan des responsabilités et des processus de gestion en cas d’incident.
Les risques liés aux tiers restent très centrés sur les risques en lien avec des interconnexions entre les entreprises et leurs partenaires externes. Or, il est important de tenir compte des dommages collatéraux, notamment les violations de données qui peuvent découler de facteurs indirects et engendrer des impacts, au-delà des seuls risques liés à la connectivité.
D’autres interrogations émergent concernant la gestion des identités et des accès, appelant à clarifier les aspects relatifs aux facteurs d’authentification et au multi-facteur (MFA) : quand les utiliser, et sous quelles conditions ? Car le MFA lui-même doit être sécurisé, puisque de nombreux scénarios d’attaques cherchent à le contourner. Les processus de gestion des facteurs d’authentification renforcés, sur la base d’exigences plus détaillées. Des mesures spécifiques pourraient être définies pour la fédération d’identité, l’accès conditionnel et le Single-Sign-On, qui constituent des éléments structurants des nouvelles architectures d’accès.
Pour ce qui concerne les terminaux, les membres s’étonnent de ce qui peut sembler être une acceptation du BYOD pour les EI. Une posture incompatible avec d’autres règles qui demandent par exemple, des restrictions sur les droits d’administration des terminaux ou l’installation libre de composants non approuvés.
Par ailleurs, la dimension détection et surveillance est pour le moment absente des obligations des EI. En effet rapporte Frank Van Caenegem, administrateur du CESIN et co-organisateur des sessions de consultation avec les membres du club : « Sans un minimum de capacité à tracer et surveiller, il est considéré qu’une entreprise ne peut pas faire face à des incidents. Nous avons tous que la seule prévention ne sera jamais suffisante, et que des incidents surviendront forcément. » Les membres du CESIN recommandent donc des mesures a minima sur ce pilier essentiel de la cybersécurité, pour permettre de détecter, contenir, investiguer, trouver les portes d’entrée et de sortie des attaques. A défaut, la réponse aux incidents est quasi impossible et le risque d’aggravation est élevé.
Le CESIN a pu participer activement aux trois phases de la consultation en collectant et consolidant les réactions et propositions de ses membres. Fort de son millier de membres actifs, le CESIN joue un rôle significatif en tant que témoin direct des défis en matière de cybersécurité auxquels font face les entreprises, et des orientations permettant de renforcer le niveau de sécurité. Mylène Jarossay, Présidente du CESIN, ajoute que « La consultation menée par l’ANSSI pour la transposition nationale de NIS2 est une opportunité pour le CESIN d’apporter des propositions concrètes et adaptées au contexte actuel des organisations et des SI en France. Le CESIN est pleinement engagé et nous sommes ravis de mobiliser notre expertise collective pour éclairer les décisions stratégiques en matière de cyberdéfense. Nous restons disponibles pour soutenir toute initiative complémentaire de l’ANSSI et continuer à œuvrer ensemble pour la sécurité de nos entreprises et de notre pays. »