La première directive européenne cybersécurité remise sur le métier, un effet fort du Covid-19
Charles Cuvelliez et Jean-Jacques Quisquater
Jean-Jacques Quisquater et Charles Cuvelliez.
DR
Charles Cuvelliez et Jean-Jacques Quisquater
Jean-Jacques Quisquater et Charles Cuvelliez.
DR
C'est une directive qui avait fait parler d'elle à l'époque et qui est remise sur le métier : la directive NIS (Network Information Security). C'était la première directive de cybersécurité à l'échelle de l'Union européenne. Elle s'appliquait aux industries critiques des Etats membres : énergie, transport, banques, marché, santé, distribution d'eau mais aussi, sur internet, les places de marché, les outils de recherche sur le net et les clouds. Cette directive oblige les entités qui lui sont soumises à rapporter les incidents de sécurité majeurs (mais n'est-ce pas déjà alors trop tard ?) aux autorités de chaque pays. Bien avant l'échéance prévue, la Commission a décidé d'ouvrir une consultation, visiblement, lit-on entre les lignes, pour renforcer sa portée et ses effets : le Covid-19 est passé par là et a montré encore plus notre dépendance numérique extrême face à un évènement qui n'a rien de digital.
Cette consultation vise, c'est clair, les problèmes rencontrés par la mise en pratique de cette directive. Le principal est la manière dont chaque Etat membre a décidé d'identifier ses opérateurs de services essentiels, ceux qui, au sein de chaque industrie, tombent sous les obligations de cette directive. Autre problème : ces opérateurs sont obligés, Etat membre par Etat membre, de suivre des obligations parfois divergentes en termes de sécurité et de rapportage des incidents. Pour les entreprises actives sur un ou plusieurs Etats, cela vire au cauchemar. Trop de liberté sur les critères de désignation n'a-t-elle pas été laissée aux Etats nationaux?
La Commission a trois options en tête, dans sa consultation :
-
Harmoniser l'identification des opérateurs de services essentiels mais sous forme légère, de lignes directrices et recommandations, sans plus.
-
Imposer cette harmonisation et les règles à appliquer tout en étendant la portée de la directive à d'autres acteurs et ce, en clarifiant par endroits la directive (en espérant que cela donne moins de marges de manœuvre aux Etats membres).
-
Remplacer cette directive par un autre régime plus contraignant avec des règles précises, détaillées, toujours en élargissant les secteurs soumis à la directive.
Parcourons la consultation. La première question vise les objectifs de la directive : améliorer les cyber-capacités des Etats membres, augmenter la coopération et promouvoir une culture de sécurité à travers tous les secteurs vitaux pour l'économie et la société et ce, au niveau européen. La directive a-t-elle bien eu comme valeur ajoutée d'apporter des règles plus efficaces à un niveau européen sachant que les cyberattaques ne connaissent pas de frontières ? Plus intéressant sont les secteurs additionnels auquel la Commission pense pour étendre cette directive : les administrations publiques (jusqu'à quel niveau, local, préfecture, national ?), l'alimentation (distribution : on a vu son importance pendant le Covid-19), le secteur manufacturier, la chimie, le traitement des eaux, les réseaux sociaux (en quoi est-il essentiel, entre nous ?) et les data centers (dont beaucoup d'entreprises en attente d'une migration vers le cloud dépendent encore).
La question est aussi posée pour rapporter plus que les incidents sérieux de sécurité (ceux qui ont eu un impact sur la sécurité). Faut-il aller plus loin, faut-il rapporter aussi les tentatives chez l'un mais qui pourraient réussir chez un autre ? Il suffit de voir comme un rançongiciel peut frapper plusieurs entreprises en même temps, comme la vague qui a atteint MMA entre autres. La Commission se demande aussi si le partage des informations sur des incidents qui ont un impact sur la continuité des services essentiels fonctionne bien entre Etats membres via les CSIRT (Computer Security Incident Response Team). Et si les CSIRT remplissent leur autre rôle d'apporter un support technique lors d'un incident, comme le fait si bien l'ANSSI. Vu l'importance grandissante de l'ICT et de l'internet, faut-il inclure d'autres secteurs et sous-secteurs et faut-il diminuer le seuil de notification des incidents ?
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
La Commission est aussi préoccupée que les petites et moyennes entreprises sont laissées en dehors du champ de la directive. On le comprend : ce sont les talons d'Achille. Les attaques peuvent commencer par ces entités et se propager vers les plus grandes entreprises qu'elles fournissent et auxquelles elles sont interconnectées. Un effort énorme de sensibilisation et de formations est ici nécessaire.
Les opérateurs de services essentiels purement IT (place de marché, moteurs de recherche, clouds) ne sont pas soumis à une régulation ex-ante mais ex-post de la part des Etats membres. Ces derniers ne peuvent vérifier que ces fournisseurs de services numériques essentiels ne remplissent leurs obligations qu'après coup. N'est-ce pas un traitement trop favorable ? La justification est que ces fournisseurs sont forcément actifs sur plusieurs pays et il y aurait cacophonie si chaque Etat membre voulait imposer ses propres règles.
La notification des incidents est-elle efficace se demande ensuite la Commission : les entreprises ont -elles une bonne compréhension de ce qu'est un incident et quand il doit être rapporté ? Est-ce que les critères et les seuils ne diffèrent-ils pas trop par Etat membre? Les Etats membres arrivent-ils à imposer la directive dans les faits ?
Les forums d'échange d'information entre Etats membres sont-ils suffisants via le réseau des CSIRT et le groupe de coopération ? Enfin, la cohérence entre la directive NIS et les autres instruments de l'Union européenne en la matière ne se contredisent-ils pas ? Il y a aussi des forums tels que les PPP et les Sectorial Information Sharing and Analysis Centres (ISACs) qui remplissent déjà ce rôle.
Plus subtil est le partage des vulnérabilités qu'un fabricant de produits ou de services ICT pourrait s'engager à faire et le fait déjà souvent : cela ne serait-il pas plus efficace car ce serait avant même qu'un hacker ne pense à en faire un vecteur d'attaque ? Certains Etats membres ont mis en place, note la Commission, une politique de partage de telles vulnérabilités. Elle songe à l'inclure dans la directive ?
La consultation est ouverte jusqu'au 2 octobre 2020. Elle n'aborde bizarrement pas l'IoT. On sait que la Commission vise aussi à mesurer l'efficacité de chaque Etat membre sur les ressources dédicacées en cyber sécurité et la capacité de mitiger la croissance des menaces de sécurité. La directive devait être transposée pour le 9 mai 2018. Le manque de transposition avait compliqué les tentatives d'harmonisation et la supervision des fournisseurs de services essentiels numériques. Ils étaient notifiés dans le pays où se trouvait le quartier général. Si ce pays trainait dans la transposition, cet opérateur n'avait aucune obligation.
On comprend fort bien que la Commission a décidé de rattraper le retard. Mais ne faut-il dès maintenant imaginer une autre nouvelle version ? C'est l'option 3.
_________
Pour répondre à la consultation :
https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
Charles Cuvelliez et Jean-Jacques Quisquater