SlideShare une entreprise Scribd logo
Pourquoi la directive
Network Information Security?
• Pourquoi traiter de ce sujet ?
• La genèse
• La directive NIS
Fabien LAVABRE
Expert Cyber Sécurité
Pourquoi traiter ce sujet ?
Si votre entité fournit un
service essentiel au maintien
d’activités sociales et
économiques critiques.
Vous pouvez être
directement
impactés
Incidences sur votre activité :
• Respects des lois et des normes,
• Délais d’application / mises en œuvre,
• Adaptabilité,
• Formation,
• Coût,
• ...
Ou être amenés à
travailler avec des
clients et
partenaires qui le
seront.
Pourquoi une directive européenne NIS ?
Multitudes d’attaques ciblant les états, grands groupes,
les PME/TPE... et les particuliers !
ESPIONNAGE
ÉCONOMIQUE
PILLAGE
INDUSTRIEL
CYBER
GUERRE
Attaques de droit commun
lancées au hasard
Ransomwares, virus...
touchant aléatoirement les
machines vulnérables.
Attaques ciblées
Local :
• Clé USB vérolée,
• HID,
• Keylogger,
• Fake AP...
A distance :
• Virus sur mesure,
• Spearphishing,
• FOVI,
• APT (Advanced Persistant Threat) …
2006
↓
2012
Les APTs
• Attaques +
évoluées
• Grandes
entreprises
• Mondiales
• Plusieurs
secteurs (industries,
finance, médias,
gouvernements…)
• Moyens mis en œuvre importants
• Grand nombre d’attaquants (parfois plusieurs
centaines)
• Profils complémentaires
Pour y parvenir :
Attaques reconnaissables notamment par
• les outils utilisés,
• leurs modes opératoires.
Les APTs : Mode Opératoire
1 2 3 4 5
Reconnaissance
active et passive
(cartographie, social
engineering, ...)
Compromission
(exploitation de
vulnérabilités, 0-Days)
Utilisation de C&C
(Command and Control)
Renforcement des
accès &
propagation dans
le(s) réseau(x)
Exfiltration des
données
(techniques,
commerciales,
stratégiques, ...)
Objectif : rester le + longtemps possible dans le SI compromis
(Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)
Attaquants et victimes de ces APTs
2008
2009
2009
2011
05
« Stuxnet »
« Night Dragon »
2011
DOD (Department of Defense) US
Compagnies pétrolières et énergétique
Centrifugeuses nucléaires irannienes
RSA (SecurIP)
Bercy
Plusieurs groupes dont le plus connu APT1 :
• Chinois
• 141 attaques réussies (2006-2013)
• 913 serveurs de commandes
• Plusieurs centaines de noms de domaines
Nécessité de protéger les Institutions
et le patrimoine économique européen
Réalité : un coût.
Sensibilisation des employés,
Formations, …
SENSIBILISATION
Détection des attaques,
Identification des points névralgiques
DÉTECTION
Certifications, qualifications, ...
MATERIEL
Établir un plan / stratégie de sécurité
PSSI
Solution : Obliger les entreprises sensibles à
mettre en œuvre ces mesures, en légiférant.
Obliger les entreprises sensibles à mettre en œuvre des mesures
o Environ 200
o 12 secteurs
o liste non publique
2016 - 2018
Règlement Général sur
la Protection des Données
2013
Loi programmation militaire (France)
LPM
OIV DPO
NIS
?
RGPD
Network Information and Security
Opérateurs d’importance Vitale
Data Protection Officer
La
directive
NIS
• 2012 - 2016
Quand ?
• Espionnage économique
• pillage industriel
• cyber guerre
Pourquoi ?
• ANSSI
• ENISA (Agence européenne chargée de la
sécurité des réseaux et des SI)
Qui ?
Directive (UE) 2016/1148 du parlement européen
et du conseil du 06 juillet 2016,
(Assurer un niveau élevé commun de sécurité des
réseaux et des SI dans l’union.)
Comment ?
4 chapitres
Coopération
Cadre de coopération
volontaire entre Etats
membres :
• « Groupe de
coopération » sur les
aspects politiques de
la cybersécurité
• « Réseau européen
des CSIRT »
Protection des OSE
Renforcement de la
cybersécurité
d’« opérateurs de
services essentiels »
Gouvernance
Renforcement des
capacités nationales :
• Equipes nationales de
réponse aux incidents
(CSIRT)
• Stratégies nationales
de cybersécurité
Protection des FSN
Règles européennes de
cybersécurité des
prestataires de services
numériques (clouds,
moteurs de recherche,
marketplaces…)
CSIRT
Coopération
OSE
FSN
Une cooperation européenne
De la directive NIS… à sa transposition française
Etats membres de l’UE
Directive NIS (juillet 2016)
Loi (février 2018)
Décret (mai 2018)
Arrêté (sept. 2018)
Recueil des besoins, demandes.
• Déclinaison assouplie de la LPM
• Gouvernance, protection et défense des réseaux et SI
• Résilience des activités
• Désignation des OSE
• Déclaration des réseaux et SI
• Règles de sécurité (gouvernance, protection, sécurité, résilience)
• Déclaration des incidents de sécurité
• Contrôles de sécurité
• LISTE DES SERVICES ESSENTIELS (éligibilité)
Exigences applicables à l’entreprise française
Un arrêté unique trans-sectoriel détaillant 23 règles
Annexes: DÉLAIS D'APPLICATION
• Gouvernance
• Coopération
• OSE
• FSN
Les secteurs des OSE
ENERGIE
TRANSPORTS
BANQUES, ASSURANCES
SANTÉ
RESTAURATION
EDUCATION, EMPLOI
SOCIAL
LOGISTIQUE
INFRASTRUCTURES NUMÉRIQUES
+
Extrait des
23 règles
9 novembre 2018
1ère liste de 122 OSE
SANCTIONS
• 100.000€ non respect consignes de sécurité
• 75.000€ non déclaration des cyberattaques
dont ils seraient victimes
• 125.000€ obstruction aux opérations de
contrôle
Actions concrètes et
obligatoires des entreprises
concernées
→ 2 mois : désignation d’un correspondant auprès
de l’ANSSI
→ 3 mois :
• identification des Systèmes d’Information
Essentiels (SIE)
• transmission à l’ANSSI
→ 2 ans : Conformité
→ 3 ans : Homologation
• Fixe les objectifs sans
imposer de moyens
• Chaque pays travaille à
l’interprétation
NIS : Un texte très peu
directif
FR
SE
HR
IT
UK
BE
CZ
PL
Un processus de transposition déjà engagé
Comment être conforme à la directive NIS ... et au RGPD ?
MERCI
Des questions ?
www.seclab-security.com
flavabre@seclab-security.com

