object.title
Décryptage des régulations LPM, NIS2 et NIST2

La dépendance de nos activités administratives, économiques, politiques et militaires au numérique n’est plus aujourd’hui sujet à des questions d’ordre moral ou philosophique mais de fait. De ce constat, leur exposition aux menaces informatiques n’aura jamais été autant préoccupante, et ne le sera encore que davantage demain. Une conclusion de bon sens s’impose alors : quand les enjeux cyber touchent à l’intégrité d’un l’état ou à celle d’un ensemble d’états, la sécurité de ces systèmes d’information ne doit plus simplement être à la main d’entreprises privées mais doit également subir une régulation venant d’entités nationales ou supranationales à travers des cadres réglementaires.

Bien qu’il ne soit pas question ici de dresser un inventaire exhaustif, il est essentiel de se pencher sur trois de ces dits cadres réglementaires emblématiques : la Loi de Programmation Militaire (LPM) en France, la directive sur la Sécurité des Réseaux et de l’Information (NIS-2) de l’Union Européenne, et les normes de sécurité informatique établies par le National Institute of Standards and Technology (NIST-CSF 2.0) aux États-Unis. L’analyse de ces dispositifs législatifs permettra de saisir pleinement leurs implications, leurs particularités, leurs points communs et la manière dont ils s’entremêlent, afin de comprendre comment ils façonnent le paysage de la cybersécurité mondiale.

La Loi de Programmation Militaire (LPM)

Source : ANSSI

Historique

La LPM se veut être un projet politique et de stratégie de défense dans un contexte de réarmement et de conflit sur le territoire européen. Votée tous les cinq ans, la dernière en date est de 2023, il serait apocryphe de dire que cette loi ne concerne que les entreprises du domaine militaire. Elle s’applique en effet sur l’ensemble des Opérateurs d’Importance Vitale (OIV), à savoir l’ensemble des entités privées et publiques indispensables au bon fonctionnement de la nation. Elle consacre donc logiquement une importance toute particulière sur les sphères relatives à la sécurité des systèmes d’information.

La LPM vise à garantir que la France et plus particulièrement les OIV renforcent au mieux la résilience et la protection de leurs infrastructures et de leurs systèmes informatiques.

Périmètre

Avant de rentrer davantage en profondeur sur les particularités de la loi, il convient dans un premier temps d’en définir le périmètre.
Ainsi, la LPM est une loi française qui s’applique uniquement aux OIV.

Ces derniers sont définis selon l’article R. 1332-2 du Code de la Défense comme l’ensemble des activités concourant à la production et à la distribution de biens ou de services indispensables à la santé, au régalien, au fonctionnement économique, au maintien du potentiel de défense ou représentant un danger grave pour la population. Sont compris également, les organisations possédant, dans le cadre de leurs activités, la gestion ou l’utilisation d’un établissement, d’un ouvrage ou d’installations dont le dommage, l’indisponibilité ou la destruction, par suite d’un acte de malveillance, de sabotage ou de terrorisme, risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la survie ou la capacité de survie de la France et de sa population.

Suis-je concerné ?

D’une manière plus concrète, douze secteurs d’activités sont retenus dans cette définition, à savoir :

  • Les activités civiles, militaire et judiciaire de l’état
  • Les activités relatives à la santé, à la gestion de l’eau, à l’alimentation, à l’énergie et à la finance
  • Les activités relatives aux transports, aux communications, à l’industrie et à la recherche

Si une entreprise possède une activité se situant sur le territoire français et correspondant à l’un de ces secteurs d’activité, alors cette dite entreprise peut être considérée comme un OIV, et ses systèmes informatiques relatifs à ces dites activités peuvent-être considérés comme des Systèmes d’Information d’Importance Vitale (SIIV). Chaque SIIV devra alors se soumettre à une homologation LPM s’il veut être en activité.

