Transposition de la directive européenne NIS en France - Une stratégie d'amélioration continue de la Cybersécurité - CLUSIR-Est
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Transposition de la directive européenne NIS en France Une stratégie d’amélioration continue de la Cybersécurité NIS : Network Information System Security
Historique de la directive européenne NIS
2012 2013 2015 2016 2017 2018
• Novembre : • Février : • Décembre : • 6 Juillet : • Février : • 27 février :
réponse des proposition de Accord politique Adoption par le Organisation de Publication de la
autorités directive NIS par entre le parlement la première loi de
françaises à la la CE parlement et le européen réunion du transposition de
consultation • Mars : début des conseil de l’UE • Publication au groupe de la directive NIS
publique de la négociations au journal officiel de coopération en France au
commission conseil de l’union • Février : journal officiel
européenne l’UE(Etats européenne Organisation de • 25 mai :
membres) et au • Début des la première Publication du
parlement travaux de réunion des décret
européen transposition en CSIRTs nationaux d’application de
France • Printemps : la loi de
Début des transposition au
consultations Journal Officiel
avec les • 9 Novembre
organismes 2018 :
publics et privés Publication
nationaux d’une première
liste d’OSE
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 2Les grands objectifs de la directive NIS (Network Information
System Security)
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 3Domaines d’activité des OSE et FSN
• Electricité
Energie • Pétrole
• Gaz
• Aérien
• Ferroviaire
• Maritime
Transport / logistique
• Routier
• Guidé
• Logistique
• Banque
Finance / Assurance • Infrastructure des marchés financiers
• Assurance
• Etablissement de santé
Santé
• Distribution pharmaceutique
Restauration • Restauration collective • Sites e-commerce
• Fourniture / distribution
OSE Eau potable
• Traitement des eaux FSN • Moteurs de recherche
• Services d'éducation
Education / social • Emplois et formation
• Services sociaux
• Services Cloud
Numérique • Services numériques
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 4OSE : Opérateur de Service Essentiel
Identification d’un OSE Identification d’un service essentiel
Un OSE est un opérateur tributaire des réseaux ou systèmes Un service essentiel correspond à 3 critères :
d’information, qui fournit un service essentiel dont ce service est essentiel au maintien d’activités sociétales ou
l’interruption aurait un impact significatif sur le économiques critiques
fonctionnement de l’économie ou de la société. la fourniture de ce service est tributaire des réseaux et des
systèmes d’information
un incident sur ces réseaux et systèmes aurait un effet disruptif
important sur la fourniture dudit service.
OSE
Services non Services
essentiels essentiels
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 5OIV vs OSE
OIV OSE
• Opérateur d’Importance Vitale • Opérateur de Service Essentiel
• Cadre réglementaire : LPM (Loi de Programmation Militaire) • Cadre réglementaire : Directive européenne NIS
• Périmètre : France • Périmètre : UE
• Nombre d’opérateurs :249 • Nombre d’opérateurs : 122 (chiffre ANSSI – 9 Novembre 2018)
• Liste confidentielle • Liste confidentielle
Secteurs OIV Secteurs OSE
ACTIVITÉ INDUSTRIELLES DE L'ARMEMENT ASSURANCE
ALIMENTATION BANQUES
AUDIOVISUEL ET INFORMATION ÉDUCATION
COMMUNICATION ÉLECTRONIQUES ET INTERNET EMPLOI ET FORMATION PROFESSIONNELLE
ENERGIE ÉNERGIE
ESPACE FOURNITURE ET DISTRIBUTION D'EAU POTABLE
FINANCES INFRASTRUCTURES NUMÉRIQUES
GESTION DE L'EAU INFRASTRUCTURES
INDUSTRIE DE MARCHÉS FINANCIERS
NUCLÉAIRE LOGISTIQUE
PRODUITS DE SANTÉ RESTAURATION
TRANSPORTS SANTÉ
SERVICES FINANCIERS
SOCIAL
TRAITEMENT DES EAUX NON POTABLES
TRANSPORTS
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 6De l’applicabilité à la mise en œuvre
Analyse de Etat des Mise en
Applicabilité Planification
risque Lieux œuvre
Etape 1 Etape 2 Etape 3 Etape 4 Etape 5
