CESIN mobilise autour du NIS2
Le CESIN mobilise ses membres dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2).
Pendant les trois phases de la consultation, le CESIN a organisé des enquêtes et des ateliers-débats autour des questions et des textes soumis par l’ANSSI, dans le but de susciter des propositions tangibles. En moyenne, 150 membres du CESIN ont pu exprimer leurs opinions et contribuer à cette consultation. Le panel est principalement constitué de membres issus d’ETI et de grandes entreprises, dont 30% ont une implantation internationale. Parmi les membres du CESIN qui ont contribué à ces travaux 25% pensent que leur entreprise est assujettie à NIS2 en tant qu’Entreprise Essentielle (EE), 19% en tant qu’Entreprise Importante (EI), 23% pensent que leur entreprise n’est pas assujettie, et un tiers des participants ne savent pas déterminer si leur entreprise sera assujettie.
En matière de gestion d’incidents, les entreprises déclarent disposer d’équipes internes ou externes prêtes à prendre en charge rapidement des incidents cyber (86%) et une petite majorité d’entre elles (71% des EE, mais seulement une EI sur deux) pourraient mettre en place des dispositifs d’astreinte, à défaut de pouvoir assurer une disponibilité 24/7.
La définition d’un incident classé « important » a suscité beaucoup de commentaires. Un critère simple a émergé : un incident important est un incident notifié au COMEX de l’entreprise. Exprimé autrement, un incident qui ne remonte pas au COMEX, n’est pas jugé important. Par ailleurs, la qualification de l’incident important devrait être liée au métier de l’entreprise et à la structure de son ou de ses Systèmes d’Information, notamment pour les grandes entreprises qui ont des SI et organisations plus ou moins centralisés, et pour lesquelles la notion d’incident important peut avoir des sens très différents.
En plus d'une définition formelle, le CESIN suggère que le critère d'importance d’un incident soit adaptable aux spécificités propres à chaque entreprise. Pour les autres incidents, il propose de les qualifier d'incidents « mineurs » plutôt que d’incidents « évités ». Certains incidents, bien que contenus et ayant un impact limité, sont néanmoins pertinents à notifier pour comprendre les modes d'attaques et enrichir les statistiques sur les menaces.
« Nous considérons que cet anonymat est la seule possibilité de favoriser un partage réel d’information sur les menaces, leur volume et leur nature. Cela permet aussi de lever les freins à la déclaration. » (Alain Bouillé, délégué général et porte-parole du CESIN)
En ce qui concerne la cartographie des entreprises et de leurs systèmes d'information, le CESIN suggère que les entreprises ne se décrivent pas à travers leurs entités légales, mais plutôt qu'elles fournissent une vision opérationnelle de leur organisation, en lien avec leur SI. Cela implique de détailler la structure sur laquelle les mesures de prévention et de cyberdéfense sont déployées et appliquées, pour permettre notamment de mieux comprendre la surface d’attaque d’une entreprise. En outre, le CESIN précise que les plans d’adressage pour les actifs exposés devraient tenir compte des architectures de plus en plus tournées vers le cloud, avec un certain nombre d’IP exposées qui ne sont plus privatives, mais mutualisées ; d’autant que ces surfaces exposées publiquement évoluent constamment. Les formats et méthodes pour les transmettre à l’opérateur devront être efficaces et industrialisables pour que l’opérateur puisse avoir une cartographie à jour.
La phase 3 de la consultation de l’ANSSI portait sur les mesures de sécurité. Les membres du CESIN qui ont répondu à l’enquête jugent très largement que ces mesures sont claires (90%), tandis que 70% d’entre eux pressentent des difficultés pour leur mise en œuvre.
Le CESIN a pu participer activement aux trois phases de la consultation en collectant et consolidant les réactions et propositions de ses membres. Fort de son millier de membres actifs, le CESIN joue un rôle significatif en tant que témoin direct des défis en matière de cybersécurité auxquels font face les entreprises, et des orientations permettant de renforcer le niveau de sécurité. Mylène Jarossay, Présidente du CESIN, ajoute que « La consultation menée par l'ANSSI pour la transposition nationale de NIS2 est une opportunité pour le CESIN d’apporter des propositions concrètes et adaptées au contexte actuel des organisations et des SI en France. Le CESIN est pleinement engagé et nous sommes ravis de mobiliser notre expertise collective pour éclairer les décisions stratégiques en matière de cyberdéfense. Nous restons disponibles pour soutenir toute initiative complémentaire de l'ANSSI et continuer à œuvrer ensemble pour la sécurité de nos entreprises et de notre pays. »