Obligations

Par le biais de la LPM, la France impose aux SIIV des directives réparties en vingt catégories, elles-mêmes réparties en cinq domaines à plus haut niveau, pour garantir leur sécurité et leur résilience :

Règles relatives à la gouvernance

               - Politique de sécurité des systèmes d’information (PSSI)

               - Suivis des indicateurs

Règles relatives à la maitrise des risques

               - Homologation de sécurité

Règles relatives à la maitrise des SI

               - Cartographie

               - Politique de maintien en conditions de sécurité

Règles relatives à la gestion des incidents

               - Journaliser les actions

               - Permettre la corrélation et l’analyse de journaux

               - Détection d’incidents

               - Traitement des incidents de sécurité

               - Traitement des alertes

               - Gestion de crises

Règles relatives à la protection des systèmes

               - Identification

               - Authentification

               - Droits d’accès

               - Comptes d’administration

               - SI d’administration

               - Cloisonnement

               - Filtrage

               - Accès à distance

               - Installation de services et d’équipement

La conformité à la LPM se fait par homologation. C’est-à-dire qu’une activité ne peut être opérationnelle que si elle a reçu la validation de l’autorité d’homologation pour pouvoir la débuter.

 

La NIS-2

Historique

Dans un marché européen de plus en plus interconnecté et en pleine mutation numérique, le constat d’une guerre informatique inégale, entre acteurs malveillants toujours plus performants et toujours plus outillés contre des entités économiques trop souvent peu en garde sur les préoccupations cyber; l’idée d’agir collectivement afin de garantir les conditions de sécurité adéquates dans toute l’union intervient non plus alors comme une question de choix, mais comm une nécessité. Inspiré de la LPM, la directive NIS, voté en 2016 suivis de la NIS-2 votée en 2022 et appliquée sur le territoire national en 2024, se voit dans ce contexte confier la poursuite d’un objectif des plus stratégiques : certifier un niveau de sécurité élevé et commun pour l’ensemble des réseaux et l’ensemble des systèmes d’informations des secteurs économiques clés de l’Union Européenne afin d’élever la maturité cyber des États membres pour mieux préserver leurs intérêts économiques et sociaux.

La directive NIS-2 est donc la réponse de l’Union européenne à la croissance exponentielle des cyberattaques.

Périmètre

La transition de la directive NIS-1 à la NIS-2 marque une évolution significative dans le cadre législatif européen en matière de cybersécurité, notamment en ce qui concerne son champ d’application.

La NIS-1 s’appliquait principalement aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN). Les OSE incluaient un panel de secteurs tels que l’énergie, les transports, la banque, les infrastructures du marché financier, la santé, l’approvisionnement en eau potable et la gestion des eaux usées. Les FSN, quant à eux, comprenaient les places de marché en ligne, les moteurs de recherche en ligne et les services de cloud computing.

La NIS-2, qui succède à la NIS-1, élargit considérablement le périmètre d’application en incluant de nouveaux secteurs tels que les fournisseurs de services postaux et de courriers, les entreprises de gestion des déchets, et certaines entités du secteur public. Elle inclue également la notion d’Entité Importante (EI) et d’Entité Essentielle (EE).

Suis-je concerné ?

Pour savoir si une entreprise est concernée ou non par la directive NIS-2, il est essentiel de s’interroger sur les points suivants :

Taille de l’entité : La directive NIS-2 s’applique généralement aux moyennes et grandes entreprises opérant dans les secteurs couverts par la directive.

- Est considérée comme une moyenne entreprise, une entreprise possédant plus de 50 employés et réalisant un CA supérieur à 10 millions d'euros.

- Est considérée comme une grande entreprise, une entreprise possédant plus de 250 employés et réalisant un CA supérieur à 50 millions d’euros.

Secteurs d’activité : La directive englobe près de six-cents types d’entités différentes, réparties dans dix-huit secteurs d’activité distincts. Ces secteurs sont stratifiés en deux catégories. En fonction de leur taille ils peuvent être considérées comme des EI ou des EE.
Ci-après, une liste non exhaustive des entreprises concernées, en fonction de leur secteur et de leur taille :

Si votre entreprise se reconnait parmi ces éléments, où qu’elle est prestataire d’une autre entreprise se reconnaissant parmi ces éléments, vous êtes très probablement soumis à la NIS-2.

Obligations

La transition de la directive NIS-1 à la NIS-2 représente une évolution majeure dans le paysage de la cybersécurité européenne. Elle doit encore subir une application au niveau des états membres mais voici un résumé des obligations associées à chacune de ces directives :

Obligations sous la NIS-1 :

               - Sensibilisation des collaborateurs

               - Gestion des incidents

               - Notification des incidents

               - Surveillance du réseau

               -Résilience cyber

Évolutions avec la NIS-2 :

                 - Extension du périmètre : La NIS-2 élargit le champ d’application à de nouveaux secteurs comme précisé auparavant, les EI et les EE remplaçant les OSE et FSN.

