Cybermalveillance et remédiation - compte-rendu de la journée RGPD de la CNIL du 12/06/24 à Nancy

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 12 juin dernier, la CNIL a animé une journée RGPD à Nancy, en collaboration avec l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 6 publications :

Dans cet avant dernier article relatif à la journée RGPD de la CNIL à Nancy, concentrons-nous sur la cybermalveillance et la remédiation.

I/ Rappels de la directive NIS 1

La directive NIS 1 du 6 juillet 2016 permet d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’informations (SI) de l’Union européenne (UE). Étant donné que c’est une directive, cette norme européenne n’est pas d’application directe et a nécessité une mesure dans transposition en droit interne. En France, c’est l’autorité nationale de la sécurité des systèmes d’information (ANSSI) qui a notamment contribué à la négociation et aux travaux de transposition avec différents acteurs (ministères, partenaires européens et les différentes parties prenantes nationales).

Suite à cette directive, l’ANSSI a un double objectif :

  • Accompagner les entités concernées dans la sécurisation de leurs SI critiques ;
  • Contrôler le respect des règles de sécurité.

En ce qui concerne les acteurs concernés par NIS 1, deux catégories sont distinguées et concernées :

  • Les opérateurs de services essentiels (OSE) — entreprises et organisations jouant un rôle crucial dans le fonctionnement de l’économie et de la société ;
  • Les fournisseurs de services numériques (FSN) — moteur de recherche, plateforme de vente en ligne et fournisseur de Cloud computing. Notons cependant que NIS 1 ne s’applique pas pour des FSN de moins de 50 personnes et dont le chiffre d'affaires (CA) ou le bilan total est inférieur à 10 millions d’euros.

Concernant les obligations disposées par NIS 1, il y en a trois majeures :

  • Mettre en place des mesures de sécurité (mise en place de mesures organisationnelles et techniques pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information)
  • Gérer les incidents de sécurité (mesures pour gérer de manière efficace les incidents de sécurité en classant et listant les incidents en évaluant leur impact)
  • Notifier les incidents (signalement rapide des incidents de sécurité ayant un impact important aux autorités nationales compétentes).

Mais depuis quelques années, l’on sait que la directive NIS 1 va être complétée par la directive NIS 2, avec de nombreux changements.

II/ Les changements majeurs opérés par la directive NIS 2

Plusieurs changements sont à observer avec la nouvelle directive NIS 2. Les changements majeurs concernent l’élargissement des acteurs et de leurs obligations. Mais avant de rentrer dans ces détails, deux changements intéressants sont à noter :

  • L’élargissement des pouvoirs des autorités nationales compétentes (ANC) : elles pourront exercer plusieurs pouvoirs, tels que d'effectuer des contrôles à distance ou sur place, prononcer des injonctions, suspendre ou retirer une certification et prononcer des sanctions — inspirées du RGPD — jusqu’à 2% du chiffre d’affaires annuel mondial ;
  • L’introduction d’une procédure d’inscription à l’ANSSI : auparavant, les acteurs étaient prévenus en amont qu’un acteur était une entité importante (EI) ou essentielle (EE). Donc ils savaient qu’ils étaient concernés par NIS 1. Avec NIS 2, ce sont les acteurs eux-mêmes qui devront se déclarer auprès de l’ANSSI. Dès lors, il faudra prêter une attention particulière, notamment parce que les acteurs devront s’auto-déclarer, mais aussi parce qu’ils pourront se faire contrôler alors même qu’ils ne se sont pas déclarés auprès de l’ANSSI.

1. La qualification des acteurs

La directive NIS a pour objectif d’élargir le champ d’application des acteurs concernés en incluant plusieurs entités : secteurs télécommunication et espace, inclusion d’une grande partie de la chaîne d’approvisionnement (livraison, industrie, manufacturière) ou encore l’inclusion d’administration centrales (régionales et locales).

Le nouveau texte n’utilise plus les qualifications d’OSE et FSN utilisées par NIS 1. En effet, la nouvelle directive a recours à deux nouvelles désignations : les entités essentielles (EE) et les entités importantes (EI). Les entreprises seront qualifiées de EE ou EI en raison de leur taille et de la criticité de leur secteur d’activité.

L’on distingue deux secteurs d’activité :

  • Les secteurs hautement critiques (détaillés en annexe 1 de NIS 2), qui concernent notamment l’énergie, les transports, le secteur bancaire ou encore la santé ;
  • Les secteurs critiques (détaillés en annexe 2 de NIS 2), qui concernent la gestion des déchets, les fournisseurs numériques.

