Directive NIS : du texte officiel à la mise en oeuvre
La Directive NIS transposée dans le droit belge sous peu. Qu’implique-t-elle concrètement ? Et pour qui ? Excellium et IBM font le point.
Fuite de données, piratage, ransomware… Le risque zéro n’existe pas. Il est même omniprésent. On le trouve cité à 78 reprises dans le règlement GDPR et à 39 reprises dans la directive NIS (Network and Information Security) concernant les mesures déstinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’informations dans l’Union européenne. La directive serait-elle moins importante que le règlement ?
La directive NIS définit le risque comme étant «toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d’information». Le risque, une fois identifié, devient un incident qui a un impact négatif réel sur la sécurité des réseaux et des systèmes d’information.
«En permanence, il faut pouvoir identifier, protéger, détecter, répondre à l’incident et récupérer les systèmes pour garantir la continuité de l’activité et rebondir. C’est l’approche suggérée par la directive NIS, qui vise à sécuriser les réseaux et les systèmes d’information contre tout risque et incident au niveau des infrastructures critiques européennes, commente Christophe Bianco, CEO, Excellium. Finalement, la cyber-sécurité n’est qu’un sous-ensemble de la cyber-résilience. On parle de développer pour chaque activité dépendante du numérique un système immunitaire performant. Pour qu’il soit efficient, il faut que les différentes composantes de l’organisation interagissent de manière coordonnée, selon une approche systémique.»
Pour le client final, une amélioration des services
NIS, un nouveau défi dans la foulée du GDPR ? Quels enjeux et quelles implications ? Tel était le sujet d’un événement organisé conjointement par Excellium et IBM le 14 mars dernier à Bruxelles. Des questions d’actualité, c’est évident, partant -ce jour là- de l’imminence de la transposition de la directive dans le droit belge. Comme le rappelait Anne-Catherine Goyers, attachée juridique, Centre for Cyber Security Belgium, «la directive NIS impose aux Etats membres un certain nombre d’obligations garantissant l’adoption par les opérateurs de services essentiels (OES – Operators of Essentials Services), en l’occurrence l’énergie, la santé, les transports, les opérateurs financiers, la distribution d’eau potable, et les fournisseurs de services numériques (DSP – Digital Services Providers), établis sur leur territoire, de mesures techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information. Cela doit permettre de prévenir les incidents ou en limiter l’impact, en vue d’assurer la continuité des services essentiels.»
Chez IBM, qui accueillait les participants à cet après-midi d’information et d’échange, les OES étaient venus nombreux, conscients des enjeux mais inquiets des conséquences. Car si l’Europe a fixé le cap, l’identification des entités concernées revient aux États membres. Concrètement, chaque État membre aura à déterminer quelles autorités nationales sont compétentes pour contrôler l’application de la directive. Pour le client final, l’impact de cette nouvelle réglementation devra être imperceptible. Mieux : il se traduira par une amélioration des services. Un meilleur contrôle du réseau permet en effet de détecter plus tôt des défaillances. Les cas de services indisponibles pourraient ainsi diminuer. Trop souvent perçue comme un coût, la cyber-sécurité est en réalité un avantage concurrentiel. En rendant le service plus robuste, elle augmente sa qualité -un aspect encore trop souvent négligé !
Pour les entreprises concernées, NIS implique de reconsidérer la gestion de crise. Désormais, la manière de gérer une crise sera déterminante, impactant significativement les conséquences, estime Christophe Bianco. «D’expérience, nous savons l’importance de cette gestion, la façon de réagir face à une attaque. Le temps est compté. Les informations et rumeurs vont vite; une réputation peut très rapidement être mise à mal. Les hackers, une fois entrés dans vos systèmes, veillent sur ce que vous communiquez et réagissent aussi en fonction !»
Remonter la piste d’une attaque
La mise en place d’une procédure de gestion des incidents est donc capitale. La notion d’incident de cybersécurité est un des piliers de la directive NIS. L’incident se doit d’être géré de bout-en-bout de sa survenance jusqu’au retour «à la normale». Cela suppose la mise en place d’une procédure claire de gestion des incidents au sein de l’entreprise, afin d’établir les responsabilités concernant les différentes actions à effectuer en cas d’attaque. Cette procédure doit aussi prévoir des stratégies de sauvegarde et de récupération des données permettant de revenir au dernier état «correct» avant un incident et d’isoler les systèmes affectés à des fins de quarantaine et d’investigation. Ceci est indispensable pour remonter la piste d’une attaque, comprendre comment elle s’est produite afin de prendre les mesures pour éviter qu’elle ne se reproduise.
