La transposition de la directive européenne NIS2 (Network & Information Security 2) devrait être effective en France pour le 18 octobre 2024 et s’appliquer à environ 18 secteurs d’activité, jugés critiques par l’Union Européenne. Elle vise à harmoniser les mesures de cybersécurité au niveau européen, à la suite d’une recrudescence des cyberattaques dans le contexte du Covid-19 et la Guerre en Ukraine. L’application de cette directive nécessite une évaluation des risques, des mesures de sécurité solides et une collaboration des équipes de sécurité informatique et les experts en OT. Un véritable challenge pour les industries concernées !
Quels sont les risques liés à l’automatisation et à la connectivité croissantes dans ces industries ? Quelles obligations sont imposées par la NIS2 pour renforcer la sécurité des réseaux et des informations dans ce contexte ? Quelles sont les étapes requises pour l’application de la NIS2, telles que l’évaluation des risques et la mise en place de mesures de sécurité solides ? Comment la collaboration entre les équipes de sécurité informatique et les experts en OT est-elle nécessaire dans ce processus ?
Pour répondre à toutes ces questions, nous accueilli, lors de nos Universités d’été de l Cybersécurité et du Cloud de confiance, sur la table ronde « Industrie : la cybersécurité au cœur des enjeux de NIS2 » :
- Fabrice Clerc, CEO 6Cure,
- Jérôme Lecat, CEO Scality,
- Luc d’Urso, CEO Atempo,
- Thomas Epron, Senior Vice-President Framatome,
- Nicolas de Maistre, Préfet directeur de la protection et de la sécurité de l’Etat au sein de la SGDSN ,
- Patrick Guyonneau, Directeur sécurité Groupe Orange,
- Vincent Seruch, Technical Leader OT Airbus Protect.
Revoir l’intégralité de la table ronde ci-après.
Les industries face à la digitalisation
La seconde moitié du XXe siècle a été marquée par une digitalisation progressive, qui a concerné des pans entiers de notre société. L’industrie n’a pas été épargnée par ce mouvement, puisque cette digitalisation a permis de remplir efficacement certains objectifs économiques : produire plus vite et en plus grande quantité, avec plus d’uniformité. Pendant très longtemps, et malgré la présence de l’informatique au sein du monde industriel, les risques que cette digitalisation engendrait ont été ignorés. « Le monde OT a longtemps été protégé « structurellement » des cybermenaces grâce à son relatif isolement du monde IT. Pendant longtemps, il n’a donc pas semblé utile de déployer des dispositifs de protection contre les cyberattaques éventuelles (…) », affirme Fabrice Clerc, CEO de 6Cure.
Pour autant, les systèmes industriels ne sont pas moins vulnérables que le sont les hôpitaux ou les collectivités territoriales, comme le précise Fabrice Clerc : « (…) Le fait que les systèmes OT disposent généralement de peu de ressources, les rend vulnérables à des attaques bloquantes ou saturantes, ne nécessitant au demeurant qu’une puissance d’attaque limitée ». Et ces vulnérabilités peuvent aussi avoir des conséquences sur la population en cas d’attaque. Lors de cette table ronde, Thomas Epron, Senior Vice-President de Framatome, citait un cas rencontré par Oldsmar, ville de 13000 habitants située en Floride, où, en 2022, une partie des habitants a failli être empoisonnée au chlore parce qu’un hacker s’est introduit dans le système d’information de la société en charge du traitement de l’eau de la ville. Heureusement, l’intrusion a été détectée avant que des dégâts ne puissent avoir lieu, mais ce cas d’usage montre bien qu’aujourd’hui, il n’est pas possible pour les industries d’ignorer leurs faiblesses informatiques, d’autant plus si elles sont considérées comme critiques ou essentielles.
Le besoin de sécurité impose aux entreprises de revoir leur manière de faire. « Quand quelque chose fonctionne, surtout vous n’y touchez pas, même si vous ne savez pas comment ça fonctionne », raconte Thomas Epron. La sécurisation des appareils bouleverse donc la conception du fonctionnement des systèmes industriels, puisque pour protéger efficacement, il faut comprendre comment ces systèmes fonctionnent. L’autre défi, c’est qu’il va falloir patcher ces machines sans qu’elles ne s’arrêtent ou ne se dérèglent, puisque cela pourrait avoir des conséquences néfastes pour des industries sensibles, telles que le nucléaire par exemple.
NIS2, une directive à appréhender dans un contexte global
Cette cybersécurisation des systèmes industriels passe par des contraintes, récemment incarnées par la directive NIS2. « Cette nouvelle directive européenne renforce les exigences en matière de cybersécurité vis-à-vis des infrastructures critiques, elle va donc s’imposer à ces organisations en termes de mise en œuvre opérationnelle de mesures de protection, mais également en termes d’évaluation des risques et de sensibilisation des personnels et des sous-traitants. Elle va donc amener ces organisations à s’intéresser à des solutions concrètes de nature à répondre à leurs besoins et à leurs obligations, et contribuer à développer l’écosystème cyber européen », résume Fabrice Clerc. En effet, les entreprises et les organisations concernées seront dans l’obligation d’effectuer des audits réguliers afin de corriger leurs failles, de sensibiliser leur personnel pour éviter l’erreur humaine et de mettre en place des plans de continuité pour réagir rapidement et efficacement aux attaques potentielles. Cette directive sera transposée dans le droit national pour le 18 octobre 2024.
