La directive NIS vise à renforcer la cybersécurité des opérateurs de services essentiels en Europe suite à l'augmentation des cyberattaques. Elle impose des mesures de sécurité et des obligations de déclaration pour garantir un niveau élevé de protection des réseaux et des systèmes d'information. L'application de cette directive se traduit par des exigences spécifiques pour les entreprises, notamment en matière de conformité et de gouvernance.

1. Pourquoi la directive
Network Information Security?
• Pourquoi traiter de ce sujet ?
• La genèse
• La directive NIS
Fabien LAVABRE
Expert Cyber Sécurité

2. Pourquoi traiter ce sujet ?
Si votre entité fournit un
service essentiel au maintien
d’activités sociales et
économiques critiques.
Vous pouvez être
directement
impactés
Incidences sur votre activité :
• Respects des lois et des normes,
• Délais d’application / mises en œuvre,
• Adaptabilité,
• Formation,
• Coût,
• ...
Ou être amenés à
travailler avec des
clients et
partenaires qui le
seront.

3. Pourquoi une directive européenne NIS ?
Multitudes d’attaques ciblant les états, grands groupes,
les PME/TPE... et les particuliers !
ESPIONNAGE
ÉCONOMIQUE
PILLAGE
INDUSTRIEL
CYBER
GUERRE
Attaques de droit commun
lancées au hasard
Ransomwares, virus...
touchant aléatoirement les
machines vulnérables.
Attaques ciblées
Local :
• Clé USB vérolée,
• HID,
• Keylogger,
• Fake AP...
A distance :
• Virus sur mesure,
• Spearphishing,
• FOVI,
• APT (Advanced Persistant Threat) …
2006
↓
2012

4. Les APTs
• Attaques +
évoluées
• Grandes
entreprises
• Mondiales
• Plusieurs
secteurs (industries,
finance, médias,
gouvernements…)
• Moyens mis en œuvre importants
• Grand nombre d’attaquants (parfois plusieurs
centaines)
• Profils complémentaires
Pour y parvenir :
Attaques reconnaissables notamment par
• les outils utilisés,
• leurs modes opératoires.

5. Les APTs : Mode Opératoire
1 2 3 4 5
Reconnaissance
active et passive
(cartographie, social
engineering, ...)
Compromission
(exploitation de
vulnérabilités, 0-Days)
Utilisation de C&C
(Command and Control)
Renforcement des
accès &
propagation dans
le(s) réseau(x)
Exfiltration des
données
(techniques,
commerciales,
stratégiques, ...)
Objectif : rester le + longtemps possible dans le SI compromis
(Certaines entités compromises ont parfois mis jusqu’à 2 ans avant de s’en rendre compte !)

6. Attaquants et victimes de ces APTs
2008
2009
2009
2011
05
« Stuxnet »
« Night Dragon »
2011
DOD (Department of Defense) US
Compagnies pétrolières et énergétique
Centrifugeuses nucléaires irannienes
RSA (SecurIP)
Bercy
Plusieurs groupes dont le plus connu APT1 :
• Chinois
• 141 attaques réussies (2006-2013)
• 913 serveurs de commandes
• Plusieurs centaines de noms de domaines

7. Nécessité de protéger les Institutions
et le patrimoine économique européen
Réalité : un coût.
Sensibilisation des employés,
Formations, …
SENSIBILISATION
Détection des attaques,
Identification des points névralgiques
DÉTECTION
Certifications, qualifications, ...
MATERIEL
Établir un plan / stratégie de sécurité
PSSI

8. Solution : Obliger les entreprises sensibles à
mettre en œuvre ces mesures, en légiférant.

9. Obliger les entreprises sensibles à mettre en œuvre des mesures
o Environ 200
o 12 secteurs
o liste non publique
2016 - 2018
Règlement Général sur
la Protection des Données
2013
Loi programmation militaire (France)
LPM
OIV DPO
NIS
?
RGPD
Network Information and Security
Opérateurs d’importance Vitale
Data Protection Officer

10. La
directive
NIS
• 2012 - 2016
Quand ?
• Espionnage économique
• pillage industriel
• cyber guerre
Pourquoi ?
• ANSSI
• ENISA (Agence européenne chargée de la
sécurité des réseaux et des SI)
Qui ?
Directive (UE) 2016/1148 du parlement européen
et du conseil du 06 juillet 2016,
(Assurer un niveau élevé commun de sécurité des
réseaux et des SI dans l’union.)
Comment ?

11. 4 chapitres
Coopération
Cadre de coopération
volontaire entre Etats
membres :
• « Groupe de
coopération » sur les
aspects politiques de
la cybersécurité
• « Réseau européen
des CSIRT »
Protection des OSE
Renforcement de la
cybersécurité
d’« opérateurs de
services essentiels »
Gouvernance
Renforcement des
capacités nationales :
• Equipes nationales de
réponse aux incidents
(CSIRT)
• Stratégies nationales
de cybersécurité
Protection des FSN
Règles européennes de
cybersécurité des
prestataires de services
numériques (clouds,
moteurs de recherche,
marketplaces…)

12. CSIRT
Coopération
OSE
FSN
Une cooperation européenne

13. De la directive NIS… à sa transposition française
Etats membres de l’UE
Directive NIS (juillet 2016)
Loi (février 2018)
Décret (mai 2018)
Arrêté (sept. 2018)
Recueil des besoins, demandes.
• Déclinaison assouplie de la LPM
• Gouvernance, protection et défense des réseaux et SI
• Résilience des activités
• Désignation des OSE
• Déclaration des réseaux et SI
• Règles de sécurité (gouvernance, protection, sécurité, résilience)
• Déclaration des incidents de sécurité
• Contrôles de sécurité
• LISTE DES SERVICES ESSENTIELS (éligibilité)
Exigences applicables à l’entreprise française
Un arrêté unique trans-sectoriel détaillant 23 règles
Annexes: DÉLAIS D'APPLICATION
• Gouvernance
• Coopération
• OSE
• FSN

14. Les secteurs des OSE
ENERGIE
TRANSPORTS
BANQUES, ASSURANCES
SANTÉ
RESTAURATION
EDUCATION, EMPLOI
SOCIAL
LOGISTIQUE
INFRASTRUCTURES NUMÉRIQUES
+

15. Extrait des
23 règles

16. 9 novembre 2018
1ère liste de 122 OSE
SANCTIONS
• 100.000€ non respect consignes de sécurité
• 75.000€ non déclaration des cyberattaques
dont ils seraient victimes
• 125.000€ obstruction aux opérations de
contrôle

17. Actions concrètes et
obligatoires des entreprises
concernées
→ 2 mois : désignation d’un correspondant auprès
de l’ANSSI
→ 3 mois :
• identification des Systèmes d’Information
Essentiels (SIE)
• transmission à l’ANSSI
→ 2 ans : Conformité
→ 3 ans : Homologation

18. • Fixe les objectifs sans
imposer de moyens
• Chaque pays travaille à
l’interprétation
NIS : Un texte très peu
directif
FR
SE
HR
IT
UK
BE
CZ
PL
Un processus de transposition déjà engagé

19. Comment être conforme à la directive NIS ... et au RGPD ?

20. MERCI
Des questions ?
www.seclab-security.com
flavabre@seclab-security.com