Tribune de Fabien Lavabre, Responsable sécurité chez Tixeo
Fin 2024, les pays membres de l’Union européenne devront avoir transposé la Directive NIS 2 (Network Information and security) dans leurs lois nationales. Alors que la cybercriminalité ne cesse de croître, ce nouveau texte a pour ambition d’élargir le renforcement de la cybersécurité et de la cyber-résilience de milliers d’entités européennes.
Mais dans un contexte de pénurie de talents et de contraintes budgétaires fortes. Comment les entreprises vont-elles s’organiser pour se conformer à une énième réglementation européenne exigeante ?
De la genèse vers de plus grandes ambitions
Si la directive NIS 1 affichait comme objectif d’élever le niveau commun de cybersécurité des États membres de l’Union Européenne et de mieux protéger les entreprises les plus sensibles (Opérateurs de Services Essentiels), elle constituait surtout une réaction aux nombreuses cyberattaques perpétrées contre l’Europe entre 2005 et 2016. Dans les faits, cette directive n’a été que peu appliquée, notamment en raison des faibles sanctions réellement prononcées.
NIS 2 vient donc élargir le périmètre des entités concernées à 18 secteurs d’activité, comme les administrations publiques, et à des milliers d’entreprises et de sous-traitants. Avec deux objectifs à relever :
s’adapter aux cyberattaques d’aujourd’hui qui ciblent tout type d’entité (de la petite PME au groupe du CAC 40),
forcer l’application du texte, en appliquant des sanctions similaires à celles prévues par le RGPD et en augmentant leur montant (basé sur le nombre d’employés et le Chiffre d’Affaires) ainsi que le nombre de contrôles.
Une mise en œuvre complexe de la directive NIS 2
Pour répondre à son ambition, NIS 2 reprend principalement les mesures de la norme ISO/IEC 27001. Celles-ci, au-delà d’imposer des critères techniques avancés, impliquent la mise en place de changements structurels et organisationnels.
La Directive y ajoute quelques spécificités, comme la création des Entités Essentielles (EE) et des Entités Importantes (EI). Une classification qui permet d’adapter les exigences à la fois au niveau de risque et au poids de l’organisation et ainsi d’améliorer la proportionnalité des sanctions. Quoi qu’il en soit, une entité déjà certifiée ISO 27001 ne devrait pas avoir de gros efforts à faire pour se mettre en conformité à NIS 2.
À l’inverse, les organisations qui n’ont pas ou peu de culture en cybersécurité vont devoir investir énormément de ressources humaines et financières, pour structurer leur sécurité de manière organisationnelle et adapter leur gouvernance.
Se pose alors la problématique de la pénurie des talents en cybersécurité. NIS 2 devrait concerner au moins 6000 entreprises en France, et plus de 100.000 au niveau européen. Or, en 2023, Cybersecurity Ventures indiquait que 3,5 millions de postes en cybersécurité étaient toujours à pourvoir. Et qu’en parallèle, depuis 2011, le taux de chômage du secteur est à 0%.
L’application de la NIS 2 va se heurter à la réalité du terrain : engager un spécialiste en cybersécurité ne sera possible que pour les sociétés capables de payer des prestations qui devraient être revues à la hausse.
Trois défis majeurs pour les entreprises européennes concernées
Les entreprises devront relever plusieurs défis pour se mettre en conformité avec cette nouvelle directive.
D’abord, elles devront s’y retrouver dans la complexité des textes de lois européens, toujours plus nombreux et exigeants. En effet, NIS 2 est un énième texte réglementaire sur la cybersécurité, un de plus au niveau mondial. Entre les mises à jour et les nouveautés concernant les normes internationales, les frameworks et les types de réglementations (règlements, directives, lois, décrets, arrêtés…), les entités concernées doivent suivre la marche. D’autant plus que d’autres textes européens arrivent comme l’IA Act (proposition de règlement européen sur l’intelligence artificielle) et deux projets de certifications de cybersécurité européennes (EUCC pour les produits TIC et l’EUCS pour le cloud).
Ensuite, les entités devront trouver des ressources humaines suffisamment qualifiées et expérimentées (juristes, consultants, RSSI…) pour répondre à toutes ces exigences.
Enfin, elles devront sélectionner, parmi les multiples produits de sécurité du marché, ceux qui leur conviennent. Le coût cumulé sera non négligeable. Ces dépenses sont certes nécessaires mais loin d’être à la portée financière de petites entités. Même si certains éditeurs ont anticipé cette problématique et adapté leurs offres pour s’adresser au plus grand nombre.
Et si NIS 2 était trop ambitieuse ?
Volonté utopique et politique, la Directive NIS 2 promet d’imposer un socle de sécurité commun à différents secteurs dont font partie des milliers d’organisations. Mais cette mise en œuvre paraît trop ambitieuse car elle s’appuie sur un écosystème fragilisé par le manque de ressources humaines. Les organisations devront être guidées, notamment avec des plans de formations ou des subventions, afin de réaliser leur mise en conformité.
Dans un univers de la cybersécurité où la gestion du risque est primordiale, les entreprises devront soigneusement évaluer le rapport entre les ressources investies dans la mise en conformité à NIS 2, en tenant compte de la probabilité des risques encourus, et des amendes potentielles.
Après NIS 1 en 2016, NIS 2 en 2023, quid de NIS 3 ? en 2030 ? L’Europe décidera-t-elle de poursuivre l’élargissement des mesures aux toutes petites entreprises ou rajoutera-t-elle de nouvelles exigences aux EE et EI ? Une chose est sûre : l’accompagnement renforcé des entités et la simplification de cet arsenal législatif pourraient être les bienvenus.