• Déterminer si votre • Effectuer une analyse • Réaliser un état des • Etablir un plan de • Mettre en œuvre ce
organisation entre des risques menaçant lieux des mesures de conformité avec son plan
dans le périmètre la sécurité du SI de sécurité techniques budget, son
d’application de la loi l’organisation afin et organisationnelles sponsorship et la
• Dans l’affirmative, d’identifier lesquels en place pour feuille de route
identifier le ou les peuvent affecter les identifier les écarts
services critiques au services critiques avec les exigences de
sens de la loi. la loi
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 7Principes de gestion des OSE
Identification des OSE Les critères de sélection
Liste des OSE établie en Novembre 2018 Mesure de l’effet disruptif
La liste est révisée au moins tous les deux ans le nombre d'utilisateurs tributaires du service fourni par
l'entité concernée;
la dépendance des autres secteurs visés à l'annexe II à
l'égard du service fourni par cette entité;
les conséquences que des incidents pourraient avoir, en
termes de degré et de durée, sur les fonctions économiques
ou sociétales ou sur la sûreté publique;
la part de marché de cette entité;
la portée géographique eu égard à la zone susceptible d'être
touchée par un incident;
l'importance que revêt l'entité pour garantir un niveau de
service suffisant, compte tenu de la disponibilité de solutions
de rechange pour la fourniture de ce service.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 8Les impacts financiers de la directive NIS
Le financement Les amendes
La loi impose aux OSE et aux FSN de financer la mise en
conformité de leur SI ainsi que les contrôles demandés par
OSE FSN
l'ANSSI. Non-conformité aux règles de sécurité 100 k€ 75 k€
Non déclaration des incidents de 75 k€ 50 k€
sécurité
Obstacle aux opérations de contrôle 125 k€ 100 k€
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 9LES OBLIGATIONS DES OPÉRATEURS DE SERVICES ESSENTIELS
Une fois désigné, un opérateur de service essentiel devra :
Identifier un représentant auprès de l’ANSSI
Identifier son ou ses système(s) d’information essentiel (SIE)
Appliquer dans des délais impartis des règles de sécurité (art. 6)
Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la
continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public
ou les États membres concernés
Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par
l’ANSSI ou par des prestataires de service qualifiés.
Les règles de sécurité sont définies dans l’arrêté du 14 septembre 2018
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 10Sécurité des OSE : les sujets clés
Gouvernance de la
Gestion des Maintien en
sécurité des réseaux Sécurité de Sécurité de Sécurité physique et Détection des
identités et des conditions de Gestion de crises
et systèmes l’architecture l’administration environnementale incidents de sécurité
accès sécurité
d’information
•Analyse de
risque Détection
Configuration
Identification
•Politique de Comptes
sécurité d’administration
Journalisation
Cloisonnement
•Homologation de
sécurité Procédure de
Corrélation et
maintien en
Authentification analyse de
condition de
journaux
•Indicateurs sécurité
Accès distant
Réponse aux
•Audits de la Systèmes incidents
sécurité d’information
d’administration
Droits d’accès
Filtrage Traitement des
•Cartographie alertes
Délais
d’implémentation T0 : désignation 3 mois 1 an 2 ans 3 ans
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 11Questions Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 12
Annexes
Délais d’implémentation
Les délais d’implémentation correspondent à un point de départ qui est la date de désignation
de l’OSE par l’ANSSI.
Obligations des OSE
désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives
la mise en œuvre de la directive NIS, dans un délai de 2 mois à compter de la date de désignation ;
déclarer ses systèmes d’information essentiels (SIE) dans un délai de 3 mois à compter de la date de
désignation
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 14Politique de sécurité
Objectifs
Porter les enjeux SSI au plus haut niveau de l’entité.
