SlideShare une entreprise Scribd logo

Pourquoi la directive NIS ?

Seclab
Seclab

Les raisons qui ont poussé l'Europe à créer la Directive NIS, et ce qu'elle implique pour les pays membres.

Droit
1  sur  20
Télécharger pour lire hors ligne
Pourquoi la directive Network Information Security? • Pourquoi traiter de ce sujet ? • La genèse • La directive NIS Fabien LAVABRE Expert Cyber Sécurité
Pourquoi traiter ce sujet ? Si votre entité fournit un service essentiel au maintien d’activités sociales et économiques critiques. Vous pouvez être directement impactés Incidences sur votre activité : • Respects des lois et des normes, • Délais d’application / mises en œuvre, • Adaptabilité, • Formation, • Coût, • ... Ou être amenés à travailler avec des clients et partenaires qui le seront.
Pourquoi une directive européenne NIS ? Multitudes d’attaques ciblant les états, grands groupes, les PME/TPE... et les particuliers ! ESPIONNAGE ÉCONOMIQUE PILLAGE INDUSTRIEL CYBER GUERRE Attaques de droit commun lancées au hasard Ransomwares, virus... touchant aléatoirement les machines vulnérables. Attaques ciblées Local : • Clé USB vérolée, • HID, • Keylogger, • Fake AP... A distance : • Virus sur mesure, • Spearphishing, • FOVI, • APT (Advanced Persistant Threat) … 2006 ↓ 2012
Les APTs • Attaques + évoluées • Grandes entreprises • Mondiales • Plusieurs secteurs (industries, finance, médias, gouvernements…) • Moyens mis en œuvre importants • Grand nombre d’attaquants (parfois plusieurs centaines) • Profils complémentaires Pour y parvenir : Attaques reconnaissables notamment par • les outils utilisés, • leurs modes opératoires.
Les APTs : Mode Opératoire 1 2 3 4 5 Reconnaissance active et passive (cartographie, social engineering, ...) Compromission (exploitation de vulnérabilités, 0-Days) Utilisation de C&C (Command and Control) Renforcement des accès & propagation dans le(s) réseau(x) Exfiltration des données (techniques, commerciales, stratégiques, ...) Objectif : rester le + longtemps possible dans le SI compromis (Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)
Attaquants et victimes de ces APTs 2008 2009 2009 2011 05 « Stuxnet » « Night Dragon » 2011 DOD (Department of Defense) US Compagnies pétrolières et énergétique Centrifugeuses nucléaires irannienes RSA (SecurIP) Bercy Plusieurs groupes dont le plus connu APT1 : • Chinois • 141 attaques réussies (2006-2013) • 913 serveurs de commandes • Plusieurs centaines de noms de domaines
Nécessité de protéger les Institutions et le patrimoine économique européen Réalité : un coût. Sensibilisation des employés, Formations, … SENSIBILISATION Détection des attaques, Identification des points névralgiques DÉTECTION Certifications, qualifications, ... MATERIEL Établir un plan / stratégie de sécurité PSSI
Solution : Obliger les entreprises sensibles à mettre en œuvre ces mesures, en légiférant.
Obliger les entreprises sensibles à mettre en œuvre des mesures o Environ 200 o 12 secteurs o liste non publique 2016 - 2018 Règlement Général sur la Protection des Données 2013 Loi programmation militaire (France) LPM OIV DPO NIS ? RGPD Network Information and Security Opérateurs d’importance Vitale Data Protection Officer
La directive NIS • 2012 - 2016 Quand ? • Espionnage économique • pillage industriel • cyber guerre Pourquoi ? • ANSSI • ENISA (Agence européenne chargée de la sécurité des réseaux et des SI) Qui ? Directive (UE) 2016/1148 du parlement européen et du conseil du 06 juillet 2016, (Assurer un niveau élevé commun de sécurité des réseaux et des SI dans l’union.) Comment ?
4 chapitres Coopération Cadre de coopération volontaire entre Etats membres : • « Groupe de coopération » sur les aspects politiques de la cybersécurité • « Réseau européen des CSIRT » Protection des OSE Renforcement de la cybersécurité d’« opérateurs de services essentiels » Gouvernance Renforcement des capacités nationales : • Equipes nationales de réponse aux incidents (CSIRT) • Stratégies nationales de cybersécurité Protection des FSN Règles européennes de cybersécurité des prestataires de services numériques (clouds, moteurs de recherche, marketplaces…)
CSIRT Coopération OSE FSN Une cooperation européenne
De la directive NIS… à sa transposition française Etats membres de l’UE Directive NIS (juillet 2016) Loi (février 2018) Décret (mai 2018) Arrêté (sept. 2018) Recueil des besoins, demandes. • Déclinaison assouplie de la LPM • Gouvernance, protection et défense des réseaux et SI • Résilience des activités • Désignation des OSE • Déclaration des réseaux et SI • Règles de sécurité (gouvernance, protection, sécurité, résilience) • Déclaration des incidents de sécurité • Contrôles de sécurité • LISTE DES SERVICES ESSENTIELS (éligibilité) Exigences applicables à l’entreprise française Un arrêté unique trans-sectoriel détaillant 23 règles Annexes: DÉLAIS D'APPLICATION • Gouvernance • Coopération • OSE • FSN
Les secteurs des OSE ENERGIE TRANSPORTS BANQUES, ASSURANCES SANTÉ RESTAURATION EDUCATION, EMPLOI SOCIAL LOGISTIQUE INFRASTRUCTURES NUMÉRIQUES +
Extrait des 23 règles
9 novembre 2018 1ère liste de 122 OSE SANCTIONS • 100.000€ non respect consignes de sécurité • 75.000€ non déclaration des cyberattaques dont ils seraient victimes • 125.000€ obstruction aux opérations de contrôle
Actions concrètes et obligatoires des entreprises concernées → 2 mois : désignation d’un correspondant auprès de l’ANSSI → 3 mois : • identification des Systèmes d’Information Essentiels (SIE) • transmission à l’ANSSI → 2 ans : Conformité → 3 ans : Homologation
• Fixe les objectifs sans imposer de moyens • Chaque pays travaille à l’interprétation NIS : Un texte très peu directif FR SE HR IT UK BE CZ PL Un processus de transposition déjà engagé
Comment être conforme à la directive NIS ... et au RGPD ?
MERCI Des questions ? www.seclab-security.com flavabre@seclab-security.com