« Cette NIS2 peut devenir un référentiel, compte tenu du nombre de secteurs touchés ». En effet, la nouvelle directive élargi le périmètre défini par la NIS1. Les secteurs qui sont concernés sont nombreux : énergie ; transport ; secteur bancaire ; infrastructure des marchés financiers ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion des services TIC ; administration ; espace ; services postaux et expédition ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution des denrées alimentaires ; fabrication (dispositifs médicaux et de diagnostic in vitro ; produits informatiques, électroniques et optiques ; équipements électriques ; machines et équipements; véhicules automobiles; remorques et semi-remorques ; autres matériels de transport) ; recherche ; fournisseurs numériques. Face à cette énumération, on ne peut que constater que l’ambitions des législateurs européens est en réalité de sécuriser l’ensemble de la supply chain. Ce qui peut sembler une contrainte peut en réalité être une opportunité pour les entreprises, car se préoccuper de sa cybersécurité peut être gage de confiance pour les clients et les utilisateurs. Pour reprendre l’expression employée par Luc d’Urso, la NIS2 peut se transformer en « atout de compétitivité » pour les entreprises européennes sur la scène internationale. D’autant que le CEO d’Atempo n’exclut pas que la directive européenne devienne un « référentiel » y compris pour « des entités qui n’y sont pas forcément assujetties ». « Elle pousse à l’excellence » assène-t-il.
On parle beaucoup de NIS2, mais il ne faut pas oublier qu’elle fait en réalité partie d’une réflexion européenne plus large avec REC (vise à améliorer la résilience des entités critiques) et DORA (concerne spécifiquement les enjeux des marchés financiers). Le sujet cyber est incontournable dans toutes ces directives, ce qui démontre une véritable préoccupation des autorités européennes sur ce terrain. « Je crois qu’on peut se féliciter que l’Europe ait pris le leadership sur la réglementation du cyberespace », lance Luc d’Urso lors de la discussion en précisant que toutes ces directives participent finalement au rayonnement international de l’Europe. Et cela du point de vue du dynamisme réglementaire ou du développement de l’écosystème cyber européen !
NIS2, un enjeu pour les industriels de la cyber et du cloud
La directive NIS2 constitue aussi un enjeu pour les professionnels de la cyber et du cloud, qui vont devoir proposer des solutions adaptées aux besoins de leurs clients, dont certains ne sont pas familiers avec le concept de cybersécurité. Luc d’Urso explique que le devoir des industriels de la cyber se synthétise autour de quatre points : sensibiliser ; protéger ; informer ; aider à la remédiation. Premièrement, il faut sensibiliser « en informant les nouveaux secteurs concernés au travers de contenus pédagogiques et d’événements dédiés au sujet ». Deuxièmement, il faut protéger « avec des solutions efficaces ». Troisièmement, il faut aussi informer en « assistant les clients dans la cartographie des sinistres éventuels, que ce soit la corruption ou la fuite potentielle d’information ». Enfin, il faut aider à la remédiation, notamment « en restaurant la donnée avec un minimum de pertes, telle qu’elle était avant le sinistre, en un minimum de temps ». Pour résumer, l’enjeu des industriels de la cyber et du cloud, c’est d’être présent pour les clients du début à la fin de leur démarche de cybersécurité et de participer à la réaction en cas de cyberattaque.
Si certains secteurs avaient déjà conscience de l’importance de la cybersécurité, comme le nucléaire ou le spatial, certaines industries se retrouveront indirectement concernée par la NIS2, comme c’est le cas des industries du monde maritime. « Le monde maritime est particulier en ce sens qu’il n’est pas isolé physiquement du reste du monde, et qu’une majorité des échanges doit se faire généralement sans fil, ce qui augmente la surface d’attaque », explique Fabrice Clerc. Le monde maritime est un secteur avec une culture particulière, et il devra être appréhendé comme tel par les professionnels de la cyber et ceux des TIC, soumis à NIS2. L’enjeu de ces professionnels sera l’adaptation à une demande provenant de secteurs particuliers comme celui-ci.
« Quand vous regardez les faiblesses d’un système industriel, vous ne souhaitez pas forcément que cette donnée-là transite sur tous les serveurs du monde », expose Thomas Epron. Dans un monde où la guerre a souvent lieu sur le terrain économique, les industriels de la cyber européens ont pour devoir de proposer des solutions souveraines à leurs clients. « La menace d’ingérence d’autorités étrangères dans les données de nos organisations critiques ou essentielles, pudiquement appelée Intelligence Économique, me paraît constituer une menace tout aussi importante. En ce sens, une incitation forte à s’équiper de solutions souveraines, seules à même de garantir le niveau de confidentialité que ces organisations sont en droit d’attendre », acquiesce Luc d’Urso. Même si la sous-traitance des codes et des données à l’étranger comporte certains avantages (notamment un coût moins élevé), il y a trop de risques d’injection de codes malveillants. Et cela pose problème, puisque ce code peut-être injecter chez les clients en cas de mise à jour. La contrainte de la souveraineté numérique, c’est donc aussi un moyen pour les professionnels du cyber et du cloud de participer à la protection de la supply chain. C’est un enjeu qui relève de leur propre responsabilité, mais qui participera à la qualité des solutions européennes sur le marché international.
La résilience doit être cyber et physique
Malgré la variété de leurs profils, les intervenants de la table ronde sont d’accord sur le fait que la résilience doit être à la fois cyber et physique, et qu’il ne faudrait pas dissocier les deux notions car elles sont interdépendantes. « Le numérique est totalement dépendant du réseau électrique », fait remarquer le préfet Nicolas de Maistre. Les efforts de sécurité doivent donc désormais être mené sur tous les plans et dans de nombreux secteurs, au risque d’être inefficaces. « Dans 5 ans, on parlera de NIS2 comme on parle aujourd’hui du RGPD. », assure Patrick Guyonneau, directeur sécurité du Groupe Orange.