Cybersécurité

NIS V2, suffit-il de légiférer pour augmenter le niveau de maturité cyber d’un secteur?

Publié le 04/05/2023

Confucius écrivait en 520 avant JC « Celui qui déplace la montagne, c'est celui qui commence à enlever les petites pierres ». S’agissant de la cybersécurité, la directive NIS rédigée à partir de 2013, adoptée le 6 juillet 2016 par l’UE, transposée en France le 27 février 2018 rendue applicable par décret le 25 mai 2018 semble faire partie des premières pierres. Quel bilan pour le secteur santé après ces quatre années de travail avant que le coup d’accélérateur ne soit donné avec la transposition française de NIS V2 attendue pour 2024 ? Le principe de réalité, celui du terrain a-t-il été oublié ?

État des lieux légaux

La directive sur la sécurité des réseaux et de l'information (NIS) est le premier texte législatif européen sur la cybersécurité. Son objectif spécifique, pour tous les États membres, était d'atteindre un niveau commun élevé de cybersécurité pour les opérateurs tributaires des réseaux ou systèmes d’information qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement des économies ou des sociétés. ,

Trois critères sont considérés :

Ce service est essentiel au maintien d’activités sociétales ou économiques critiques ; la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; Un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

Bien qu'elle ait renforcé les capacités des États membres en matière de cybersécurité, sa mise en œuvre s'est avérée difficile.

Une nouvelle proposition, NIS V2, s’appuie sur les acquis de la directive NIS 1 et renforce les exigences en matière de sécurité, vise à assurer la sécurité des chaînes d'approvisionnement, à rationaliser les obligations de déclaration, à introduire des mesures de surveillance et des exigences d'application plus strictes, en introduisant des sanctions harmonisées dans l'ensemble de l'Union européenne.

Par ailleurs, une extension sans précédent du périmètre des structures impactées est proposée par le champ d'application de NIS2 (Directive (EU) 2022/2555, 14 December 2022) (*), en désignant davantage d'entités et de secteurs cibles de la mise en œuvre des règles induites par la directive.

L’objectif est louable, il s’agit d’accroître le niveau de cybersécurité en Europe à long terme.

La commission européenne a adopté son rapport le 28 octobre 2021, tandis que le Conseil a arrêté sa position le 3 décembre 2021. Les co législateurs sont parvenus à un accord provisoire sur le texte le 13 mai 2022. L'accord politique a été formellement adopté par le Parlement puis par le Conseil en novembre 2022. Il est entré en vigueur le 16 janvier 2023 et les États membres disposent désormais de 21 mois, soit jusqu'au 17 octobre 2024, pour transposer ses mesures en droit national. Les fiches "Législation de l'UE en cours" sont mises à jour à des étapes clés de la procédure législative.

Au plus tard le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d'enregistrement de noms de domaine. Les États membres réexaminent et, le cas échéant, mettent à jour cette liste régulièrement et, par la suite, au moins tous les deux ans.

Au plus tard le 17 avril 2025, puis tous les deux ans, les autorités compétentes notifient à la Commission et au groupe de coopération le nombre d'entités essentielles et importantes pour chaque secteur.

Au plus tard le 17 octobre 2027, puis tous les 36 mois, la Commission examine le fonctionnement de la présente directive et fait rapport au Parlement européen et au Conseil.

Obligations importantes

Selon l'article 20 (gouvernance), les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques de cybersécurité prises par ces entités, superviser leur mise en œuvre et peuvent être tenus pour responsables des infractions.

Selon l'article 20, les États membres veillent à ce que "les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation" et encouragent les entités essentielles et importantes à proposer régulièrement une formation similaire à leurs employés, afin qu'ils acquièrent des connaissances et des compétences suffisantes pour leur permettre d'identifier les risques et d'évaluer les pratiques de gestion du risque de cybersécurité et leur impact sur les services fournis par l'entité.

Selon l'article 21 (Mesures de gestion du risque de cybersécurité), les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information qu'elles utilisent pour leurs activités ou pour la fourniture de leurs services, et pour prévenir ou réduire au minimum l'impact des incidents sur les destinataires de leurs services et sur d'autres services.

En tenant compte de l'état de l'art et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de la mise en œuvre, les mesures visées garantissent un niveau de sécurité des réseaux et des systèmes d'information adapté aux risques encourus. Lors de l'évaluation de la proportionnalité de ces mesures, il est dûment tenu compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité d'occurrence d'incidents et de leur gravité, y compris leur impact sociétal et économique.

Les mesures sont fondées sur une « approche tous risques » qui vise à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents, et comprennent au moins les éléments suivants déjà présents dans la Politique de Sécurité des Ministères Sociaux publiée au journal officiel en octobre 2015 :

des politiques d'analyse des risques et de sécurité des systèmes d'information (Référence PSSI MCAS octobre 2015 INT-HOMOLOG-SSI : Homologation de sécurité des systèmes d’information) ; le traitement des incidents (1er Octobre 2017 article 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016) (Référence PSSI MCAS octobre 2015 TI-OPS-SSI : chaînes opérationnelles SSI); la continuité des activités, notamment la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises (Référence PSSI MCAS octobre 2015 ARCHI-STOCKCI : architecture de stockage et de sauvegarde, PCA-MINIS : définition du plan ministériel de continuité d’activité des Systèmes d’Information) ; la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services (Référence PSSI MCAS octobre 2015 DEV-SOUS-TRAIT : intégrer des clauses SSI dans les contrats de sous-traitance de développement informatique) ; la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités (Référence PSSI MCAS octobre 2015 DEV-INTEGR-SECLOC : intégrer la sécurité dans les développements locaux) ; les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité (Référence PSSI MCAS octobre 2015 CONTR-BILAN-SSI : bilan annuel) ; les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité (Référence PSSI MCAS octobre 2015); les politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ; la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs (Référence PSSI MCAS octobre 2015 RH-SSI : charte d’application SSI., RH-MOTIV : choix et sensibilisation des personnes tenant les postes clés de la SSI, RH-CONF : personnels de confiance, RH-UTIL : sensibilisation des utilisateurs des systèmes d’information, RH-MOUV : gestion des arrivées, des mutations et des départs, RH-NPERM : gestion du personnel non permanent (stagiaires, intérimaires, prestataires …) l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.