Encourager l’opérateur à définir une stratégie SSI.
Elaboration et mise en œuvre d’une PSSI élaborée selon les critères définis par l’ANSSI,
prévoyant notamment des plans de formation et de sensibilisation à la SSI.
Voir aussi
Norme ISO 27001
PSSIE (Politique de Sécurité des Systèmes d’Information de l’Etat)
• www.ssi.gouv.fr/entreprise/reglementation/protection-des-systemes-dinformations/la-politique-de-securite-des-
systemes-dinformation-de-letat-pssie/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 15Traitement des alertes
Objectifs :
Informer au plus vite l’opérateur d’un risque de compromission sur ses SIE.
Pouvoir activer rapidement des mesures de réaction en vue de limiter le périmètre de compromission et
les impacts.
Communication à l’ANSSI d’un point de contact fonctionnel pouvant prendre connaissance à
toute heure des signalements de l’ANSSI.
www.cert.ssi.gouv.fr/
CERT : Computer Emergency Response Team
CSIRT : Computer Security Incident Response Team
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 16Homologation de sécurité
Objectifs Homologation en neuf étapes
Identifier les risques portant sur les SIE et les mesures adaptées Étape no 1 : Quel système d’information dois-je faire
pour les couvrir. homologuer et pourquoi ?
Accepter formellement les risques résiduels, au niveau de Étape no 2 : Quel type de démarche dois-je mettre en œuvre ?
responsabilité suffisant.
Étape no 3 : Qui contribue à la démarche ?
Homologation obligatoire pour chaque SIE, prononcée par
l’opérateur, incluant un audit réalisé selon les critères définis Étape no 4 : Comment s’organise-t-on pour recueillir et
par l’ANSSI. présenter les informations ?
Étape no 5 : Quels sont les risques pesant sur le système ?
Étape no 6 : La réalité correspond-elle à l’analyse ?
Étape no 7 : Quelles sont les mesures de sécurité
supplémentaires pour couvrir ces risques ?
Étape no 8 : Comment réaliser la décision d’homologation ?
Étape no 9 : Qu’est-il prévu pour continuer d’améliorer la
sécurité ?
www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-
etapes-simples
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 17Indicateurs
Objectif :
Mieux évaluer le degré d’exposition des SIE aux attaques informatiques.
Affiner la stratégie de protection des opérateurs de chaque secteur.
Evaluation pour chaque SIE des indicateurs SSI et transmission annuelle à l’ANSSI d’un
tableau de bord de suivi de ces indicateurs.
Liste d’indicateurs
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 18Liste des indicateurs demandés par l’ANSSI
des indicateurs relatifs au maintien en conditions de sécurité des ressources :
le pourcentage de postes utilisateurs dont les ressources systèmes ne sont pas installées dans une
version supportée par le fournisseur ou le fabricant
le pourcentage de serveurs dont les ressources systèmes ne sont pas installées dans une version
supportée par le fournisseur ou le fabricant
des indicateurs relatifs aux droits d'accès des utilisateurs et à l'authentification des accès
aux ressources :
le pourcentage d'utilisateurs accédant au SIE au moyen de comptes privilégiés
le pourcentage de ressources dont les éléments secrets d'authentification ne peuvent pas être
modifiés par l'opérateur
des indicateurs relatifs à l'administration des ressources :
le pourcentage de ressources administrées dont l'administration est effectuée à partir d'un compte
non spécifique d'administration
le pourcentage de ressources administrées dont l'administration ne peut pas être effectuée au travers
d'une liaison réseau physique ou d'une interface d'administration physique.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 19Audits de la sécurité
L'opérateur de services essentiels réalise, dans le cadre de l'homologation de sécurité, un audit
de la sécurité de chaque système d'information essentiel (SIE).
