Directive NIS : Définition et Contexte
La directive NIS (pour Network Information Security), aussi appelée directive SRI (pour Sécurité des Réseaux et de l’Information), a été créée et adoptée le 6 juillet 2016 par l’Union européenne afin de renforcer et homogénéiser la sécurité de ses services essentiels. Jusqu’à lors, les Etats membres définissaient de manière indépendante et autonome leur propre seuil d’exigences quant à la sécurité de leurs services essentiels, mais cela impactait la sécurité informatique de l’Union européenne ainsi que sa capacité à réagir en cas d’incidents, une vulnérabilité forte pour une association de cette envergure.
La directive NIS a été développée et adoptée pour pallier ce déséquilibre en assurant un seuil de sécurité minimum commun à tous les pays membres. Elle se concentre sur les services essentiels gérés par les opérateurs et fournisseurs des différents Etats, la continuité de ce type de services étant considérée comme critique à la stabilité économique et politique de l’UE. Plus précisément, elle identifie comme Opérateurs de Services Essentiels (OSE) les opérateurs appartenant à certains secteurs d’activité sensibles comme l’Energie et les Transports, la Santé ou encore la Finance. Les fournisseurs de service numérique régissant le stockage et les flux d’échanges de données dans l’internet comme les places de marché en ligne ou les moteurs de recherches sont eux aussi ciblés par la directive.
Rappel des enjeux de la directive
Bien que les enjeux de sécurité varient quelque peu selon si le service essentiel est géré par un OSE ou un fournisseur, les enjeux organisationnels sont communs aux deux organismes.
· Enjeux organisationnels
Renforcer la stabilité de l’UE en uniformisant sa politique de sécurité informatique signifie aligner 28 pays membres sous une même exigence de sécurité et veiller à l’implémentation de cette dernière dans chacun d’entre eux, un premier défi pour l’association gouvernementale. Pour y répondre, les actes législatif (20), (22), (24) et (35) de la directive NIS aident chaque Etat membre à :
- Identifier les OSE et fournisseurs de service numérique à protéger.
- Comprendre leur responsabilité lorsqu’un service essentiel est fourni dans plusieurs Etats membres.
- Enclencher un premier niveau de communication en favorisant la coopération fluide et régulière entre les secteurs public et privé, soit entre les fournisseurs de services et les OSE.
De la même manière, soutenir une communication régulière et appropriée des bonnes pratiques de sécurité ou des incidents affectant plusieurs entités ou pays membres peut être fastidieux sans une politique de communication claire. Coordonner les Etats membres avec les autorités européennes compétentes est essentiel à la réussite de la directive NIS. En conséquence, elle prévoit une structure organisationnelle qui définit plusieurs acteurs clés à plusieurs niveaux : Etats membres, européen et international (Figure 1). Elle détermine la ligne de coopération et de communication à suivre pour répondre à cet enjeu.
· Enjeux techniques
Au niveau national, chaque Etat membre doit contrôler l’implémentation des mesures de sécurité adéquates au sein de leurs OSE et fournisseurs de service qui doivent impérativement pouvoir mette à jour et justifier :
- La définition et l’implémentation d’une politique de sécurité stable et adaptée aux risques qu’ils encourent.
- La mise en œuvre de moyens de sécurité techniques et organisationnels nécessaires à la protection de leurs services.
- L’évaluation régulière des risques menaçant leur stabilité et la continuité de leurs services.
- La gestion et la notification d’incidents dans les plus brefs délais (en général sous 72 heures) en renseignant le nombre d’utilisateurs touchés, la durée et l’étendue de l’incident.
En plus de ces exigences, la directive NIS impose des contraintes supplémentaires aux fournisseurs de service numérique qui doivent, conformément à l’Article 16 paragraphe (1) de la directive, pouvoir rendre compte des éléments suivants :
- La sécurisation des systèmes et installations.
- La gestion des incidents et de la continuité des activités, en précisant lorsqu’ils en ont la possibilité : le nombre d’utilisateurs touchés, la durée de l’incident, mais aussi sa portée géographique, la gravité de sa perturbation sur le fonctionnement des services et son impact sur les fonctions économiques et sociétales.
- Le suivi, l’audit et le contrôle des pratiques de sécurité implémentées.
- Le respect des lois et normes internationales.
La directive NIS couvre donc un vaste cadre pour assurer une sécurité à 360°, de la prévention à la résilience en passant par la détection et la gestion des incidents.
Entrer en conformité avec la directive NIS : le rôle du PAM
La gestion des accès à privilèges (ou PAM pour Privileged Access Management) aide les OSE et fournisseurs de service numérique des Etats membres à relever les défis de conformité de la directive NIS en les accompagnant dans la définition d’une politique de sécurité et en renforçant les pratiques de prévention, de détection et de notification des incidents. Conçu pour assurer la protection des équipements et ressources cibles face aux menaces internes et externes, le PAM contrôle et trace tous les accès et sessions des utilisateurs à privilèges dans le réseau informatique, et permet de fournir aux administrateurs des éléments de sécurité indispensables dans la directive NIS tels que :
- La visibilité complète de tous les droits, accès et activités des utilisateurs sur le réseau
- Le contrôle et la sécurisation des accès internes et externes aux systèmes et installations stratégiques
- La détection d’activités frauduleuses en temps réel et l’enregistrement complet des sessions
- La traçabilité des logs pour compléter les rapports d’audit nécessaires à la gestion des incidents
Vous souhaitez en savoir plus sur le rôle du PAM dans la conformité à la directive NIS ? Contactez nos équipes ou cliquez ci-dessous :