• le mois dernier
FRnOG 40 - Ionathan Noblins : Introduction aux enjeux de la directive NIS2 pour le secteur des télécommunications
Transcription
00:00Bonjour à tous. Merci à l'organisation de nous avoir donné l'opportunité de présenter cette courte introduction en 15 minutes à la directive NIS 2.
00:10Je m'appelle Jonathan Noblens. Je travaille à l'ANSI. L'ANSI, c'est l'Agence nationale de la sécurité des systèmes d'information.
00:17C'est un service du Premier ministre rattaché au secrétariat général de la Défense et de la Sécurité nationale.
00:23À l'ANSI, j'occupe le poste de coordinateur sectoriel, coordinateur pour la sécurité en particulier des télécoms et des infrastructures du numérique.
00:30Et dans ce cadre-là, je contribue à la négociation de NIS 2 avec les États membres et à la construction de sa transposition nationale.
00:39Et pourquoi on a souhaité vous en faire part aujourd'hui ? Pour une première raison pour nous, qui était de faire connaître le nouveau cadre
00:46apporté par la directive NIS 2. Et pour vous, c'était de vous permettre de comprendre en quelle mesure est-ce que vous allez être concernés,
00:54ce que ça va impliquer, et dans ce nouveau cadre tracé par la directive NIS 2, de vous permettre de vous repérer, d'anticiper et au final de gagner du temps.
01:03Avant de rentrer vraiment dans cette présentation, je dois faire certains éléments de préambule. Donc ce sera une courte introduction.
01:10Ça ne pourra pas être exhaustif dans ce format-là. Les travaux relatifs à la transposition nationale sont en cours et c'est important de le souligner.
01:22Donc tout n'est pas encore précisé, tout n'est pas encore construit, mais on a souhaité ne pas attendre pour venir vous en parler,
01:28pour vous laisser le plus de temps pour pouvoir anticiper ce changement et éventuellement vous adapter et procéder aux différents changements qui seraient nécessaires.
01:39Évidemment, dans cette présentation, ce ne sera simplement que quelques éclairages qui vont être apportés et qui ne peuvent pas remplacer les analyses internes et spécifiques
01:47aux situations particulières à chacune de vos entités.
01:51Pour commencer à parler de NIS 2, on va regarder dans le passé et on va consulter le premier tome de cette série à succès, c'était NIS 1.
01:59NIS, ça veut dire Network and Information Security, qui a ciblé les grands acteurs économiques du marché intérieur.
02:06Donc on ciblait des très grands opérateurs face à des menaces plus avancées.
02:10Et en parallèle de ce ciblage des grands acteurs, on a aussi renforcé le cadre de coopération entre États membres.
02:17Ça, c'était en 2016, il y a huit ans.
02:21Depuis huit ans, la menace cyber, elle a évolué.
02:23Le niveau de menace, en général, il a augmenté et en particulier celui de cybercriminalité.
02:30Et j'insisterai beaucoup sur ce concept de cybercriminalité qui augmente,
02:34parce que c'est pour cette raison que NIS 2 a commencé à être construit et déployé.
02:43La menace, elle a changé également parce qu'il y a de nouvelles victimes.
02:45Avant, la menace, elle se concentrait essentiellement sur les très grands acteurs dont je parlais.
02:50Maintenant, elle se déporte sur de plus petits acteurs comme les collectivités territoriales,
02:54les entreprises de taille intermédiaire et même les petites, moyennes entreprises et très petites entreprises.
03:01Pour caractériser un peu cette menace et expliquer ce à quoi le cadre de la directive NIS 2 cherche à répondre,
03:08je vais vous parler de la menace en général qui est protéiforme et en général qu'on caractérise avec trois grandes finalités,
03:14trois grands motifs des attaquants, le gain financier, la déstabilisation et l'espionnage.
03:20NIS 2 ne va pas chercher à répondre à toutes ces menaces.
03:24Elle va y contribuer à son échelle mais elle ne va pas pouvoir, elle ne va pas être dimensionnée,
03:28elle ne va pas être construite pour répondre à toutes ces menaces,
03:30notamment à l'espionnage qui est la menace qui a le plus mobilisé l'ANSI ces dernières années
03:35avec des ciblages de certains de vos clients comme les instituts de recherche,
03:39comme les entreprises de la BITD et parfois évidemment les opérateurs télécom
03:43comme fournisseurs de connectivité à ces entreprises ciblées.