L'audit doit aussi être réalisé lors de chaque renouvellement de l'homologation en prenant
notamment en compte les résultats de la mise à jour de l'analyse de risque du SIE.
Objectifs
vérifier l'application et l'efficacité des mesures de sécurité du SIE (vulnérabilités connues,
audit d'architecture, audit de configuration et d'un audit organisationnel et physique).
L'opérateur ou le prestataire mandaté à cet effet réalise cet audit en s'appuyant sur les
exigences du référentiel en matière d'audit de sécurité des systèmes d'information (cf.
l'article 10 du décret n° 2015-350 du 27 mars 2015)
élaborer un rapport d'audit qui expose les constatations sur les mesures appliquées et sur le
respect des présentes règles de sécurité.
formuler des recommandations pour remédier aux éventuelles non-conformités et
vulnérabilités découvertes.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 20Cartographie
Objectif
Pouvoir apprécier l’impact d’une compromission.
Faciliter le traitement des incidents de sécurité.
Pouvoir qualifier et attribuer des signalements remontés par des partenaires de l’ANSSI.
Tenue à disposition de l’ANSSI d’une cartographie de chaque SIE.
www.ssi.gouv.fr/entreprise/guide/cartographie-du-systeme-dinformation/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 21Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 22
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 23
Configuration
L'opérateur de services essentiels respecte les règles suivantes lorsqu'il installe des services et des équipements
sur ses systèmes d'information essentiels (SIE) :
l'opérateur installe sur ses SIE les seuls services et fonctionnalités qui sont indispensables à leur
fonctionnement ou à leur sécurité. Il désactive les services et les fonctionnalités qui ne sont pas
indispensables, notamment ceux installés par défaut, et les désinstalle si cela est possible. Lorsque la
désinstallation n'est pas possible, l'opérateur le mentionne dans le dossier d'homologation du SIE concerné en
précisant les services et fonctionnalités concernés et les mesures de réduction du risque mises en œuvre ;
l'opérateur ne connecte à ses SIE que des équipements, matériels périphériques et supports amovibles dont il
assure la gestion et qui sont indispensables au fonctionnement ou à la sécurité de ses SIE ;
les supports amovibles inscriptibles connectés aux SIE sont utilisés exclusivement pour le fonctionnement, y
compris la maintenance et l'administration, ou la sécurité des SIE ;
l'opérateur procède, avant chaque utilisation de supports amovibles, à l'analyse de leur contenu, notamment à
la recherche de code malveillant. L'opérateur met en place, sur les équipements auxquels sont connectés ces
supports amovibles, des mécanismes de protection contre les risques d'exécution de code malveillant
provenant de ces supports.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 24Cloisonnement
L'opérateur de services essentiels procède au cloisonnement de ses systèmes d'information
essentiels (SIE) afin de limiter la propagation des attaques informatiques au sein de ses
systèmes ou ses sous-systèmes. Il respecte les règles suivantes :
chaque SIE est cloisonné physiquement ou logiquement vis-à-vis des autres systèmes
d'information de l'opérateur et des systèmes d'information de tiers ;
lorsqu'un SIE est lui-même constitué de sous-systèmes, ceux-ci sont cloisonnés entre eux
physiquement ou logiquement. Un sous-système peut être constitué pour assurer une
fonctionnalité ou un ensemble homogène de fonctionnalités d'un SIE ou encore pour isoler
des ressources d'un SIE nécessitant un même besoin de sécurité ;
seules les interconnexions strictement nécessaires au bon fonctionnement et à la sécurité
d'un SIE sont mises en place entre le SIE et les autres systèmes ou entre les sous-systèmes
du SIE.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 25Accès distant
www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-relatives-a-la-tele-assistance/
Liste des recommandations
• R1 Télé-assistance dans le contexte
utilisateur
• R2 Supervision des opérations effectuées
• R3 Consentement du télé-assisté
• R4 Authentification du télé-assistant
• R5 Limitation des comptes de télé-
assistants
• R6 Vérification de l’identité du télé-
assistant
• R7 Lancement de l’application de télé-
assistance
• R8 Maintien en condition de sécurité
• R9 Postes de télé-assistance
• R10 Fonctions de sécurité portées par la
solution
• R11 Restriction des adresses IP des télé-
assistants