Contenu connexe

Tendances

Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
Marcelo Martins
 
Basics of Information System Security
Basics of Information System SecurityBasics of Information System Security
Basics of Information System Security
chauhankapil
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
ISO 27001
ISO 27001ISO 27001
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
PECB
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Cybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurityCybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurity
sommerville-videos
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
MandyDentzer
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
Radouane Mrabet
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
ssuser586df7
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
GDPR for Dummies
GDPR for DummiesGDPR for Dummies
GDPR for Dummies
Caroline Boscher
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
RGPD
RGPDRGPD
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 

Tendances (20)

Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
 
Basics of Information System Security
Basics of Information System SecurityBasics of Information System Security
Basics of Information System Security
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Cybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurityCybersecurity 1. intro to cybersecurity
Cybersecurity 1. intro to cybersecurity
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationales
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
GDPR for Dummies
GDPR for DummiesGDPR for Dummies
GDPR for Dummies
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
RGPD
RGPDRGPD
RGPD
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 

Similaire à Pourquoi la directive NIS ?

Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
Infopole1
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
Patrick Bouillaud
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
Claudy75
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
Antoine Vigneron
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
IBM France PME-ETI
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaCERTyou Formation
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
Dig-IT
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
Alghajati
 
Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018
African Cyber Security Summit
 

Similaire à Pourquoi la directive NIS ? (20)

Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par..."Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
"Sécurité: Prise de conscience des pouvoirs publics & Normes européennes" par...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018
 

Pourquoi la directive NIS ?

