NIS2 va permettre de renforcer la sécurité globale des organisations concernées

septembre 2023 par Marc Jacob

A l’occasion des Universités d’été de la cyber et du cloud de confiance un débat dont le titre est NIS2 pour les entité critiques : la cybersécurité des systèmes industriels au cœur de NIS2 et de l’industrie qui a été introduit par Fabrice Clerc, CEO 6cure et Jérôme Lecat, président fondateur de Scality et avec les témoignages de Luc d’Urso, CEO Atempo ; Thomas Epron, Senior Vice-President, Framatome ; Nicolas de Maistre, Directeur de la protection et de la sécurité de l’État, SGDSN, Patrick Guyonneau, Directeur Sécurité Groupe Orange, Vincent Seruch, Technical Leader OT d’Airbus Protect.

Jérôme Lecat explique que NIS2 change la donne du stockage sécuriser. Ses clients sont de grandes entreprises des services de l’Etats... ainsi ils sont tous impactés par NIS2. De plus, les attaques aujourd’hui arrivent souvent par du social engineering. Ils sont élaborés par des groupes privés ou par des États qui attaquent avec des vue soit d’espionnage ou pour de l’argent. Ces pirates s’attaquent aussi au Backup afin que les entreprises ne puissent pas redémarrer facilement après une attaque. Scality Evident et Atempo ont conclu un accord pour sécuriser les Backup.

Fabrice Clerc CEO de 6cure a présenté son offre d’antiDdos qui permet d’assurer une disponibilité des données. Dans ce contexte 6cure s’intéresse aux attaques astucieuses qui passent sous les radars des contre-mesures avec souvent des enrôlements d’entreprises tiers qui sont devenus des ressources d’attaque. De plus 6cure s’intéresse aussi au point de congestion facile à saturer avec peu de moyen. Ainsi les passerelles OT sont atteignables par des attaques car ils s’apparentent à des points de congestion.

Après cette introduction le débat a été lancé.

Vincent Seruch considère que NIS2 est nécessaire pour les systèmes industriels. Ils sont très opérationnels car ils servent à la production mais aussi pour les bâtiments. Pour lui la difficulté pour sécuriser restera la même. Toutefois pour les autres industriels l’application de NIS2 pourrait être plus compliqué à mettre en œuvre même si pour certaines entreprises elles appliquent déjà NIS ou la LPM.

Luc d’Urso rappelle que la mise en œuvre de NIS2 est relativement courte en termes de timing puisque les entreprises n’auront qu’environ un an. 35 secteurs sont concernés il va falloir les accompagner, de leur fournir des outils, mais aussi de documenter suite à une attaque et enfin de proposer une remise en marche.

Thomas Epron explique que dans le nucléaire la cybersécurité est en œuvre depuis 2016. Ces outils sont déjà mis en sécurité, NIS2 va juste imposer un certain nombre de chose supplémentaire. Le problème est qu’il va falloir toucher à des outils qui fonctionnent, et les patcher tout en continuant sa production. Il va falloir faire des tests de non régression. Pour gagner du temps, Framatome a acquis une société aux États-Unis spécialisés dans la sécurisation des OT.

Le préfet Nicolas De Maistre rappelle que NIS2 n’est pas que le cyber mais touche aussi la capacité à avoir une sécurisation globale. La malveillance a changé ainsi la France a mis une réflexion sur la résilience, au niveau européen on a lancé Dora, et des législations qui imbriquent à la fois la sécurité des infrastructures critiques en physique et la cyberrésilience. Cela permet de résoudre la problématique de la sécurité physique et cyber. En France on est déjà bien avancé sur le sujet.

Patrick Guyoneau directeur de la sécurité d’Orange explique qu’il faut avoir une vision globale entre le physique et le virtuel, la sécurité et la sûreté. Pour lui, le salarié est le premier niveau de la sûreté et de la sécurité. La question aujourd’hui est de savoir quand on va être attaqué donc il faut penser à la gestion de crise, à mettre en place et tester les PRA. Il faut que cette réflexion soit testée régulièrement et remise en cause régulièrement. Ainsi NIS2 répond à ce besoin. Pour lui dans 5 ans on parlera de NIS2 comme du RGPD. Actuellement on a une avalanche de réglementations qui pose le problème de tout faire bien.

Thomas Epron rappelle qu’il y a eu la mode de la digitalisation et aujourd’hui il faut tout protéger. On trouve du digital et des points faibles partout. Il y a des vulnérabilités dans tous les systèmes physiques qui embarquent de l’électronique. C’est l’évolution vers le digital qui oblige à se protéger.

Chez Dassault il faut travailler avec nos fournisseurs explique Vincent Seruch. Depuis 16 ans on travaille chez Dassault avec notre écosystème sur les risques cyber. NIS2 pourrait être un élément pour que les entités qui travaillent dessus, maintienne cette dynamique. Pour ceux qui n’y travaillent pas actuellement, des efforts devront être fait surtout pour certains fournisseurs.

Luc d’Urso se félicite des initiatives que l’Europe a pris le leadership de cette réglementation. NIS2 pourrait devenir un référentiel pour le reste du monde. Chez Atempo il ne peut plus sous-traiter la fabrication de ses codes pour éviter des injections malveillantes de codes.

Le préfet rappelle que la transposition de NIS2 est prévue pour le 17 octobre 2024. Une réflexion sur les sanctions est en cours. Le sujet des collectivités locales devra être traité tout particulièrement. On est aujourd’hui sur une malveillance qui cible les infrastructures critiques comme on l’a vu en Ukraine.

Orange on va pouvoir voir comment l’Etat s’y prend avec les collectivités... et comment il donne l’exemple. Le comité stratégique sera l’occasion de packager des offres adaptées pour les entreprises ciblées par NIS2.

Le préfet Nicolas De Maistre considère que l’on a besoin d’offres packagées souveraines. Il faut pouvoir a minima proposer des offres globales. On va rentrer dans une mécanique où le risque sera réintégré par le privé et non plus seulement où le risque est assuré par l’Etat.