• R12 Journalisation des opérations
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 2627
Analyse de Risques
La méthode Ebios pour la gestion des risques :
www.ssi.gouv.fr/entreprise/guide/la-methode-ebios-risk-manager-le-guide/
D’autres méthodes existent
• méthode harmonisée d'analyse des risques (MEHARI) développée par le CLUSIF
• ISO 27005
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 28Filtrage
La perte de contrôle d’une politique de filtrage d’un pare-feu d’interconnexion peut avoir
différentes causes, parmi lesquelles :
la complexité de la politique de filtrage, qui peut dans certains cas contenir plusieurs centaines (voire
des milliers) de règles ;
l’absence de conventions précises régissant la rédaction des politiques de pare-feu (règles techniques ou
organisationnelles) ;
le renouvellement trop fréquent des personnes en charge de l’exploitation des pares-feux ;
le manque de maîtrise de la cartographie des systèmes d’information.
www.ssi.gouv.fr/entreprise/guide/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-
de-filtrage-reseau-dun-pare-feu/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 29Comptes d’administration
Objectifs
Prévenir les attaques pouvant conduire à une prise de contrôle totale et furtive du SIE.
Utilisation de comptes dédiés à l’administration pour l’administration des SIE.
Mise en place de ressources matérielles et logicielles dédiées aux opérations d’administration.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 30Systèmes d’information d’administration
Séparation entre les flux d’administration et les autres flux.
www.ssi.gouv.fr/entreprise/guide/securiser-ladministration-des-systemes-dinformation/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 31Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 32
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 33
Gestion des accès
Objectifs
Limiter l’exposition des SIE aux attaques et aux erreurs de manipulation.
Assurer la traçabilité des accès aux ressources des SIE.
Identification par comptes individuels.
Protection des éléments secrets d’authentification.
Gestion des autorisations selon le principe du moindre privilège.
Connaissance des comptes privilégiés et des droits associés.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 34Maintien en conditions de sécurité
Objectifs
S’assurer que les SIE conservent un niveau de sécurité constant, adapté à l’évolution de la menace.
Suivi et prise en compte des correctifs de sécurité.
Cette procédure définit les conditions permettant de maintenir le niveau de sécurité des
ressources des SIE en fonction de l'évolution des vulnérabilités et des menaces et précise
notamment la politique d'installation de toute nouvelle version et mesure correctrice de
sécurité d'une ressource et les vérifications à effectuer avant l'installation. Elle prévoit que :
Règles MCS
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 35Règles de MCS(1)
l'opérateur se tient informé des vulnérabilités et des mesures correctrices de sécurité susceptibles de concerner les ressources
matérielles et logicielles de ses SIE
l'opérateur installe et maintient toutes les ressources matérielles et logicielles de ses SIE dans des versions supportées par leurs
fournisseurs ou leurs fabricants et comportant les mises à jour de sécurité
préalablement à l'installation de toute nouvelle version, l'opérateur s'assure de l'origine de cette version et de son intégrité, et
en analyse l'impact sur le SIE concerné d'un point de vue technique et opérationnel
dès qu'il a connaissance d'une mesure correctrice de sécurité concernant une de ses ressources, l'opérateur en planifie
l'installation après avoir effectué les vérifications lorsque des raisons techniques ou opérationnelles le justifient, l'opérateur peut
décider, pour certaines ressources de ses SIE, de ne pas installer une version supportée par le fournisseur ou le fabricant de la
ressource concernée ou de ne pas installer une mesure correctrice de sécurité. Dans ce cas, l'opérateur met en œuvre des
mesures techniques ou organisationnelles prévues par la procédure de maintien en conditions de sécurité pour réduire les
risques liés à l'utilisation d'une version obsolète ou comportant des vulnérabilités connues. L'opérateur décrit dans le dossier
d'homologation du SIE concerné ces mesures de réduction des risques et les raisons techniques ou opérationnelles ayant
empêché l'installation d'une version supportée ou d'une mesure correctrice de sécurité.