03:47Donc là on va faire face à des modes opératoires d'attaquants réputés liés aux intérêts stratégiques iraniens,
03:52russes, chinois comme les modes opératoires appelés Gallium, Turla et Sandworm
03:58dont vous pouvez prendre connaissance sur internet si vous le souhaitez
04:02pour comprendre comment ils fonctionnent mais NIS 2, ça n'a pas été construit pour ça,
04:06ça a été construit pour faire face à la cybercriminalité de masse
04:09qui touche de plus en plus d'acteurs économiques et qui détruit de plus en plus de valeurs.
04:14A l'ANSI, ce qu'on a observé c'est que sur les incidents déclarés entre 2022 et 2023
04:20qui ont été portés à notre connaissance, le nombre de rançongiciels qui nous ont été déclarés a augmenté de 30%.
04:26Donc ce vol, ce chantage, cette extorsion, c'est vraiment cette menace
04:32à laquelle on va essayer de chercher à répondre avec NIS 2,
04:35ça se traduit également par des fuites de données assez nombreuses dans le secteur
04:39Et donc en complément de cette introduction générale aux grandes finalités de la menace cyber
04:44qu'on peut observer, ce qu'on souhaite vous apporter c'est quelques éléments d'illustration sectorielle
04:51Nous concrètement, à l'agence, on est notifié d'un événement de sécurité par semaine significatif dans le secteur
04:58Pour illustrer un peu plus ce point dans le secteur des télécoms,
05:02en temps de paix on a des attaques par rançongiciels qui ciblent beaucoup des entités de taille moyenne dans le secteur
05:08Et on a pu observer qu'un opérateur national avait été compromis par un mode opératoire réputé chinois
05:14à une fin probable d'espionnage, ça c'est en temps de paix
05:19Evidemment en temps de guerre, la menace de sabotage augmente avec le réseau Kassat
05:23et tous ces modems, ces milliers de modems satellites qui ont été émis hors service
05:27avec Kistar qui est le principal opérateur ukrainien qui a vu ses cœurs détruits par une cyberattaque
05:33Plus récemment dans l'actualité, vous avez sans doute pu voir les fuites de données
05:37chez AT&T, chez T-Mobile, chez Telefonica
05:40et les interruptions complètes de services et les pertes financières associées
05:44qui ont pu avoir lieu chez Vodafone Portugal
05:51Dans ce contexte, c'est pour ça que NIS2 a été créé
05:55C'est pour apporter, face à cette cybercriminalité de masse, une partie du panorama général de la menace
06:02une réponse avec une hygiène informatique de base pour les plus petits acteurs
06:06A la prochaine diapositive, je vais vous présenter plus en détail ce que ça peut vouloir dire
06:12pour votre secteur, pour vous les télécoms et les infrastructures numériques
06:18Mais d'abord, généralement, NIS2 va chercher à étendre le périmètre des entités assujetties
06:24donc on quitte les grands acteurs et on va voir les acteurs de taille moyenne et de petite taille
06:28qui, désormais, vont être soumis à de nouvelles obligations dont on va aussi parler
06:34Et quelques concepts clés, avant de passer à la diapositive suivante
06:38Le champ d'application de la directive, sur qui et sur quoi
06:42Il va se définir avec deux grands paramètres
06:45D'abord, le type de l'activité, la nature de l'activité
06:48Ça, ça va être les secteurs, comme grande catégorie, et les types d'entités
06:52qui vont correspondre à des activités précises au sein de ces secteurs-là
06:57Et le volume d'activité va définir un statut important ou essentiel à l'entité
07:01qui sera ensuite soumise à des obligations plus ou moins contraignantes en fonction de son statut
07:05Donc ça, c'est la notion de proportionnalité qui est absolument centrale
07:09C'est que les obligations sont différentes entre les entités importantes
07:13qui ont un certain niveau d'obligations et les entités essentielles qui en ont plus
07:19Donc c'est là qu'il y a vraiment des choses à retenir
07:23En particulier pour vous, membre du FRNOG, on a les deux secteurs
07:27des infrastructures numériques
07:31et des services TIC
07:35avec notamment
07:39avec les réseaux de communication électronique
