Réussir sa transition vers NIS2 : conseils et solutions signés itrust consulting
La directive NIS2, législation européenne en matière de cybersécurité, prévoit des mesures juridiques devant renforcer la protection des réseaux et de l’information dans une Europe confrontée à des menaces et des actes malveillants toujours plus sophistiqués. Elle entrera en vigueur cet automne et les acteurs publics et privés concernés devront alors montrer patte blanche devant le régulateur chargé de sanctionner tout manquement y relatif. Carlo Harpes, fondateur et gérant d’itrust consulting, société experte en cybersécurité depuis 2007, nous éclaire sur les enjeux liés à leur mise en conformité et présente les outils spécialement développés par l’entreprise pour y répondre.
La directive européenne NIS2 entrera en application cet automne. Que faut-il savoir à son sujet ?
Elle a pour noble objectif de préparer le secteur public et certains nouveaux secteurs privés au défi de la cybersécurité. Elle devra être transposée avant le 15 octobre 2024, date à laquelle toutes les entités européennes concernées devront être conformes. À compter de ce jour, celles-ci seront censées gérer la cybersécurité selon les « normes internationales applicables » en se basant sur une « évaluation de la probabilité et des conséquences » d’une série de scénarios de risques. Notons qu’elles seront obligées de se justifier auprès d’un régulateur national, à savoir l’Institut luxembourgeois de Régulation (ILR) ou la CSSF pour le secteur financier.
Cette deuxième mouture de la directive inquiète parce qu’elle annonce des sanctions similaires à celles prévues en cas de non-respect du RGPD et confère à l’ILR le droit d’imposer des mesures allant jusqu’à la destitution du directeur en fonction. Ce que les pénalités sanctionneront véritablement, c’est l’ignorance. Ainsi, un directeur pourra sciemment refuser d’investir dans des mesures de sécurité importantes et choisir de courir un risque à condition que ces décisions soient documentées et justifiées. Mais il ne sera pas en droit d’ignorer une demande d’information, un contrôle ou une mesure générale ou spécifique imposée par le régulateur.
Comment réagissent vos clients par rapport à ces exigences ?
Ils sont lassés de la régulation et de la compliance. Il est pourtant inutile de s’en plaindre : tout cela est dans l’esprit du temps. Lorsque nous menons des projets de mise en conformité avec le RGPD, nous observons qu’un tiers du travail à fournir, lié à la documentation, peut effectivement sembler ennuyeux, mais un autre tiers est consacré à la formation et à la responsabilisation du personnel, une étape très productive que beaucoup d’entités négligent. Le dernier tiers de l’effort consiste à compléter les mesures de sécurité. Parmi celles-ci : mandater un expert indépendant qui jouera les hackers pour tester la sécurité d’un système et des données qu’il recèle – une pratique depuis longtemps approuvée et appliquée dans le secteur financier, mais rare dans d’autres ; vérifier annuellement les accès – un travail administratif, mais justifié par le nombre d’erreurs que l’on relève, ou l’exercice du plan de continuité. Notons qu’en matière de cybersécurité, chacun est responsable, d’autant plus dans le secteur public où les agents prêtent serment. Or, les normes stipulent que tout manquement aux bonnes pratiques de sécurité peut être imputé à un individu. Cela nécessite donc que les règles, les politiques et les procédures de sécurité soient clairement documentées et expliquées aux collaborateurs. Bien sûr, le comportement des agents et salariés ne fait pas tout. Une fois les bonnes pratiques organistionnelles identifiées, il convient d’installer des solutions de monitoring des menaces et des vulnérabilités, technologies qui recourent de plus en plus à l’intelligence artificielle, tout comme les attaquants qui l’utilisent déjà largement pour trouver des moyens de s’infiltrer dans les systèmes de leurs cibles.
Justement, pouvez-vous présenter OpenTRICK, la solution que vous avez créée pour répondre aux exigences de NIS2 et de l’ILR ?
OpenTRICK (Tool for Risk management of an ISMS based on a Central Knowledge base) est un outil d’analyse des risques que nous avons étendu dans le cadre de CyFORT (Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience), un projet de recherche visant à répondre aux problèmes de sécurité, en particulier dans le cloud. Comme son nom l’indique, il s’agit d’une solution open source que chacun peut utiliser et à laquelle quiconque peut contribuer à condition de publier les modifications apportées.
En matière de cybersécurité, chacun est responsable, surtout les dirigeants, y compris les fonctionnaires ayant prêté serment
Depuis l’entrée en vigueur de la première directive NIS, l’ILR amène les acteurs concernés à évaluer des scénarios de risques qu’il a lui-même prédéfinis et exige que les résultats obtenus en remplissant de multiples paramètres pour chaque combinaison d’actifs et de risques soient saisis manuellement sur son site web ou bien importés dans un format json publiquement connu, mais assez complexe, supporté par MONARC. Cet outil d’analyse, open source également, ne disposant pas d’API (Application Programming Interface) permettant d’importer facilement des informations, nous avons développé Trick2MonarcApi, une interface open source facilitant la migration des informations sur les risques vers le format de données requis par le régulateur. Ensuite, notre outil OpenTRICK a utilisé TRICK2Monarch API pour mettre les données des clients dans le format json. L’atout de cette solution est que le client continue à dénommer les assets et les risques comme il en a l’habitude et utilise des grilles de correspondance pour l’export vers l’ILR. OpenTRICK a également l’avantage d’autoriser l’import et l’export de connaissances sous forme de tableur Excel, d’afficher des graphes et d’ajouter une estimation économique, notamment sur les pertes moyennes annualisées et le coût des mesures à envisager, ce que ne permet pas l’outil SERIMA de l’ILR.
Notons tout de même qu’OpenTrick, tout comme SERIMA, donne une vue d’ensemble des menaces, mais ne remplace pas la connaissance pointue d’un processus ou d’un système dédié, ni le décorticage des vulnérabilités individuelles de ce système. Le plus efficace est d’y travailler conjointement entre experts internes du métier et experts externes de l’analyse des risques.
Vous qui faites partie de ces experts, quels conseils donneriez-vous à vos clients dans un contexte où les cybermenaces sont de plus en plus présentes ?
Soyez proactifs et montrez que vous avez réussi à implémenter un niveau de sécurité raisonnable en amont d’une attaque et avant que le régulateur ne vous impose des mesures. Ce dernier est rarement enclin à faire des compromis après un incident. C’est pourquoi nous recommandons d’adopter les « quick win » avant que les régulateurs ne les exigent.
itrust consulting
55, rue Gabriel Lippmann
L-6947 Niederanven
www.itrust.lu