(1) MCS : Maintien en Conditions de Sécurité
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 36Détection
Objectifs
Détecter au plus tôt les tentatives d’attaque.
Pouvoir réagir rapidement en cas de compromission.
Mise en œuvre d’un système de corrélation et d’analyse des journaux, exploité en s’appuyant
sur les exigences du référentiel PDIS.
Mise en œuvre de sondes de détection qualifiées opérées par l’ANSSI, d’autres services de
l’Etat ou des prestataires qualifiés, positionnées de manière à pouvoir analyser les flux
échangés entre les SIE et les autres systèmes.
PDIS : Prestataire de Détection d’Incident de Sécurité
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 37Journalisation
Les règles de sécurité pour la journalisation
• Résilience du système de journalisation
• Protection des données échangées
• Stockage
• Consultation
• Supervision de l’espace disque
www.ssi.gouv.fr/entreprise/guide/recommandations-de-securite-pour-la-mise-en-oeuvre-dun-systeme-
de-journalisation/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 38Sécurité physique et environnementale
L'opérateur de services essentiels définit et met en œuvre, conformément à sa politique de
sécurité des réseaux et systèmes d'information, les procédures et les mesures de sécurité
physique et environnementale applicables à ses systèmes d'information essentiels (SIE).
Ces procédures et mesures portent notamment sur :
le contrôle du personnel interne
Le contrôle du personnel externe
le contrôle d'accès physique aux SIE
la protection des SIE contre les risques environnementaux tels que les catastrophes
naturelles.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 39Corrélation et analyse des journaux
L'opérateur de services essentiels met en œuvre un système de corrélation et d'analyse de journaux qui
exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes
d'information essentiels (SIE), afin de détecter des événements susceptibles d'affecter la sécurité des SIE.
Le système de corrélation et d'analyse de journaux contribue à la détection d'incidents de sécurité en
analysant les données de journalisation.
Le système de corrélation et d'analyse de journaux est installé et exploité sur un système d'information mis
en place exclusivement à des fins de détection d'événements susceptibles d'affecter la sécurité des
systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d'analyse de
journaux en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité
pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des
produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes
d'information.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 40Réponse aux incidents
Objectifs
Assurer la gestion et la supervision des incidents.
Mettre en place les ressources adaptées à l’analyse et au traitement de ces incidents.
Mise en place d’une organisation de gestion des incidents de sécurité informatique.
Traitement des incidents de sécurité en s’appuyant sur les exigences du référentiel PRIS
(www.ssi.gouv.fr/uploads/2016/04/formulaire-declaration-incident-lpm_anssi.pdf)
Autres référentiels
• Norme [ISO27035] relative à la gestion des incidents de sécurité.
• norme [ISO27037] relative à l’identification, la collecte, l’acquisition et la préservation de preuves numériques.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 41Gestion de crises
Objectifs
Préparer l’opérateur à activer les mesures de crise décidées par le Premier ministre.
Cette procédure décrit l'organisation de la gestion de crises mise en place par l'opérateur et
prévoit notamment l'application des mesures techniques suivantes aux systèmes d'information
essentiels (SIE)
Accès distant
Sauvegarde /
Messagerie
Restauration
PCA/PRA
Procédures Règles de
Routage
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 42Objectifs de la procédure de gestion de crises
configurer les SIE de manière à éviter les attaques ou à en limiter les effets. Cette configuration
peut viser
à proscrire l'utilisation de supports de stockage amovibles ou la connexion d'équipements nomades aux SIE
à installer une mesure correctrice de sécurité sur un SIE particulier
à restreindre le routage
mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les
équipements terminaux. Cette mesure peut viser :
à effectuer des restrictions d'accès sous forme de listes blanches et de listes noires d'utilisateurs
à bloquer les échanges de fichiers d'un type particulier
à isoler de tout réseau des sites internet, des applications, ou des équipements informatiques de l'opérateur
isoler du réseau internet les SIE de l'opérateur. Cette mesure impose de déconnecter
physiquement ou logiquement les interfaces réseau des SIE concernés.