07:43et les services de communication électronique public au milieu
07:47Donc, ce qu'on voit en haut de cette diapositive
07:52c'est les différents types d'entités futures à Sugeti
07:56dans les secteurs des infrastructures numériques et de la gestion de services TIC
08:00On va retrouver les points d'échange, on va retrouver le cloud, les data centers
08:04la diffusion de contenus, les réseaux et services de communication électronique dont j'ai déjà parlé
08:08les offices de nom de domaine de premier niveau, les services de confiance
08:12et les services DNS. Donc si vous fournissez une de ces activités
08:16il est vraisemblable que vous soyez à l'avenir à Sugeti et à la directive NIS2
08:20selon certains seuils d'activité qui sont les éléments en bas de slide
08:24Le cas général c'est la colonne de gauche
08:28donc les plus petites entités ne sont pas à Sugeti, les TPE, PME
08:32les entités de taille moyenne sont des entités considérées comme étant importantes
08:36et les plus grandes entités sont considérées comme étant
08:40des entités essentielles. Et ces deux types d'entités, importantes et essentielles
08:44vont se voir à Sugeti à de nouvelles obligations
08:49C'est le cas général qui s'applique aux infrastructures numériques
08:53à la gestion de services TIC mais aussi à la gestion de l'eau, au transport, à l'énergie etc.
08:57Certains acteurs sont soumis à un régime plus contraignant
09:01c'est notamment votre cas, infrastructures numériques
09:05notamment pour les services fournis de réseaux et services de communication électronique
09:09publics et accessibles au public
09:13A ce moment là, pour ce type d'activité, toutes les entités sont considérées comme importantes
09:17et dès qu'elles dépassent les seuils d'entités
09:21de petite taille, donc dès qu'elles sont des entités de taille moyenne
09:25elles deviennent essentielles. Et enfin, certains autres acteurs
09:29sont considérés comme essentiels, quelle que soit leur taille
09:33Donc ça permet de répondre à la question, est-ce que je serais vraisemblablement concerné ?
09:37Ensuite il y a, qu'est-ce que ça va impliquer ?
09:41Je rappelle, comme je l'ai dit en introduction, que le dispositif
09:45est toujours en cours de construction, et je rappelle aussi sa finalité
09:49c'est que l'implication va être des obligations qui
09:53ont pour finalité d'apporter une hygiène informatique de base
09:57face à la cybercriminalité de masse. Donc ça ne va pas être quelque chose de révolutionnaire
10:01ça va être les thématiques de cybersécurité qu'on connaît déjà
10:05qui sont déjà présentes dans les grands référentiels et qui visent à
10:09connaître les systèmes d'information, à les protéger, à détecter des activités
10:13malveillantes, à être capable de reconstruire le système d'information ou le réseau
10:17en cas de destruction par une cyberattaque.
10:21Donc concrètement, au niveau français, on est en train de co-construire avec des fédérations professionnelles
10:25et des ministères un référentiel national qu'on veut
10:29souple et proportionné. Qu'est-ce que ça veut dire ? Souple ça veut dire qu'il va être centré
10:33sur la notion d'objectifs de sécurité, et qu'on proposera un chemin possible
10:37mais pas le seul pour atteindre ces objectifs de sécurité
10:41avec la notion de moyens acceptables de conformité dont
10:45le respect permettra d'atteindre l'objectif mais qui ne sera pas le seul chemin
10:49possible compte tenu de vos situations particulières, de vos risques pour
10:53atteindre les objectifs de sécurité.
10:57Rien de révolutionnaire côté obligations de sécurité et avec un niveau
11:01qui vise à répondre à la cybercriminalité de masse par unigène
11:05informatique de base. Côté sanctions, la
11:09directive prévoit également des sanctions. Là aussi, il n'y a rien de fondamentalement
11:13nouveau parce que le règlement général sur la protection des données avait commencé
11:17déjà à introduire cette mécanique-là. Elles sont notamment financières
11:21et pour simplifier, elles peuvent aller jusqu'à 2% du chiffre d'affaires mondial
11:25des entités essentielles.
