Selon que vous serez une entité « importante » ou « essentielle », la NIS 2 s’appliquera différemment.
Le principe est connu. L’ANSSI y apporte cependant une nouvelle grille de lecture, en l’objet du ReCyF (Référentiel Cyber France). Elle y décline les dispositions de la directive en 20 objectifs.
En attendant la transposition dans le droit français, le ReCyF n’est diffusé qu’en tant que document de travail – il n’a d’ailleurs pas encore fait l’objet d’une consultation. L’agence prévoit de publier un référentiel complémentaire qui en reprendra un sous-ensemble pour les entités moins matures.
Un principe de proportionnalité s’applique. Les entités importantes (EI) sont ainsi exemptées de 5 objectifs, qui ne s’appliquent qu’aux entités essentielles (EE). Ils concernent, dans les grandes lignes :
Gouvernance par les risques
Programme d’audit SSI
Sécurisation de la configuration des ressources des SI
(En particulier, n’installer que les logiciels nécessaires et réduire le risque sinon)
Réseaux d’administration dédiés
Supervision de la SSI
(Dimensionnement du SI en adéquation avec la capacité opérationnelle de l’équipe chargée de cette supervision, démarche d’amélioration continue de cette activité, conservation des données au moins 3 mois, etc.)
Les 15 autres objectifs s’appliquent aux EE comme aux EI. Mais on n’attend pas de ces dernières qu’elles mettent en œuvre autant de moyens pour les atteindre.
Sur la gouvernance de la sécurité numérique
L’ANSSI attend des EI que leur dirigeant exécutif soit responsable de la sécurité informatique. Mais pas qu’il désigne au moins une personne pour le conseiller et l’accompagner dans l’exercice de cette responsabilité.
Sur l’intégration de la sécurité numérique dans la gestion des RH
On n’attend pas des EI qu’elles prévoient des clauses de sécurité dans les contrats de travail.
Sur la maîtrise des SI
Au rang des éléments attendus des EI, il y a une cartographie des SI. Mais pas une procédure de MCO/MCS des ressources matérielles et logicielles. Ni la planification et l’installation des correctifs de sécurité sur l’ensemble de ces ressources.
Sur la maîtrise des accès physiques aux locaux
L’ANSSI attend d’une EI qu’elle mette en place des mesures pour limiter l’accès de personnes non autorisées à ses locaux (registre des visiteurs, badges…). Mais pas qu’elle s’assure de leur protection physique (vidéosurveillance, gardiennage, alarme). Ni que les droits d’accès physique soient attribués au regard du besoin strictement nécessaire à l’exécution des missions des personnes.
Sur la sécurisation de l’architecture des SI
Les EI cloisonneront physiquement et/ou logiquement l’ensemble de leurs SI vis-à-vis des autres SI.
On n’attend pas, en revanche, qu’elles mènent des réflexions sur la pertinence de définir des sous-systèmes. Et, par là même, qu’elles en définissent au moins un de type « passerelle sortante » (proxy) et un de type « passerelle entrante » (proxy inversé ou relais).
Deux autres « attendus » ne s’appliquent pas aux sous-systèmes. D’une part, s’assurer que seules les interconnexions nécessaires aux activités de l’EI ou à son MCO/MCS soient mises en œuvre entre ses SI et les SI tiers (ainsi que ceux auxquels elle a choisi de ne pas appliquer les objectifs de sécurité). De l’autre, définir et documenter ces mêmes connexions.
Sur la sécurisation des accès distants aux SI
L’ANSSI attend des EI des mécanismes de chiffrement et d’authentification conformes à ses recommandations. Mais elle n’attend pas nécessairement de multifacteur avec au moins un facteur de connaissance. Elle n’attend pas non plus des mesures de réduction du risque associé aux accès qui ne peuvent être couverts par du MFA pour raisons techniques ou opérationnelles. Ni un chiffrement et une authentification à l’état de l’art pour les disques des postes de travail et des équipements mobiles qui permettent les accès à distance depuis des lieux qu’elle ne maîtrise pas.
Sur la protection des SI contre les codes malveillants
On attend d’une EI qu’elle définisse les ressources matérielles autorisées à se connecter à ses SI. Mais pas qu’y connectent uniquement celles dont elle – ou un prestataire – assure la gestion et qui particpent à ses activités ou à son MCO/MCS.
Sur la gestion des identités et des accès aux SI
L’ANSSI escompte, de la part des EI, un mécanisme d’authentification impliquant au moins un élément secret. Elle attend des mesures de réduction du risque lorsque des raisons techniques ou opérationnelles empêchent la modification du secret. Mais pas, dans le cadre de cette exception, la mise en œuvre d’une traçabilité des accès.
Sur la maîtrise de l’administration des SI
Il est attendu que les actions d’administration soient effectuées exclusivement à partir de comptes d’administration. Et que ces derniers ne soient pas utilisés à d’autres fins.
L’ANSSI n’attend cependant pas que les EI tiennent à jour la liste des comptes d’administration de leurs SI. Ni que lors de la modification d’un de ces comptes, elles vérifient la cohérence des droits d’accès et des besoins d’utilisation.
Autre élément non attendu des EI : la désignation d’un « cœur de confiance » réunissant un annuaire et les ressources matérielles et logicielles qui l’hébergent ou permettent d’en prendre le contrôle. Ni, par voie de conséquence :
Réalisation des actions d’administration sur ce cœur de confiance depuis des comptes d’administration dédiés à cette tâche
Filtrage des connexions externes au cœur de confiance et à ses ressources d’administration
La revue annuelle de la configuration des annuaires n’est pas non plus un « attendu » pour les EI.
Sur l’identification et la réaction aux incidents de sécurité
Comme les EE, les EI mettront en œuvre des mécanismes d’analyse et de qualification des événements remontés et d’identification des incidents. On n’attend par contre pas d’elles :
Des mécanismes organisationnels et techniques pour réagir en cas d’incident et limiter les conséquences sur la fourniture de services
Une analyse des causes de chaque incident de sécurité
La conservation des relevés techniques pouvant servir d’éléments de preuve en cas de judiciarisation
La protection de ces relevés contre un incident qui les rendrait inexploitables
Sur la continuité et la reprise d’activité
L’ANSSI n’attend pas d’une EI qu’elle définisse et documente, pour chacun de ses activités et services, la durée maximale d’interruption admissible et le point de rétablissement des données. Ni qu’elle ait un PCA et un PRA cohérents vis-à-vis de ces deux indicateurs.
Sur la réaction aux crises d’origine cyber
En la matière, pas d’attentes envers les EI concernant :
Critères permettant d’activer et de désactiver le dispositif de gestion de crise prenant en compte les menaces cyber
Procédures et mécanismes de gestion de crise adaptés à la menace cyber et s’appuyant sur les recommandations de l’ANSSI
Mesures pour isoler, protéger et, le cas échéant, reconstruire les SI concernés
Stratégie de com adaptée
Moyens de communication de secours
Sur les exercices, tests et entraînements
L’ANSSI attend, chez les EI, au moins un exercice sur table – à la fréquence jugée adéquate – pour les personnes mobilisables dans le dispositif de gestion des crises cyber.
Elle n’attend pas, en revanche, de stratégie d’entraînement comportant une liste des acteurs amenés à participer aux différents dispositifs, une liste d’exercices, des objectifs et des moyens d’évaluer leur atteinte, des scénarios de risque ou d’attaques à tester en priorité et une comitologie de suivi.
Illustration générée par IA
The post ReCyF, une grille de lecture supplémentaire pour la NIS 2 appeared first on Silicon.fr.