  • 1. Pourquoi la directive Network Information Security? • Pourquoi traiter de ce sujet ? • La genèse • La directive NIS Fabien LAVABRE Expert Cyber Sécurité
  • 2. Pourquoi traiter ce sujet ? Si votre entité fournit un service essentiel au maintien d’activités sociales et économiques critiques. Vous pouvez être directement impactés Incidences sur votre activité : • Respects des lois et des normes, • Délais d’application / mises en œuvre, • Adaptabilité, • Formation, • Coût, • ... Ou être amenés à travailler avec des clients et partenaires qui le seront.
  • 3. Pourquoi une directive européenne NIS ? Multitudes d’attaques ciblant les états, grands groupes, les PME/TPE... et les particuliers ! ESPIONNAGE ÉCONOMIQUE PILLAGE INDUSTRIEL CYBER GUERRE Attaques de droit commun lancées au hasard Ransomwares, virus... touchant aléatoirement les machines vulnérables. Attaques ciblées Local : • Clé USB vérolée, • HID, • Keylogger, • Fake AP... A distance : • Virus sur mesure, • Spearphishing, • FOVI, • APT (Advanced Persistant Threat) … 2006 ↓ 2012
  • 4. Les APTs • Attaques + évoluées • Grandes entreprises • Mondiales • Plusieurs secteurs (industries, finance, médias, gouvernements…) • Moyens mis en œuvre importants • Grand nombre d’attaquants (parfois plusieurs centaines) • Profils complémentaires Pour y parvenir : Attaques reconnaissables notamment par • les outils utilisés, • leurs modes opératoires.
  • 5. Les APTs : Mode Opératoire 1 2 3 4 5 Reconnaissance active et passive (cartographie, social engineering, ...) Compromission (exploitation de vulnérabilités, 0-Days) Utilisation de C&C (Command and Control) Renforcement des accès & propagation dans le(s) réseau(x) Exfiltration des données (techniques, commerciales, stratégiques, ...) Objectif : rester le + longtemps possible dans le SI compromis (Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)
  • 6. Attaquants et victimes de ces APTs 2008 2009 2009 2011 05 « Stuxnet » « Night Dragon » 2011 DOD (Department of Defense) US Compagnies pétrolières et énergétique Centrifugeuses nucléaires irannienes RSA (SecurIP) Bercy Plusieurs groupes dont le plus connu APT1 : • Chinois • 141 attaques réussies (2006-2013) • 913 serveurs de commandes • Plusieurs centaines de noms de domaines
  • 7. Nécessité de protéger les Institutions et le patrimoine économique européen Réalité : un coût. Sensibilisation des employés, Formations, … SENSIBILISATION Détection des attaques, Identification des points névralgiques DÉTECTION Certifications, qualifications, ... MATERIEL Établir un plan / stratégie de sécurité PSSI
  • 8. Solution : Obliger les entreprises sensibles à mettre en œuvre ces mesures, en légiférant.
  • 9. Obliger les entreprises sensibles à mettre en œuvre des mesures o Environ 200 o 12 secteurs o liste non publique 2016 - 2018 Règlement Général sur la Protection des Données 2013 Loi programmation militaire (France) LPM OIV DPO NIS ? RGPD Network Information and Security Opérateurs d’importance Vitale Data Protection Officer
  • 10. La directive NIS • 2012 - 2016 Quand ? • Espionnage économique • pillage industriel • cyber guerre Pourquoi ? • ANSSI • ENISA (Agence européenne chargée de la sécurité des réseaux et des SI) Qui ? Directive (UE) 2016/1148 du parlement européen et du conseil du 06 juillet 2016, (Assurer un niveau élevé commun de sécurité des réseaux et des SI dans l’union.) Comment ?
  • 11. 4 chapitres Coopération Cadre de coopération volontaire entre Etats membres : • « Groupe de coopération » sur les aspects politiques de la cybersécurité • « Réseau européen des CSIRT » Protection des OSE Renforcement de la cybersécurité d’« opérateurs de services essentiels » Gouvernance Renforcement des capacités nationales : • Equipes nationales de réponse aux incidents (CSIRT) • Stratégies nationales de cybersécurité Protection des FSN Règles européennes de cybersécurité des prestataires de services numériques (clouds, moteurs de recherche, marketplaces…)
  • 13. De la directive NIS… à sa transposition française Etats membres de l’UE Directive NIS (juillet 2016) Loi (février 2018) Décret (mai 2018) Arrêté (sept. 2018) Recueil des besoins, demandes. • Déclinaison assouplie de la LPM • Gouvernance, protection et défense des réseaux et SI • Résilience des activités • Désignation des OSE • Déclaration des réseaux et SI • Règles de sécurité (gouvernance, protection, sécurité, résilience) • Déclaration des incidents de sécurité • Contrôles de sécurité • LISTE DES SERVICES ESSENTIELS (éligibilité) Exigences applicables à l’entreprise française Un arrêté unique trans-sectoriel détaillant 23 règles Annexes: DÉLAIS D'APPLICATION • Gouvernance • Coopération • OSE • FSN
  • 14. Les secteurs des OSE ENERGIE TRANSPORTS BANQUES, ASSURANCES SANTÉ RESTAURATION EDUCATION, EMPLOI SOCIAL LOGISTIQUE INFRASTRUCTURES NUMÉRIQUES +
  • 16. 9 novembre 2018 1ère liste de 122 OSE SANCTIONS • 100.000€ non respect consignes de sécurité • 75.000€ non déclaration des cyberattaques dont ils seraient victimes • 125.000€ obstruction aux opérations de contrôle
  • 17. Actions concrètes et obligatoires des entreprises concernées → 2 mois : désignation d’un correspondant auprès de l’ANSSI → 3 mois : • identification des Systèmes d’Information Essentiels (SIE) • transmission à l’ANSSI → 2 ans : Conformité → 3 ans : Homologation
  • 18. • Fixe les objectifs sans imposer de moyens • Chaque pays travaille à l’interprétation NIS : Un texte très peu directif FR SE HR IT UK BE CZ PL Un processus de transposition déjà engagé
  • 19. Comment être conforme à la directive NIS ... et au RGPD ?