Recommandé

Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
Rapport de stage
Rapport de stageRapport de stage
Rapport de stageOrianne Amusan
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électroniqueeGov Innovation Center
 
Le role et les enjeux de la microassurance sur les econmies Africaines
Le role et les enjeux de la microassurance sur les econmies Africaines Le role et les enjeux de la microassurance sur les econmies Africaines
Le role et les enjeux de la microassurance sur les econmies Africaines Impact Insurance Facility
 
Cv stage 2018
Cv stage 2018 Cv stage 2018
Cv stage 2018 Louis Groshenry
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things Tahraoui Samir
 
Cours cryptographie
Cours cryptographie Cours cryptographie
Cours cryptographie Kràlj Karel Awouzouba
 

Recommandé

Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesMohamed MDELLA
 
Rapport de stage
Rapport de stageRapport de stage
Rapport de stageOrianne Amusan
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électroniqueeGov Innovation Center
 
Le role et les enjeux de la microassurance sur les econmies Africaines
Le role et les enjeux de la microassurance sur les econmies Africaines Le role et les enjeux de la microassurance sur les econmies Africaines
Le role et les enjeux de la microassurance sur les econmies Africaines Impact Insurance Facility
 
Cv stage 2018
Cv stage 2018 Cv stage 2018
Cv stage 2018 Louis Groshenry
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things Tahraoui Samir
 
Cours cryptographie
Cours cryptographie Cours cryptographie
Cours cryptographie Kràlj Karel Awouzouba
 
Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
Rrh 05
Rrh 05Rrh 05
Rrh 05CABINET MGRH
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectiveswallace04
 
2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 Forces2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 ForcesRaymond Gao
 
STM32F4+Android Application
STM32F4+Android ApplicationSTM32F4+Android Application
STM32F4+Android ApplicationHajer Dahech
 
Nouveau code maritime
Nouveau code maritimeNouveau code maritime
Nouveau code maritimeRabah HELAL
 
Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographieRadouane Mrabet
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITESINCLAIR JAZA FOLEFACK
 
New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...Statybos Akademija
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Presentation,PFE
Presentation,PFEPresentation,PFE
Presentation,PFEChawki Laribi
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUEDjallal BOUABDALLAH
 
Digitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performanceDigitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performanceGCX Conseil
 
Introduction au cloud computing
Introduction au cloud computingIntroduction au cloud computing
Introduction au cloud computingStéphane Traumat
 
Atm
AtmAtm
AtmMAFAMBI OUMAR SOMBIE
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
E Logistique Ccim 16032009
E Logistique Ccim 16032009E Logistique Ccim 16032009
E Logistique Ccim 16032009conseillerTIC
 
IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City USERADGENTS
 
Les assurances professionnelles
Les assurances professionnellesLes assurances professionnelles
Les assurances professionnellesNeedeo
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 

