L'échéance de la transposition nationale pour les États membres a pour date buttoir le 17 octobre 2024. L’ANSSI a rédigé un document de travail mi-novembre 2023 : « Référentiel de cybersécurité pour les futurs acteurs économiques assujettis à NIS 2 » qui présente la synthèse des réflexions internes relatives à la transposition nationale des mesures de gestion des risques cyber requises par la directive NIS 2. C’est un outil de discussion transmis avec le futur écosystème des acteurs économiques régulés dans le cadre du processus de consultation avec les représentants de ces mêmes acteurs économiques (fédérations et associations professionnelles ainsi que leurs adhérents). Maintenant, l’ANSSI souhaite que ce document ne soit, ni rendu public, ni communiqué à l’extérieur du cercle des consultations, je respecterai donc cette volonté, même si je l’ai en ma possession. Si vous souhaitez vraiment en prendre connaissance, sachez qu'il y a eu quelques fuites sur le Web, sur des sites tels que le « LeMagIT » ou encore « L’Informé » par exemple. Je laisse alors le soin aux curieux qui le souhaitent, de commencer leur jeu de piste...
Ce que je peux dire, c’est que c’est l’article 21 de le directive NIS 2 qui régit les mesures de gestion des risques liés à la cybersécurité. Il demande aux États membres de s’assurer que les entités essentielles et importantes gèrent les risques qui visent à protéger leurs réseaux et systèmes d'information ainsi que leurs environnements physiques.
On y retrouve une déclinaison de 10 mesures qui vont concerner :
- Les politiques en matière d'analyse des risques et de sécurité des systèmes d'information
- Le traitement des incidents
- La continuité des activités, notamment la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises
- La sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services
- La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités
- Les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité
- Les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité
- Les politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement
- La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs
- L'utilisation de solutions d'authentification multifactorielle ou d'authentification continue (accès zero-trust)
Et dans ces 10 mesures, on retrouve 20 objectifs pour lesquels l'ANSSI travaille sur la transposition nationale des mesures de sécurité et de gestion des risques cyber. Ces 20 objectifs sont classés dans 4 grands domaines :
- La gouvernance : 6 objectifs (Numéro 1 à 6)
- La protection : 9 objectifs (Numéro 7 à 15)
- La défense : 2 objectifs (Numéro 16 et 17)
- La résilience : 3 objectifs (Numéro 18 à 20)
Chaque objectif est composé d’un tableau qui détaille la transposition des mesures de sécurité requises par la directive NIS 2. Dans la première colonne, on retrouve les lettres correspondant aux mesures de l’objectif. Dans la deuxième colonne, une description des mesures de sécurité, et dans les deux dernières, les entités (importantes et/ou essentielles) pour laquelle ou lesquelles s’appliquent ces mesures.
Juste un exemple, sans dévoiler l’intégralité du contenu bien entendu. Le domaine « Protection » comprend l’objectif 9/20 « Sécuriser l’architecture de ses Systèmes d’Information Réglementés (SIR), notamment le cloisonnement ». Pour cet objectif, la transposition des mesures de sécurité en droit français regroupent les besoins de cloisonnement des différents SI, qu’ils soient physiques, logiques, segmentés (avec des sous-systèmes), des passerelles entrantes/sortantes et des interconnexions sécurisées.