La procédure précise les conditions dans lesquelles ces mesures peuvent être appliquées compte
tenu des contraintes techniques et organisationnelles de mise en œuvre.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 43Secteurs d’activités concernés par la LPM
Les listes de SIIV doivent être protégées par le secret de la défense nationale, c’est-à-dire
classifiées au moins au niveau Confidentiel Défense.
Produits de santé
Gestion de l’eau
Alimentation
Energie
•Approvisionnement en énergie électrique
•Gaz naturel
•Hydrocarbures pétroliers
Transports
•Terrestres
•Maritime et fluvial
•Aérien
Audiovisuel et information
Communication électroniques et internet
Industrie
Finances
Nucléaire
Activités industrielles de l’armement
Espace
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 44Historique de la mise en place de la LPM
2006 2013 2014/2015 2014/2016 2016/2017
•Mise en place du •Adoption de la loi •Définition des •Lancement des •Entrée en vigueur
dispositif de de programmation modalités groupes de travail des mesures de
« sécurité des militaire d’application de la •Pour chaque cybersécurité
activités •La LPM est l’outil LPM secteur d’activité, •Suite aux groupes
d’importance législatif qui va •Le décret les groupes de de travail, l’ANSSI
vitale » permettre aux d’application de travail regroupent propose une
opérateurs publics l’article 22 de la autour de l’ANSSI réglementation
et privés critiques LPM précise les les OIV, le ministère adaptée aux
pour la Nation de modalités coordonnateur et secteurs d’activité.
mieux se protéger d’application des les autorités de Les premiers
et à l’ANSSI de nouvelles mesures régulation. Les arrêtés sont signés
mieux les soutenir de cyber sécurité. Il règles de sécurité par le Premier
en cas d’attaque est accompagné et les délais Ministre et
informatique. d’un décret sur la d’application sont définissent les
qualification. discutés entre les critères d’exécution
différentes parties des mesures qui
prenantes. entreront en
vigueur au 1er
juillet 2016.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 45Le planning de mise en conformité
2 mois 3 mois 1 an 2 ans 3 ans
Authentification
Accès distant
Cartographie
Analyse de risque
Cloisonnement
déclarer ses systèmes Configuration
d’information essentiels (SIE)
Droits d'accès Comptes d'administration
Gestion de crises
Corrélation et analyse de
désigner une personne journaux
chargée de représenter l’OSE Indentification Audits de la sécurité
auprès de l’ANSSI
Journalisation Détection
Politique de sécurité
Filtrage
Procédures de maintien en
Traitement des alertes
condition de sécurité
Indicateurs
Homologation de sécurité
Réponse aux incidents
Systèmes d'information
Sécurité physique et
d'administration
environnementale
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 46Références
www.ssi.gouv.fr/entreprise/protection-des-oiv/les-regles-de-securite/
Les bonnes pratiques sécurité de l’ANSSI
www.ssi.gouv.fr/entreprise/bonnes-pratiques/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 47Bonnes pratiques de l’ANSSI
www.ssi.gouv.fr/entreprise/bonnes-pratiques/
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 48NIS : Coopération
La directive NIS prévoit la mise en place d’une coopération entre les États membres portant sur les aspects politiques et opérationnels de la cybersécurité.
Ses objectifs :
Soutenir et faciliter la coopération stratégique entre les Etats membres ;
Faciliter l’échange d’information et renforcer la confiance mutuelle;
Élever le niveau global de maturité et les capacités nationales de cybersécurité (formations, outillages, etc.).