Contenu connexe

Tendances

Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesSébastien Kieger
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectiveswallace04
 
2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 Forces2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 ForcesRaymond Gao
 
STM32F4+Android Application
STM32F4+Android ApplicationSTM32F4+Android Application
STM32F4+Android ApplicationHajer Dahech
 
Nouveau code maritime
Nouveau code maritimeNouveau code maritime
Nouveau code maritimeRabah HELAL
 
Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographieRadouane Mrabet
 
New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...Statybos Akademija
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUEDjallal BOUABDALLAH
 
Digitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performanceDigitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performanceGCX Conseil
 
Introduction au cloud computing
Introduction au cloud computingIntroduction au cloud computing
Introduction au cloud computingStéphane Traumat
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
E Logistique Ccim 16032009
E Logistique Ccim 16032009E Logistique Ccim 16032009
E Logistique Ccim 16032009conseillerTIC
 
IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City USERADGENTS
 
Les assurances professionnelles
Les assurances professionnellesLes assurances professionnelles
Les assurances professionnellesNeedeo
 

Tendances (20)

Project Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risquesProject Cloud / Sécurité - Analyse de risques
Project Cloud / Sécurité - Analyse de risques
 
Rrh 05
Rrh 05Rrh 05
Rrh 05
 
La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives La cybercriminalité: Enjeux et Pespectives
La cybercriminalité: Enjeux et Pespectives
 
2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 Forces2 - Value Chain & Porter's 5 Forces
2 - Value Chain & Porter's 5 Forces
 
STM32F4+Android Application
STM32F4+Android ApplicationSTM32F4+Android Application
STM32F4+Android Application
 
Nouveau code maritime
Nouveau code maritimeNouveau code maritime
Nouveau code maritime
 
Ch2 reglementation cryptographie
Ch2 reglementation cryptographieCh2 reglementation cryptographie
Ch2 reglementation cryptographie
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...New era of rail innovation – how various generations look at the future of ra...
New era of rail innovation – how various generations look at the future of ra...
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Presentation,PFE
Presentation,PFEPresentation,PFE
Presentation,PFE
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUECYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
CYBERSÉCURITÉ OU LES ENJEUX D'UNE SOUVERAINETÉ NUMÉRIQUE
 
Digitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performanceDigitalisation de l'entreprise : un impératif de performance
Digitalisation de l'entreprise : un impératif de performance
 
Introduction au cloud computing
Introduction au cloud computingIntroduction au cloud computing
Introduction au cloud computing
 
Atm
AtmAtm
Atm
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
E Logistique Ccim 16032009
E Logistique Ccim 16032009E Logistique Ccim 16032009
E Logistique Ccim 16032009
 
IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City IoTeaTime #4 : Smart City
IoTeaTime #4 : Smart City
 
Les assurances professionnelles
Les assurances professionnellesLes assurances professionnelles
Les assurances professionnelles
 

Similaire à Pourquoi la directive NIS ?

Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...Claudy75
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaCERTyou Formation
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 

Similaire à Pourquoi la directive NIS ? (20)

Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 

Pourquoi la directive NIS ?

  • 1. Pourquoi la directive Network Information Security? • Pourquoi traiter de ce sujet ? • La genèse • La directive NIS Fabien LAVABRE Expert Cyber Sécurité
  • 2. Pourquoi traiter ce sujet ? Si votre entité fournit un service essentiel au maintien d’activités sociales et économiques critiques. Vous pouvez être directement impactés Incidences sur votre activité : • Respects des lois et des normes, • Délais d’application / mises en œuvre, • Adaptabilité, • Formation, • Coût, • ... Ou être amenés à travailler avec des clients et partenaires qui le seront.
  • 3. Pourquoi une directive européenne NIS ? Multitudes d’attaques ciblant les états, grands groupes, les PME/TPE... et les particuliers ! ESPIONNAGE ÉCONOMIQUE PILLAGE INDUSTRIEL CYBER GUERRE Attaques de droit commun lancées au hasard Ransomwares, virus... touchant aléatoirement les machines vulnérables. Attaques ciblées Local : • Clé USB vérolée, • HID, • Keylogger, • Fake AP... A distance : • Virus sur mesure, • Spearphishing, • FOVI, • APT (Advanced Persistant Threat) … 2006 ↓ 2012
  • 4. Les APTs • Attaques + évoluées • Grandes entreprises • Mondiales • Plusieurs secteurs (industries, finance, médias, gouvernements…) • Moyens mis en œuvre importants • Grand nombre d’attaquants (parfois plusieurs centaines) • Profils complémentaires Pour y parvenir : Attaques reconnaissables notamment par • les outils utilisés, • leurs modes opératoires.
  • 5. Les APTs : Mode Opératoire 1 2 3 4 5 Reconnaissance active et passive (cartographie, social engineering, ...) Compromission (exploitation de vulnérabilités, 0-Days) Utilisation de C&C (Command and Control) Renforcement des accès & propagation dans le(s) réseau(x) Exfiltration des données (techniques, commerciales, stratégiques, ...) Objectif : rester le + longtemps possible dans le SI compromis (Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)
  • 6. Attaquants et victimes de ces APTs 2008 2009 2009 2011 05 « Stuxnet » « Night Dragon » 2011 DOD (Department of Defense) US Compagnies pétrolières et énergétique Centrifugeuses nucléaires irannienes RSA (SecurIP) Bercy Plusieurs groupes dont le plus connu APT1 : • Chinois • 141 attaques réussies (2006-2013) • 913 serveurs de commandes • Plusieurs centaines de noms de domaines
  • 7. Nécessité de protéger les Institutions et le patrimoine économique européen Réalité : un coût. Sensibilisation des employés, Formations, … SENSIBILISATION Détection des attaques, Identification des points névralgiques DÉTECTION Certifications, qualifications, ... MATERIEL Établir un plan / stratégie de sécurité PSSI
  • 8. Solution : Obliger les entreprises sensibles à mettre en œuvre ces mesures, en légiférant.
  • 9. Obliger les entreprises sensibles à mettre en œuvre des mesures o Environ 200 o 12 secteurs o liste non publique 2016 - 2018 Règlement Général sur la Protection des Données 2013 Loi programmation militaire (France) LPM OIV DPO NIS ? RGPD Network Information and Security Opérateurs d’importance Vitale Data Protection Officer
  • 10. La directive NIS • 2012 - 2016 Quand ? • Espionnage économique • pillage industriel • cyber guerre Pourquoi ? • ANSSI • ENISA (Agence européenne chargée de la sécurité des réseaux et des SI) Qui ? Directive (UE) 2016/1148 du parlement européen et du conseil du 06 juillet 2016, (Assurer un niveau élevé commun de sécurité des réseaux et des SI dans l’union.) Comment ?
  • 11. 4 chapitres Coopération Cadre de coopération volontaire entre Etats membres : • « Groupe de coopération » sur les aspects politiques de la cybersécurité • « Réseau européen des CSIRT » Protection des OSE Renforcement de la cybersécurité d’« opérateurs de services essentiels » Gouvernance Renforcement des capacités nationales : • Equipes nationales de réponse aux incidents (CSIRT) • Stratégies nationales de cybersécurité Protection des FSN Règles européennes de cybersécurité des prestataires de services numériques (clouds, moteurs de recherche, marketplaces…)
  • 13. De la directive NIS… à sa transposition française Etats membres de l’UE Directive NIS (juillet 2016) Loi (février 2018) Décret (mai 2018) Arrêté (sept. 2018) Recueil des besoins, demandes. • Déclinaison assouplie de la LPM • Gouvernance, protection et défense des réseaux et SI • Résilience des activités • Désignation des OSE • Déclaration des réseaux et SI • Règles de sécurité (gouvernance, protection, sécurité, résilience) • Déclaration des incidents de sécurité • Contrôles de sécurité • LISTE DES SERVICES ESSENTIELS (éligibilité) Exigences applicables à l’entreprise française Un arrêté unique trans-sectoriel détaillant 23 règles Annexes: DÉLAIS D'APPLICATION • Gouvernance • Coopération • OSE • FSN
  • 14. Les secteurs des OSE ENERGIE TRANSPORTS BANQUES, ASSURANCES SANTÉ RESTAURATION EDUCATION, EMPLOI SOCIAL LOGISTIQUE INFRASTRUCTURES NUMÉRIQUES +
  • 16. 9 novembre 2018 1ère liste de 122 OSE SANCTIONS • 100.000€ non respect consignes de sécurité • 75.000€ non déclaration des cyberattaques dont ils seraient victimes • 125.000€ obstruction aux opérations de contrôle
  • 17. Actions concrètes et obligatoires des entreprises concernées → 2 mois : désignation d’un correspondant auprès de l’ANSSI → 3 mois : • identification des Systèmes d’Information Essentiels (SIE) • transmission à l’ANSSI → 2 ans : Conformité → 3 ans : Homologation
  • 18. • Fixe les objectifs sans imposer de moyens • Chaque pays travaille à l’interprétation NIS : Un texte très peu directif FR SE HR IT UK BE CZ PL Un processus de transposition déjà engagé
  • 19. Comment être conforme à la directive NIS ... et au RGPD ?