11:29Le temps file, et comme on l'a dit en début de présentation
11:33on ne pourra pas être exhaustif, je vais parler de quelques autres concepts très rapidement
11:37je serai sur place ensuite et je pourrai répondre à vos questions si vous le souhaitez
11:41à la fin des présentations. Il y a la notion d'enregistrement
11:45qui est importante, les futurs assujettis devront s'enregistrer auprès de l'ANSI
11:49il y a la question de notification des incidents
11:53à l'ANSI a priori, il y a les concepts de territorialité, de règlement
11:57d'exécution et il y a le traitement particulier des fournisseurs de services d'enregistrement
12:01j'en dis pas plus, je les mentionne simplement pour que vous sachiez qu'ils existent
12:05Donc, en presque conclusion
12:09parce qu'après je vais vous parler très rapidement et très brièvement du règlement d'ORA
12:13ce qu'on vous invite à faire, c'est consulter le site monespacenis2 pour aller plus loin
12:17qui va rappeler certains éléments, qui présente une FAQ
12:21qui permet de répondre à un grand nombre de questions que vous pourriez vous poser sur la directive
12:25et qui est la première pierre du dispositif d'accompagnement
12:29ensuite, ce qu'on vous encourage à faire, c'est familiariser vos entités avec la directive
12:33et ses principaux concepts, les opérationnels pour qu'ils puissent anticiper
12:37les changements dans les pratiques d'administration notamment
12:41et les équipes juridiques, et ceci le cas échéant
12:45et enfin, on vous invite, en l'attente de la publication du référentiel national
12:49de prendre connaissance de l'esprit de la doctrine de l'ANSI qui vous permettra
12:53d'estimer l'effort nécessaire à la future mise en conformité
12:57donc là le site c'est cyber.gouv.fr
13:01il y a deux guides techniques, notamment pour l'administration des ESI et des réseaux
13:05sécurisé, un guide sur la sécurisation des environnements GNU-Linux
13:09un guide sur l'hygiène informatique et un guide sur les TPE
13:13PME pour les plus petites entités
13:17quelques mots comme promis sur le règlement DORA
13:21je vais faire simple et je vais sans doute faire beaucoup trop simple
13:25DORA c'est NIS2 pour les entités financières
13:29elles vont se retrouver soumises à de nouvelles obligations pour la gestion
13:33du risque TIC et en particulier cyber, et elles vont
13:37pour la partie de leurs ESI et de réseaux qui sont sous-traités, redescendre ces nouvelles obligations
13:41à leurs sous-traitants dont vous pouvez faire partie
13:45donc pour vous, membre du FRNOG, vous pouvez vous demander
13:49pour anticiper d'éventuels impacts avec l'avenue de DORA, si des services TIC sont fournis
13:53à des entités financières, si ces services peuvent être considérés
13:57comme supportant des fonctions considérées comme critiques ou importantes
14:01par les entités financières, c'est des concepts DORA, et si oui
14:05a priori vous pouvez anticiper des évolutions dans la relation que vous aurez
14:09avec des entités qui vous formuleront de nouvelles exigences
14:13pour les réseaux et les systèmes d'information dont elles vous confient la charge
14:17quelques liens utiles, vous avez le lien du règlement et vous avez le lien
14:21de quelques textes d'application qui viennent détailler
14:25les mesures que les entités devront prendre, et en particulier
14:29pour la gestion des tiers.
14:33Merci beaucoup à l'organisation de nous avoir permis de présenter cette introduction
14:37à la Directive NIS 2, comme je vous l'ai dit précédemment, rendez-vous sur le site
14:41mondespacenis2.cbr.gouv.fr et si vous en ressentez le besoin
14:45écrivez-nous à l'adresse sectorielle relation telecominfranume
14:49at ssi.gouv.fr. Un dernier mot
14:53on lance un projet d'analyse sectorielle, donc si vous le souhaitez
14:57vous pouvez venir m'en parler si vous êtes intéressé
15:01et merci encore.

Recommandations