Quelques nouveautés de NIS 2, en résumé :

• Avec NIS 2 nous ne parlons plus d’Opérateurs d’Importance Vitale (OIV) et d’Opérateurs de Services Essentiels (OSE) mais d’Entreprises Importantes (EI) et Entreprises Essentielles (EE).
• Les entreprises de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires doivent se conformer aux exigences de NIS 2. Le périmètre des entreprises concernées passe de 19 à 35 secteurs, parmi lesquels l’énergie, les transports, la santé et le pharmaceutique, le spatial, les banques et institutions financières ou encore les administrations publiques.
• NIS 2 vise aussi les prestataires ayant un accès aux infrastructures des entreprises concernées en premier lieu.
• Les 27 pays membres de l’UE ont jusqu’à fin 2023 pour transposer les mesures de NIS 2 dans leur législation nationale et les entreprises doivent se mettre en conformité avant le dernier trimestre 2024. La France a largement inspiré NIS 2 puisque celle-ci se rapproche beaucoup de notre Loi de Programmation Militaire. Parmi les autres influences de NIS 2, nous pouvons souligner NIST aux US et le standard international IEC 62443.
• Les entreprises auront notamment pour obligation d’alerter l’ANSSI en cas de cyberattaque, dans un délai de 72h. L’ANSSI est en effet l’entité en charge de veiller à la conformité à NIS 2 et qui devra sanctionner en cas de manquement, à l’instar du travail réalisé par la CNIL pour le RGPD.

L’OT est aussi peu sécurisé que les TPE-PME

Si nous parlons beaucoup de cybersécurité de l’IT, nous oublions trop souvent d’alerter sur la cybersécurité des environnements opérationnels (OT) alors que des cyberattaques contre des usines et entreprises industrielles peuvent avoir des conséquences désastreuses (Renault ou encore Saint-Gobain peuvent en témoigner, pour ne citer qu’eux). Pourquoi ces réseaux OT sont-ils si vulnérables et que faire ?

• Les environnements OT ont 10 à 15 ans de retard en matière de cybersécurité par rapport aux environnements IT et n’ont pas été sécurisés « by-design ».
• Nombre des réseaux d’entreprises industrielles sont encore basés sur des architectures « à plat » c’est-à-dire avec des serveurs, postes de travail et autres terminaux industriels fonctionnant sur le même réseau, sans aucune segmentation. En d’autres termes, une porte laissée ouverte permet l’accès à l’ensemble du réseau.
• Le problème de la gouvernance de la sécurité des réseaux OT n’est toujours pas réglé. Qui est responsable de la sécurité OT ? Si tant est qu’il y ait une équipe sécurité OT, comment la faire collaborer avec les responsables de la sécurité IT ?
• Les accès à distance aux automates programmables et autres robots des systèmes OT se sont multipliés, surtout durant le COVID-19, créant ainsi des ponts vers l’extérieur souvent peu voire pas sécurisés du tout.

Les entreprises industrielles de plus de 50 salariés et 10 millions de CA sont très nombreuses et leurs réseaux OT vont être largement impactés par NIS 2. Plutôt que de céder à la panique, résumons les grandes étapes pour se mettre en conformité, en 3 phases et 12 points, avec cette nouvelle mouture de la directive NIS, plus spécifiquement dans le monde industriel :
o Phase 1 : Évaluer, découvrir et définir
1. Évaluer la sécurité de l’entreprise en réalisant des audits, portant sur les réseaux OT mais également – c’est une nouvelle exigence de NIS 2 - sur les accès physiques à l’entreprise et aux équipements.
2. Définir une politique et une gouvernance spécifique à la cybersécurité OT, à commencer par définir qui est responsable de la sécurité OT, à qui reporte le responsable, qui a le pouvoir de décision quant aux investissements, etc.
o Phase 2 - Mise en œuvre et déploiement (protection et détection)
3. Concevoir et mettre en œuvre une architecture intégrant une segmentation de la cybersécurité́ OT et des systèmes de contrôle industriels (ICS). En d’autres termes en finir avec les réseaux plats et segmenter les réseaux IT et OT.
4. Sélectionner et mettre en œuvre des outils de découverte des actifs et de détection des menaces OT/ICS, tels que des systèmes de détection des intrusions (IDS).
5. Avoir une hygiène de configuration OT en s’assurant de disposer des briques de sécurité classiques telles que des systèmes de sauvegarde (en généralisant le modèle de sauvegarde 3+2+1) ou encore des gestionnaires de mots de passe des machines. NIS 2 concernant également les prestataires ayant des accès aux réseaux, l’entreprise doit veiller à exiger des garanties d’hygiène de cybersécurité à ses fournisseurs.
6. Sécuriser les accès à distance aux systèmes OT. Là aussi les fabricants de machines/automates programmables, etc. ayant des accès à leurs machines principalement pour des actions de maintenance, l’entreprise doit leur demander des garanties de sécurité.
7. Contrôler les accès OT.
8. Protéger les points finaux OT (avec des outils antivirus, IDS/EDR, des contrôles USB, etc.)
9. Sécuriser la chaîne d’approvisionnement OT face aux risques liés aux logiciels, aux OEM, aux fournisseurs de services tiers, etc.
o Phase 3 - Surveiller, réagir et mesurer
10. Surveiller la cybersécurité́ OT via un SOC intégré́ ou un SOC managé.
11. Avoir un plan de réponse aux incidents OT prêt pour faire face à des cyberattaques ou autres incidents.
12. Enfin, réaliser des audits et des tests de sécurité́ OT en continu.

Et après ? Et bien il faut recommencer… La cybersécurité est en effet un éternel recommencement. Mais rassurez-vous si toutes les étapes ont été respectées et que les politiques ont été mises en place, il s’agira ensuite beaucoup plus simplement de réaliser des audits moins réguliers, des tests, des mises à jour et de vérifier les points de contrôles. C’est d’ailleurs pour cette raison que cette suggestion de « plan de mise en conformité » commence et se termine par des audits…

Enfin, si cela parait compliqué et chronophage - surtout lorsque la cybersécurité n’est pas le métier premier de l’entreprise - il est possible de s’appuyer sur des experts, car nous avons la chance d’avoir en France un écosystème hyper qualifié d’ESN, intégrateurs et MSP, qui peuvent prendre la main sur l’ensemble de la chaîne de sécurisation et de mise en conformité à la directive NIS 2. L’idéal étant pour ces sociétés d’agir comme des partenaires et de réaliser pas à pas un transfert de compétences vers des référents sécurité au sein de l’entreprise afin de s’assurer qu’ils connaissent bien leur propre réseau, ses forces et ses vulnérabilités et qu’ils puissent aussi sensibiliser et former leurs employés.