Directive NIS, le compte à rebours est lancé !

Alors que le monde a les yeux rivés sur le RGPD, les Etats membres de l’Union européenne devront également s’assurer de la bonne transposition de la directive NIS avant le 9 mai 2018. Retour sur les enjeux de conformité posés par la directive.

Directive NIS : Définition et Contexte

La directive NIS (pour Network Information Security), aussi appelée directive SRI (pour Sécurité des Réseaux et de l’Information), a été créée et adoptée le 6 juillet 2016 par l’Union européenne afin de renforcer et homogénéiser la sécurité de ses services essentiels. Jusqu’à lors, les Etats membres définissaient de manière indépendante et autonome leur propre seuil d’exigences quant à la sécurité de leurs services essentiels, mais cela impactait la sécurité informatique de l’Union européenne ainsi que sa capacité à réagir en cas d’incidents, une vulnérabilité forte pour une association de cette envergure.

La directive NIS a été développée et adoptée pour pallier ce déséquilibre en assurant un seuil de sécurité minimum commun à tous les pays membres. Elle se concentre sur les services essentiels gérés par les opérateurs et fournisseurs des différents Etats, la continuité de ce type de services étant considérée comme critique à la stabilité économique et politique de l’UE. Plus précisément, elle identifie comme Opérateurs de Services Essentiels (OSE) les opérateurs appartenant à certains secteurs d’activité sensibles comme l’Energie et les Transports, la Santé ou encore la Finance. Les fournisseurs de service numérique régissant le stockage et les flux d’échanges de données dans l’internet comme les places de marché en ligne ou les moteurs de recherches sont eux aussi ciblés par la directive.

Rappel des enjeux de la directive

Bien que les enjeux de sécurité varient quelque peu selon si le service essentiel est géré par un OSE ou un fournisseur, les enjeux organisationnels sont communs aux deux organismes.

· Enjeux organisationnels

Renforcer la stabilité de l’UE en uniformisant sa politique de sécurité informatique signifie aligner 28 pays membres sous une même exigence de sécurité et veiller à l’implémentation de cette dernière dans chacun d’entre eux, un premier défi pour l’association gouvernementale. Pour y répondre, les actes législatif (20), (22), (24) et (35) de la directive NIS aident chaque Etat membre à :

Identifier les OSE et fournisseurs de service numérique à protéger.
Comprendre leur responsabilité lorsqu’un service essentiel est fourni dans plusieurs Etats membres.
Enclencher un premier niveau de communication en favorisant la coopération fluide et régulière entre les secteurs public et privé, soit entre les fournisseurs de services et les OSE.

De la même manière, soutenir une communication régulière et appropriée des bonnes pratiques de sécurité ou des incidents affectant plusieurs entités ou pays membres peut être fastidieux sans une politique de communication claire. Coordonner les Etats membres avec les autorités européennes compétentes est essentiel à la réussite de la directive NIS. En conséquence, elle prévoit une structure organisationnelle qui définit plusieurs acteurs clés à plusieurs niveaux : Etats membres, européen et international (Figure 1). Elle détermine la ligne de coopération et de communication à suivre pour répondre à cet enjeu.

Figure 1 : Niveaux organisationnels dans la directive NIS

· Enjeux techniques

Au niveau national, chaque Etat membre doit contrôler l’implémentation des mesures de sécurité adéquates au sein de leurs OSE et fournisseurs de service qui doivent impérativement pouvoir mette à jour et justifier :

La définition et l’implémentation d’une politique de sécurité stable et adaptée aux risques qu’ils encourent.
La mise en œuvre de moyens de sécurité techniques et organisationnels nécessaires à la protection de leurs services.
L’évaluation régulière des risques menaçant leur stabilité et la continuité de leurs services.
La gestion et la notification d’incidents dans les plus brefs délais (en général sous 72 heures) en renseignant le nombre d’utilisateurs touchés, la durée et l’étendue de l’incident.

En plus de ces exigences, la directive NIS impose des contraintes supplémentaires aux fournisseurs de service numérique qui doivent, conformément à l’Article 16 paragraphe (1) de la directive, pouvoir rendre compte des éléments suivants :

La sécurisation des systèmes et installations.
La gestion des incidents et de la continuité des activités, en précisant lorsqu’ils en ont la possibilité : le nombre d’utilisateurs touchés, la durée de l’incident, mais aussi sa portée géographique, la gravité de sa perturbation sur le fonctionnement des services et son impact sur les fonctions économiques et sociétales.
Le suivi, l’audit et le contrôle des pratiques de sécurité implémentées.
Le respect des lois et normes internationales.

La directive NIS couvre donc un vaste cadre pour assurer une sécurité à 360°, de la prévention à la résilience en passant par la détection et la gestion des incidents.

Entrer en conformité avec la directive NIS : le rôle du PAM

La gestion des accès à privilèges (ou PAM pour Privileged Access Management) aide les OSE et fournisseurs de service numérique des Etats membres à relever les défis de conformité de la directive NIS en les accompagnant dans la définition d’une politique de sécurité et en renforçant les pratiques de prévention, de détection et de notification des incidents. Conçu pour assurer la protection des équipements et ressources cibles face aux menaces internes et externes, le PAM contrôle et trace tous les accès et sessions des utilisateurs à privilèges dans le réseau informatique, et permet de fournir aux administrateurs des éléments de sécurité indispensables dans la directive NIS tels que :

La visibilité complète de tous les droits, accès et activités des utilisateurs sur le réseau
Le contrôle et la sécurisation des accès internes et externes aux systèmes et installations stratégiques
La détection d’activités frauduleuses en temps réel et l’enregistrement complet des sessions
La traçabilité des logs pour compléter les rapports d’audit nécessaires à la gestion des incidents

Vous souhaitez en savoir plus sur le rôle du PAM dans la conformité à la directive NIS ? Contactez nos équipes ou cliquez ci-dessous :

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Directive NIS, le compte à rebours est lancé ! Retour sur les enjeux de conformité

Directive NIS : Définition et Contexte

Rappel des enjeux de la directive

· Enjeux organisationnels

· Enjeux techniques

Entrer en conformité avec la directive NIS : le rôle du PAM

Le WAB est mort, vive le Bastion 6.0

Cyber Interview: les mails SPAM et le RGPD

Blogs Associés

Ressources Associés

Produits

Solutions

Ressources

À propos