Tribune de Jean-Philippe Commeignes, Directeur commercial @Tixeo
L’Europe, frappée par la guerre en Ukraine depuis bientôt deux ans, revit depuis plusieurs semaines une intensification de la menace terroriste suite au déclenchement de la guerre entre Israël et le Hamas. Dans ce contexte géopolitique extrêmement tendu, la déclaration du ministre de l’Intérieur lors d’une récente interview sur l’accès aux données et conversations chiffrées des messageries a remis sur la table la question opposant de manière binaire, la protection de la vie privée et le besoin de sécurité.
La question de fond n’est pas tant le débat sur la négociation peu probable d’accès au messageries chiffrées grand public que le contrôle strict de l’usage, de la vente et l’exportation des technologies de surveillance de pointe. Celles-ci, au-delà de contourner la problématique du chiffrement, représentent une tentation dangereuse au sein de l’Union Européenne comme le rappelle, Sophie in ‘t Veld, députée européenne, dans sa dernière tribune sur les risques de cette industrie.
Guerre mondiale contre la terreur et surveillance de masse
Après le 11 septembre et le déclenchement de la guerre contre le terrorisme par les USA et ses alliés, la demande pour des solutions de surveillance et de renseignement a explosé. Un rapport de Privacy International de 2017 dénombre plusieurs centaines de création d’entreprises dans ce secteur sur la période 2001-2013, et dont 75% sont issues des pays de l’OTAN. L’approche, teintée de technosolutionnisme américain pour répondre à la menace, a entrainé la mise en œuvre de programmes de surveillance de masse révélés par le lanceur d’alerte Edward Snowden en 2013, alors employé par la célèbre agence NSA. Cela a également révélé le rôle des grandes plateformes américaines dans cette collecte de données.
Mutations incontrôlées dans le monde post-Snowden
Ces révélations ont eu deux effets majeurs :
La généralisation progressive du chiffrement, y compris dans des solutions grand public, rendant les autorités plus « aveugles » dans la collecte technique, et incitant les états à disposer de moyens de contournement ;
Le durcissement des réglementations en matière de protection de données, au travers du Règlement Général sur la Protection des Données, positionnant l’Europe en porte-étendard sur la protection de la vie privée au niveau mondial.
En parallèle, l’adoption rapide du smartphone, des messageries et des réseaux sociaux a permis de faciliter la coordination de mouvements sociaux comme les printemps arabes, créant une demande plus forte des pays autoritaires pour des solutions permettant de les contenir.
« L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur »
L’industrie de la cybersurveillance s’est adaptée sur toute la chaîne de valeur pour répondre au marché à la fois intérieur et à l’export, dans un mélange d’affaires et de politique étrangère. Il s’agit d’un marché à tiroirs.
Le premier est celui de la recherche et de l’acquisition de failles informatiques inconnues des éditeurs, appelées 0-day, et qui permettent à ceux qui les détiennent de compromettre les logiciels et équipements ciblés sans nécessiter d’action des utilisateurs (0-clic). Le deuxième est celui des logiciels espions qui utilisent ces failles comme vecteurs invisibles de déploiement de leurs outils de surveillance en temps réel.
Cela a été mis en lumière à deux reprises grâce au travail de consortiums de journalistes et d’ONG comme Amnesty International. La première fois en juillet 2021 par Forbidden Stories et 17 médias dans le cadre du Projet Pegasus, du nom du logiciel espion développé par la société israélienne NSO. La deuxième fois, il y a un mois, dans le cadre des Predator Files, du nom d’un autre logiciel du même type, développé cette fois-ci par un consortium d’entreprises basées en Europe, et notamment en France, Intellexa. C’est emblématique d’un écosystème encore à la dérive et employé à des fins politiques. La plateforme Digital Violence, développée par le laboratoire Forensic Architecture, y permet une immersion effrayante mais salutaire.
Ce marché de l’industrie de la cybersurveillance est estimé aujourd’hui à 12 Md$ d’après le directeur du laboratoire Citizen Lab.
La commission PEGA et ses recommandations face à la tentation illibérale en Europe
Les travaux de la Commission Parlementaire sur les logiciels espions, appelée PEGA, suite au scandale Pegasus, a permis de mettre en lumière les principaux problèmes au sein de l’Union Européenne.
Sur le plan intérieur
D’abord sur le plan intérieur, avec la confirmation que 14 pays européens et 22 agences de sécurité avaient acquis ce type de logiciels et que 5 pays membres en avaient usage contre la société civile au mépris du droit et des institutions. Cela souligne que même nos démocraties peuvent être séduites par des outils permettant de s’affranchir du contrôle indispensable à un usage légitime et proportionné, en s’appuyant parfois sur une définition très large du concept de sécurité nationale.
Sur le plan extérieur
Sur le plan extérieur, ils ont montré les limites des règles d’exportations de ces technologies au sein de l’UE, à la fois permissives et sans applications homogènes au sein des états membres. Cela permet la mise en œuvre de structures d’entreprises opaques pour profiter de ces faiblesses afin d’exporter plus facilement.
Un récent rapport du Carnegie Endowment for International Peace indique que les états membres de l’UE ont accordé 317 autorisations d’exportations sur ce segment entre 2015 et 2017 contre seulement 14 refus. Il indique également que ces exportations sont majoritairement à destination de pays où le respect des droits de l’homme est secondaire.
C’est tout le paradoxe de l’Europe : être un modèle promouvant la démocratie et la protection des droits humains tout en important et exportant, sans contrôle strict, les moyens de son recul.