Excellium parle d’expérience. L’entreprise gère 87 incidents de sécurité par an, 7 par mois… En pratique, les organisations ne sont souvent pas capables d’identifier le type d’incidents dans l’immédiat et, par conséquent, la gravité et les mesures à prendre. Statistiquement, on sait qu’il faut en moyenne 191 jours à une organisation pour se rendre compte d’une attaque, 66 jours pour la contenir et 43 jours pour y remédier !
L’importance du SIEM
Deuxième mesure importante, la notification des incidents qui ont un impact significatif sur la continuité des services dits essentiels. Celle-ci doit se faire «sans délai après en avoir pris connaissance». Reste qu’il revient aux opérateurs d’évaluer l’étendue de l’impact de l’incident en termes de nombre de personnes touchées, de durée ou encore de portée géographique. Ceci place l’opérateur au cœur de sa gestion des risques.
C’est là qu’intervient IBM. A l’aide d’analyses avancées, sa solution Q-Radar qui détecte les activités anormales et malveillantes, identifie et regroupe les événements associés et, enfin, génère des alertes par ordre de priorité uniquement pour les menaces les plus critiques. Ce SIEM (Security Information & Event Management) -identifié comme solution leader tant par Gartner que par Forrester- centralise et analyse les données de flux de journal et de réseau même dans les environnements les plus largement distribués afin de donner des informations exploitables sur les menaces.
«Avec 12 milliards d’incidents traités, IBM est le plus grand fournisseur de services de cybersécurité, assure Samuel De Vleeschauwer, Security Software Sales, IBM Belgium-Luxembourg. Nous mêlons aujourd’hui les compétences humaines et l’intelligence artificielle. Et nous travaillons en symbiose avec Excellium depuis cinq ans; cette collaboration a débuté dans notre SOC au Luxembourg; elle prend aujourd’hui de plus en plus d’ampleur en Belgique et à l’international…»
On en revient, bien évidemment, à la notion de surveillance du réseau. La détection d’une intrusion sur un réseau peut s’avérer extrêmement difficile dans certains environnements informatiques, comme celui des industriels par exemple. Pour limiter la propagation des attaques, les réseaux industriels de ces entreprises doivent en principe être très compartimentés. Ainsi, si ces entreprises disposent de services type SOC (Security Operation Center) destinés à repérer les activités malveillantes sur leurs réseaux, elles doivent multiplier les capteurs et les systèmes d’alarme pour couvrir chaque zone de ces réseaux cloisonnés. Les SOC devront aussi différencier les zones concernées par la directive NIS -car très sensibles- de celles qui ne le sont pas.
Outre des obligations à remplir, les OES et les DSP devront aussi être en mesure de présenter des preuves. En d’autres termes, il reviendra à ces acteurs de réduire les risques sur leurs réseaux informatiques en mettant en place des processus de sécurité, en déployant des procédures, et en veillant à procéder à des contrôles réguliers pour s’assurer de la bonne application des règles. Toutes les mesures de réduction des risques entreprises devront donc être documentées et auditables, en interne ou par des consultants externes.
Quatre grands domaines à considérer
Si Excellium et IBM proposent d’ores et déjà leurs expériences et leurs ressources, le Gouvernement doit encore, lui, désigner l’autorité compétente de même que les autorités sectorielles, ainsi que les experts vérificateurs. Une plateforme de l’IBPT permettra de notifier les incidents -une plateforme spécifique (même si reliée), différente de la GDPR. Ce qui nécessitera, en cas d’incident, de faire deux démarches distinctes…
Globalement, pour les entreprises, il s’agit de considérer quatre grands domaines. La gouvernance, d’abord, à savoir la création d’une politique de sécurité des systèmes d’information autour d’un ensemble cohérent de règles et de pratiques. La protection, ensuite : basée sur l’architecture globale de cybersécurité, les règles d’administration informatique, la gestion des identités et des accès, la maintenance de la cybersécurité et la sécurité physique et environnementale. La défense, bien évidemment, qui vise la détection des incidents et la gestion des interventions en cas d’incident. Et, enfin, la résilience des activités.
«Il est évident que la vocation de NIS n’est pas de couvrir l’ensemble des risques spécifiques liés aux activités. En revanche, la mise en conformité est une étape majeure dans la mise en place de stratégies de cybersécurité rigoureuses et efficaces. Elle va ainsi permettre aux États et aux entreprises d’élever leur niveau de cybersécurité d’un cran supplémentaire. NIS, conclut Fabrice Hecquet, Sales Manager, Excellium, va également contribuer à sensibiliser les responsables publics et privés et ainsi, à améliorer globalement la résistance des sociétés européennes face aux cyberattaques.»
Axel Cleven
Ces articles parlent de "Cybersecurity"
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC