1. Pourquoi la directive
Network Information Security?
• Pourquoi traiter de ce sujet ?
• La genèse
• La directive NIS
Fabien LAVABRE
Expert Cyber Sécurité
2. Pourquoi traiter ce sujet ?
Si votre entité fournit un
service essentiel au maintien
d’activités sociales et
économiques critiques.
Vous pouvez être
directement
impactés
Incidences sur votre activité :
• Respects des lois et des normes,
• Délais d’application / mises en œuvre,
• Adaptabilité,
• Formation,
• Coût,
• ...
Ou être amenés à
travailler avec des
clients et
partenaires qui le
seront.
3. Pourquoi une directive européenne NIS ?
Multitudes d’attaques ciblant les états, grands groupes,
les PME/TPE... et les particuliers !
ESPIONNAGE
ÉCONOMIQUE
PILLAGE
INDUSTRIEL
CYBER
GUERRE
Attaques de droit commun
lancées au hasard
Ransomwares, virus...
touchant aléatoirement les
machines vulnérables.
Attaques ciblées
Local :
• Clé USB vérolée,
• HID,
• Keylogger,
• Fake AP...
A distance :
• Virus sur mesure,
• Spearphishing,
• FOVI,
• APT (Advanced Persistant Threat) …
2006
↓
2012
4. Les APTs
• Attaques +
évoluées
• Grandes
entreprises
• Mondiales
• Plusieurs
secteurs (industries,
finance, médias,
gouvernements…)
• Moyens mis en œuvre importants
• Grand nombre d’attaquants (parfois plusieurs
centaines)
• Profils complémentaires
Pour y parvenir :
Attaques reconnaissables notamment par
• les outils utilisés,
• leurs modes opératoires.
5. Les APTs : Mode Opératoire
1 2 3 4 5
Reconnaissance
active et passive
(cartographie, social
engineering, ...)
Compromission
(exploitation de
vulnérabilités, 0-Days)
Utilisation de C&C
(Command and Control)
Renforcement des
accès &
propagation dans
le(s) réseau(x)
Exfiltration des
données
(techniques,
commerciales,
stratégiques, ...)
Objectif : rester le + longtemps possible dans le SI compromis
(Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)
6. Attaquants et victimes de ces APTs
2008
2009
2009
2011
05
« Stuxnet »
« Night Dragon »
2011
DOD (Department of Defense) US
Compagnies pétrolières et énergétique
Centrifugeuses nucléaires irannienes
RSA (SecurIP)
Bercy
Plusieurs groupes dont le plus connu APT1 :
• Chinois
• 141 attaques réussies (2006-2013)
• 913 serveurs de commandes
• Plusieurs centaines de noms de domaines
7. Nécessité de protéger les Institutions
et le patrimoine économique européen
Réalité : un coût.
Sensibilisation des employés,
Formations, …
SENSIBILISATION
Détection des attaques,
Identification des points névralgiques
DÉTECTION
Certifications, qualifications, ...
MATERIEL
Établir un plan / stratégie de sécurité
PSSI
8. Solution : Obliger les entreprises sensibles à
mettre en œuvre ces mesures, en légiférant.
9. Obliger les entreprises sensibles à mettre en œuvre des mesures
o Environ 200
o 12 secteurs
o liste non publique
2016 - 2018
Règlement Général sur
la Protection des Données
2013
Loi programmation militaire (France)
LPM
OIV DPO
NIS
?
RGPD
Network Information and Security
Opérateurs d’importance Vitale
Data Protection Officer
10. La
directive
NIS
• 2012 - 2016
Quand ?
• Espionnage économique
• pillage industriel
• cyber guerre
Pourquoi ?
• ANSSI
• ENISA (Agence européenne chargée de la
sécurité des réseaux et des SI)
Qui ?
Directive (UE) 2016/1148 du parlement européen
et du conseil du 06 juillet 2016,
(Assurer un niveau élevé commun de sécurité des
réseaux et des SI dans l’union.)
Comment ?
11. 4 chapitres
Coopération
Cadre de coopération
volontaire entre Etats
membres :
• « Groupe de
coopération » sur les
aspects politiques de
la cybersécurité
• « Réseau européen
des CSIRT »
Protection des OSE
Renforcement de la
cybersécurité
d’« opérateurs de
services essentiels »
Gouvernance
Renforcement des
capacités nationales :
• Equipes nationales de
réponse aux incidents
(CSIRT)
• Stratégies nationales
de cybersécurité
Protection des FSN
Règles européennes de
cybersécurité des
prestataires de services
numériques (clouds,
moteurs de recherche,
marketplaces…)
13. De la directive NIS… à sa transposition française
Etats membres de l’UE
Directive NIS (juillet 2016)
Loi (février 2018)
Décret (mai 2018)
Arrêté (sept. 2018)
Recueil des besoins, demandes.
• Déclinaison assouplie de la LPM
• Gouvernance, protection et défense des réseaux et SI
• Résilience des activités
• Désignation des OSE
• Déclaration des réseaux et SI
• Règles de sécurité (gouvernance, protection, sécurité, résilience)
• Déclaration des incidents de sécurité
• Contrôles de sécurité
• LISTE DES SERVICES ESSENTIELS (éligibilité)
Exigences applicables à l’entreprise française
Un arrêté unique trans-sectoriel détaillant 23 règles
Annexes: DÉLAIS D'APPLICATION
• Gouvernance
• Coopération
• OSE
• FSN
14. Les secteurs des OSE
ENERGIE
TRANSPORTS
BANQUES, ASSURANCES
SANTÉ
RESTAURATION
EDUCATION, EMPLOI
SOCIAL
LOGISTIQUE
INFRASTRUCTURES NUMÉRIQUES
+
16. 9 novembre 2018
1ère liste de 122 OSE
SANCTIONS
• 100.000€ non respect consignes de sécurité
• 75.000€ non déclaration des cyberattaques
dont ils seraient victimes
• 125.000€ obstruction aux opérations de
contrôle
17. Actions concrètes et
obligatoires des entreprises
concernées
→ 2 mois : désignation d’un correspondant auprès
de l’ANSSI
→ 3 mois :
• identification des Systèmes d’Information
Essentiels (SIE)
• transmission à l’ANSSI
→ 2 ans : Conformité
→ 3 ans : Homologation
18. • Fixe les objectifs sans
imposer de moyens
• Chaque pays travaille à
l’interprétation
NIS : Un texte très peu
directif
FR
SE
HR
IT
UK
BE
CZ
PL
Un processus de transposition déjà engagé