Dès lors, comment catégoriser les entreprises ? Comment savoir si elles sont EE ou EI ?

  • Si une grande entreprise voit son secteur d’activité mentionné dans l’annexe 1 : elle sera une EE ;
  • Idem pour une entreprise intermédiaire dont le secteur d’activité est mentionné dans l’annexe 1 ;
  • Si une grande entreprise voit son secteur d’activité mentionné dans l’annexe 2 : elle sera une EI ;
  • Idem pour une entreprise intermédiaire dont le secteur d’activité est mentionné dans l’annexe 2 ;
  • Une moyenne entreprise sera quant à elle, toujours qualifiée comme une EI, que son secteur soit listé en annexe 1 ou 2 ;
  • S’agissant des micros et petites entreprises, elles ne sont pas concernées par NIS 2 car trop petites ;

Notons que les OSE mentionnées par la directive NIS 1 seront qualifiés comme EE avec NIS 2.

Dans le cadre des collectivités locales, il faut distinguer quelles entités sont essentielles ou importantes :

  • Les entités essentielles : métropole, communauté urbaine, communauté d’agglomération, établissements publics territoriaux, centre de gestion et toutes les communes de moins de 30 000 habitants ;
  • Les entités importantes : communauté de communes de 30 000 habitants à 50 000 habitants.

Notons que dans le cadre des collectivités locales, la directive laisse la possibilité à l’État de définir une entité de EE ou EI lorsque ce n’est pas figuré dans les annexes.

2. Les obligations

NIS 2 opère des changements majeurs également sur les obligations, qu’elles soient communes entre les entités ou différentes.

Concernant les obligations communes, il y a :

  • La notification (notification à l’ANSSI, déclaration d’un POC) ;
  • La déclaration (auprès de l’ANSSI des incidents majeurs sur les systèmes informatiques) ;
  • La mise en place de mesures de sécurité en matière de protection des SI (gestion des incidents, continuité des activités, sécurité de la chaîne d’approvisionnement, pratiques de bases, sécurité des ressources humaines, contrôle d’accès et gestion des actifs, utilisation d’authentification à plusieurs facteurs).

Concernant les obligations différentes, il y a :

  • Le niveau de sanction reçue (les EI peuvent être sanctionnées jusqu’à 1,4 % du chiffre d’affaires annuel mondial, tandis que les EE peuvent avoir jusqu’à 2% du chiffre d’affaires annuel mondial) ;
  • Le type de régulation (les EI disposent d’un contrôle “ex post” c’est-à-dire en cas de non conformité avérée, tandis que les EE ont un contrôle “ex post” et “ex ante” c’est-à-dire avant la mise en circulation du produit) ;
  • Les exigences des mesures (elles ne sont pas les mêmes pour prendre en compte les moyens et les enjeux des entreprises à tailles diverses)

III/ Remédiations face aux menaces cyber

Face à une attaque cyber, il faut être prêt. Il est donc important de ne pas partir de zéro. Pour cela, il est donc essentiel d’avoir en tête certaines mesures simples :

  • Contacter une entreprise de remédiation : le métier de remédiation est un pilier essentiel pour faire face aux attaques. En effet, lors d’une attaque, les entreprises ont souvent le réflexe d’appeler leur fournisseur informatique. Cependant, il peut créer plus de dégâts. Il est donc primordial de contacter une entreprise qui effectue des missions de remédiation pour minimiser les dégâts. L’ANSSI propose également des guides sur la remédiation concernant les réflexes à adopter.
  • Consulter le site “cybermalveillance” : pour les particuliers ou les petites structures, le site cybermalveillance.gouv.fr permet à la mise en relation d’un prestataire qui fournit une liste d'experts en remédiation. Pour les petites et moyennes entreprises, il y a la mise en place de réponse à incident régional en effectuant un diagnostic des remédiations. Il est aussi possible d'appeler le numéro de l’ANSSI au 32 18.
  • Utiliser l’outil “mon aide cyber” : outil gratuit de l’ANSSI, il permet aux entreprises et collectivités d’effectuer un diagnostic cyber pendant environ une heure. À la suite du diagnostic, l’outil proposera 6 mesures simples à mettre en place lors des premiers mois. Cette aide s’adresse à des collectivité ou entreprises non matures qui ont une connaissance partielle de la cybersécurité.
  • Utiliser l’outil “mon espace NIS 2” : outil proposant un questionnaire permettant de savoir si une entreprise est concernée par la future directive NIS 2. Les questions portent sur le domaine d’activité, le nombre de salariés ou encore le chiffre d'affaires.

Speaker :

Vincent RHIN, délégué régional de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).