Et le NIS dans tout ça ?

Normes et Réglementation
Et le NIS dans tout ça ?

Alors que le GDPR est sur toutes les lèvres, à toutes les sauces, pour tous les gouts, on entend en bruit de fond un léger murmure… le « NIS ». Mais c’est quoi ce NIS ? Non ce n’est pas une énième agence américaine, ni une techno hyper révolutionnaire, c’est une directive européenne. Je sais : ça fait un choc !

Alors que le parlement européen venait d’adopter le GDPR, ils ne se sont pas arrêtés en si bon chemin et ont fait une directive. Mais au fait ça veut dire quoi NIS ? Network and Information Security ! Oui, oui il y a même « sécurité » dedans - c’est dire si c’est sérieux.

Mais elle va servir à quoi cette directive ? Et bien tenez-vous bien, elle a des ambitions et même de hautes ambitions. Tout d’abord, elle doit être transposée par chaque pays européen dans son droit national… C’est toujours sympa au parlement européen de s’assurer que nos parlementaires nationaux ne s’ennuient pas et de les alimenter en loi… mais bref ce n’est pas le sujet !

Donc je disais elle a des ambitions : 

Etablir des mesures harmonisées qui ont pour but d’assurer un niveau élevé et commun de sécurité des réseaux et des systèmes d’information dans l’Union Européenne.

C’est beau comme une profession de foi en période électorale ! Mais ce n’est pas tout. Pour ce faire, chaque pays de l’Union va devoir adopter une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information. Le premier qui dit « heureux les anglais » est privé de galette ! Et comme dirait ma grand-mère « il faut battre le fer tant qu’il est chaud », chaque pays doit faire cette transposition avant fin 2018. 2018 c’est définitivement l’année de la conformité… Youpi !

Mais revenons à notre directive, comme la France est une bonne élève, les travaux de transposition ont commencé à l’automne 2016. Et qui dit directive dit principes (cette phrase vaut aussi pour règlement, disposition, loi et autres attributs juridiques). Oui je sais en plus d’avoir des ambitions elle a des principes !

Enumérons ces principes :

1. Une autorité nationale et un point de contact unique tu désigneras

2. Un réseau de centre de réponse aux incidents de sécurité tu créeras

3. Un groupe de coopération tu composeras

4. Des exigences de sécurité pour les acteurs concernés tu renforceras

5. Une stratégie nationale tu établiras

J’en frissonne tellement c’est beau … Chez nous, c’est l’ANSSI qui est désignée volontaire. Pour le centre de réponse ou CSIRT (si vous voulez briller dans les diners), on a mis en place le CERT-FR. Il est multifonction comme tout bon outil moderne. Il va gérer les incidents de sécurité, aider les états à faire face aux incidents transfrontaliers et contribuer à renforcer la confiance entre les états… Quand je vous dis que les parlementaires ont une âme de poète !

Pour le groupe de coopération, c’est un endroit (secret ?) où se retrouve la commission, des représentant des états membres et l’ENISA pour mettre en œuvre des stratégies, les évaluer, faciliter les échanges et la coopération... Des réunions passionnantes à la clé !

Mais mon principe préféré, en bonne consultante sécurité accro aux normes et aux standards, des exigences de sécurité pour les acteurs concernés tu renforceras … C’est qui les acteurs concernés et c’est quoi les exigences de sécurité ?

Pour les acteurs c’est facile : Deux catégories ! Une pour qui c’est évident et qui sont habitués à avoir des exigences de sécurité, et la deuxième qui parait évidente aussi mais qui va demander de la part de ces acteurs un peu plus de travail.

J’en étais où ? Ah oui ! Les catégories d’acteurs : les opérateurs de services essentiels et les fournisseurs de services numériques. Derrière la première catégorie vous aurez retrouvé nos bien-aimés OIV (anonyme mais pas trop !). Mais qui se cache derrière la seconde ? Attardons-nous sur la définition qu’en donne la directive :

Une personne morale qui fournit un service numérique

Je sais : avec ça on est bien aidé ! C’est pas large du tout, et une définition qui reprend les mots qu’elle est censée définir, c’est faire fi de toutes les règles en matière de définition… mais passons … car ils ne nous ont pas laissé comme ça. Il s’agit donc des places de marchés en ligne, des moteurs de recherche et des fournisseurs de services cloud… Et ouaiiiiis, encore eux !

Donc tout ce beau monde se doit de répondre aux exigences renforcées :

  • Mettre en œuvre des mesures techniques et organisationnelles renforcées afin de prévenir les incidents,
  • Gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information,
  • S’astreindre à une « obligation de notification » à l'Autorité compétente ou au CSIRT.

Vous allez me dire, et non sans raison, que pour les OIV c’est un peu déjà le cas et que ces dispositions ne vont pas changer la face de leur monde. Quant à nos amis des services numériques, la transformation vers des nuages sécurisés est en marche. Bonne nouvelle pour eux, enfin si je puis dire, les exigences pour les services essentiels seront plus contraignantes … Na !

Je ne m’étendrai pas sur le 5ème et dernier principe : la stratégie nationale… parce que, non vraiment, vous n’avez pas besoin de moi pour comprendre ce que c’est…

Il me faut maintenant vous laisser (car cet article fait déjà 200 mots de trop !). Que vous soyez services essentiels ou services numériques, tout va bien aller, tout va bien se passer… Dites-vous juste qu’une fois le NIS passé, le GDPR et une ou deux certifications, même l’Himalaya vous apparaitra comme une colline trop plate !

Une Consultante, Anonyme, Advens