Chaque État membre a désigné un ou plusieurs CSIRT chargés de la gestion des incidents et des risques au niveau national. Depuis février 2017, ces CSIRT se retrouvent
au sein du groupe des CSIRT nationaux (dénommé « CSIRT Network »), Les membres du CERT-EU participent également aux rencontres, tout comme la
Commission européenne en tant qu’observateur. L’ENISA assure quant à elle le secrétariat des rencontres et soutient la coopération entre les CSIRT.
Ses objectifs :
Renforcer des capacités nationales de cybersécurité en constituant un réseau d’experts
Consolider la confiance en favorisant les échanges entre les CSIRT nationaux ;
Partager la connaissance des menaces portant sur l’espace européen ;
Promouvoir la coopération opérationnelle multidomestique.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 49Gouvernance
Le premier volet de la directive prévoit le renforcement des capacités nationales de
cybersécurité des États membres.
En cohérence avec l’application du Livre Blanc sur la défense et la sécurité nationale, la plupart
des dispositions de gouvernances visées par la directive sont d’ores et déjà couvertes par la
France.
En effet, la protection du pays repose déjà sur une organisation nationale existante, mature et
fonctionnelle :
une stratégie nationale pour la sécurité du numérique, présentée en 2015, et renforcée par
la Revue stratégique de cyberdéfense (RSC)présentée le 12 février 2018 ;
une autorité nationale en matière de cybersécurité et de cyberdéfense, l’ANSSI, qui participe
par ailleurs au groupe de coopération rassemblant les États membres (art.11) ;
un centre de réponse aux incidents, le CERT-FR, impliqué dans les échanges opérationnels
avec les CSIRT nationaux existants.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 50Amendes GDPR
L‘approche choisie concernant les amendes est sur deux niveaux, en fonction de la sévérité, la
durée et la nature de la violation.
Echelon 1
2% du chiffre d'affaire global, ou €10 millions, en choisissant quel est plus grand.
si la société ne peut pas prouver l'existence d'un degré de sécurité adéquat
n'a pas désigné un Responsable pour la protection des données
n'a pas établi un accord de traitement des données.
OU
Echelon 2
4% du chiffre d'affaire global, ou €20 millions, en choisissant lequel est plus grand.
appliqué lorsque les droits des personnes visées ont été violés tels que leurs données ont été traitées
sans une vertu légale.
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 51Exemples de Cyberattaques
Airbus - 2019
Cyberattaque contre Airbus :
• Cible supposée : données relatives à qualification des avions
• Point d’entrée : Infiltration via un fournisseur
• Suspect : Groupe APT-10 (Chine)
Guillaume Poupard :"Un groupe terroriste qui apporterait la preuve qu’il a provoqué une
catastrophe aérienne, ferroviaire ou maritime créerait une situation de blocage de l’ensemble
du secteur à l’échelle mondiale avec des conséquences économiques et sociétales difficiles à
imaginer".
Challenge : cyberattaque-contre-airbus-la-piste-chinoise-avancee
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 53Altran - 2019
Attaque contre le SI Altran
Impacts : indisponibilité d’une partie significative du SI
Point d’entrée : Ransomware
Suspect : ??
www.zdnet.fr/actualites/la-societe-de-services-altran-cible-d-une-cyberattaque-39879863.htm
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 54Divers
2018/2019 - Données personnelles de personnalités allemandes diffusées sur les réseaux :
www.zdnet.fr/actualites/les-politiques-allemands-nus-sur-internet-apres-un-piratage-
39878749.htm
2019 - Fournisseur de boites mail compromis :
www.lemagit.fr/actualites/252457413/VFemail-specialiste-de-le-mail-anonyme-balaye-par-
une-attaque-devastatrice
Transposition de la directive NIS | Pascal Dugué © 2019 Capgemini. All rights reserved. 55Fin Click to insert presenter, location, and date
Vous pouvez aussi lire