La nouvelle directive NIS 2, principaux éléments de discrimination d’avec NIS 1

La nouvelle proposition de la Commission vise à combler les lacunes de la précédente directive NIS, à l'adapter aux besoins actuels et à la rendre pérenne.

À cette fin, la proposition de la Commission élargit le champ d'application de la directive NIS actuelle en ajoutant de nouveaux secteurs en fonction de leur importance pour l'économie et la société, et en introduisant un plafond de taille clair - ce qui signifie que toutes les moyennes et grandes organisations des secteurs sélectionnés seront incluses dans le champ d'application. En même temps, elle laisse aux États membres une certaine marge de manœuvre pour identifier les entités plus petites présentant un profil de risque élevé en matière de sécurité.

La proposition supprime la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les entités seront classées en fonction de leur importance et divisées en catégories essentielles et importantes, qui seront soumises à des régimes de surveillance différents. renforce et rationalise les exigences en matière de sécurité et d'information pour les entreprises en imposant une approche de gestion des risques, qui fournit une liste minimale d'éléments de sécurité de base qui doivent être appliqués. La proposition introduit des dispositions plus précises sur le processus de notification des incidents, le contenu des rapports et les délais.

En outre, la Commission propose d'aborder la question de la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs en exigeant des entreprises qu'elles s'attaquent aux risques de cybersécurité dans les chaînes d'approvisionnement et les relations avec les fournisseurs. Au niveau européen, la proposition renforce la cybersécurité de la chaîne d'approvisionnement pour les technologies clés de l'information et de la communication. Les États membres, en coopération avec la Commission et l'ENISA, peuvent procéder à des évaluations coordonnées des risques des chaînes d'approvisionnement critiques, en s'appuyant sur l'approche fructueuse adoptée dans le cadre de la recommandation de la Commission sur la cybersécurité des réseaux 5G.

La proposition introduit des mesures de surveillance plus strictes pour les autorités nationales, des exigences plus strictes en matière d'application et vise à harmoniser les régimes de sanctions dans les États membres. renforce également le rôle du groupe de coopération dans l'élaboration des décisions politiques stratégiques et accroît le partage d'informations et la coopération entre les autorités des États membres. Elle renforce également la coopération opérationnelle, notamment en matière de gestion des cybercrises. Elle établit aussi un cadre de base avec des acteurs clés responsables de la divulgation coordonnée des vulnérabilités nouvellement découvertes dans l'UE et crée un registre de l'UE dans ce domaine, géré par l'agence européenne pour la cybersécurité (ENISA).

Adaptation au domaine hospitalier et connexes

En France pour le secteur santé, les établissements support des groupements hospitaliers de territoire (136 GHT créés en juillet 2016) ont été désignés opérateurs de services essentiels. Cette désignation est le fruit d’un échange entre les ministères sociaux et l’Agence Sécurité des Systèmes d’Information.

Au regard du nombre d’incidents cybersécurité ayant touché durablement les établissements (Arles, Dax, Villefranche-sur-Saône, Rouen, AP-HP, Versailles, Corbeil…) il pourrait être intéressant de s’interroger sur l'efficacité du dispositif, d’autant que pour répondre aux menaces croissantes liées à la numérisation et à la multiplication des cyberattaques, la Commission a présenté une proposition visant à remplacer la directive NIS si difficile à mettre en œuvre sur le secteur.

Toute avancée légale censée améliorer l’existant s’affronte à la réalité du terrain. En l’occurrence et s’agissant du secteur de la santé, les mêmes causes produisent les mêmes effets. Cohérence, gouvernance, homogénéité, compétences, ressources, contrôle et sanction sont encore et toujours des maillons fragiles voire défaillants. On rappellera que le secteur doit adresser les patients avant toute chose et non pas le marché. Les deux points structurants de la cybersécurité en santé sont la bonne prise en charge des patients et le caractère optimal de l’utilisation et de la préservation des ressources publiques.

NIS 2, dans son application, pour faire preuve d’efficacité, doit tenir compte des points suivants :

Le législateur et ses organisations donnent-ils l’exemple ? Les directeurs d’établissements ont-ils compris les enjeux et savent-ils de quoi l’on parle ? Les acteurs de santé ont-ils été formés aux aspects cognitifs et comportementaux qui représentent 80 % des fragilités ? Les techniciens sont-ils compétents, quelles sont les méthodes de contrôle ? Les établissements ne peuvent-ils pas bénéficier d’outils communs mutualisés générateurs de performance, d’économie et de synergie ? Les techniciens bénéficient-ils d’outils de veille et de partage d’information communs ? Quels sont les outils de formation continue disponibles et déployés alors que la cybermalveillance évolue très vite (no code Hacking, New AI) ? Quels sont les outils de contrôle et de sanctions réelles appliquées sur le terrain ?

Fabien Malbranque, directeur cybersécurité du Health Data Hub