               - Obligations renforcées : Les entités couvertes par la NIS-2 doivent non seulement prendre des mesures de sécurité mais aussi gérer les risques liés à la chaîne d’approvisionnement et la sécurité des produits.

               - Coopération accrue : Elle renforce la coopération entre les États membres, notamment via le réseau CyCLONe (Cyber Crisis Liaison Organisation Network), le réseau réunissant les homologues de l’ANSSI au niveau européen.

Contrairement à la LPM, la NIS-2 n’implique pas l'homologation. C’est-à-dire qu’il n’est techniquement pas impossible qu’une activité puisse être opérationnelle sans être en conformité avec la NIS-2. Cependant, en cas de contrôle révélant un écart important, une lourde amende peut tomber dont le montant est fixé en fonction de s’il s’agit d’une EE ou d’une EI.

 

NIST-CSF 2.0.

Historique

Le 12 février 2013, le gouvernant américain publia un décret mandatant la NIST, le bureau qui fournit des standards aux entreprises, de concevoir un cadre visant à renforcer la cybersécurité des infrastructures vitales. D’abord cantonné au régalien, puis au marché américain, la NIST-CSF s’est rapidement élargie pour toutes activités souhaitant faire évoluer leur maturité cyber. Sauf qu’en dix ans, l’environnement a muté et l’accélération des avancées technologiques s’est accompagnée d’une multiplication des menaces cyber. Une mise à jour du CSF s’incombait alors. Publié le 26 février 2024, le NIST-CSF-2 étend son application pour accompagner toutes les organisations, quelles que soient leur taille et leur secteur, dans la gestion de leurs risques cyber. Cette nouvelle version met l’accent sur l’importance de la gouvernance et de la sécurisation des chaînes d’approvisionnement.

Le NIST-CSF 2.0 se veut donc être une référence mondiale pour la gestion des risques de cybersécurité. 

Périmètre

Mis à part quelques institutions américaines qui ne concernent aucunement l’Europe, il n’y a aucune obligation réglementaire à appliquer les mesures du NIST-CSF 2.0, cette dernière se fait en effet selon le bon vouloir des entreprises qui ont pris conscience des enjeux du numérique et qui souhaite s’appuyer sur une référence internationale pour renforcer au mieux leur sécurité.

Suis-je concerné ?

Ainsi, bien que sortant en dehors du cadre de la loi, il peut se poser la question sur la pertinence d’appliquer ou non les mesures. Ainsi, il peut vous être conseillé d’appliquer ces mesures si vous êtes responsable d’une activité économique, industrielle ou gouvernementale avec une forte présence numérique.

Cependant, il n’est pas nécessaire d’appliquer la NIST-CSF 2.0 si vous avez n’êtes qu’un particulier ou si vous êtes déjà soumis à un cadre de cybersécurité complet et spécifique à votre secteur (la LPM ou la NIS-2 par exemple).

Obligations

Le NIST-CSF 2.0 est structuré autour de 6 fonctions principales :

  • Gouverner : Cette fonction concerne la gestion stratégique de la cybersécurité. Elle implique la mise en place de politiques, de processus et de responsabilités pour guider les décisions en matière de sécurité. C’est d’ailleurs sur cette partie que la NIST-CSF 2.0 se distingue principalement de sa grande sœur.
  • Identifier : L’identification consiste à comprendre les actifs, les vulnérabilités et les menaces. Cela permet de déterminer les priorités en matière de sécurité.
  • Protéger : Cette fonction vise à mettre en place des mesures de protection pour réduire les risques. Cela inclut la sécurité physique, la gestion des accès et la sensibilisation des utilisateurs.
  • Détecter : La détection consiste à surveiller les activités suspectes et à identifier rapidement les incidents de sécurité. Cela permet une réponse plus efficace.
  • Répondre : La fonction de réponse implique l’action immédiate face à un incident de sécurité. Cela inclut la gestion des incidents, la communication et la récupération.
  • Récupérer : Après un incident, la récupération vise à rétablir les services et à apprendre des événements pour améliorer la résilience future.

Chaque fonction est divisée en catégories, sous-catégories et références informatives, permettant aux organisations de créer ou d’améliorer leurs programmes de gestion des risques de cybersécurité.

Il est important de noter que le CSF-2 est volontaire et ne prescrit pas comment atteindre les résultats souhaités. 

LPM, NIS2 et NIST 2 en résumé 

Guillaume TURCAS

Consultant Cyber Risk Security