Les Opérateurs de Services Essentiels doivent fournir une cartographie du système d’information(SI) soutenant leurs activités désignées comme telles. Une approche top-down, allant des métiers vers l’IT, permet d’y parvenir. Cette bonne pratique pourra s’appliquer à d’autres types d’organisation.
Selon l’ANSSI*, « la directive NIS (Network and Information System Security) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des États membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques ».
Adoptée le 6 juillet 2016, cette directive s’applique aux OSE (Opérateurs de Services Essentiels) et par extension aux OIV (Opérateurs d’Importance Vitale). La directive NIS définit un ensemble de règles à respecter en matière de cybersécurité. Une de ses premières exigences consiste à fournir une cartographie précise des systèmes d’information associés à ces activités considérées comme essentielles pour la nation. Objectifs : déterminer l’impact d’un incident de cybersécurité sur la fourniture d’un service indispensable et y appliquer les règles de sécurité adéquates.
Une cartographie définie selon une approche top-down
Lorsqu’un acteur, privé ou public, est désigné comme OSE ou OIV, il lui sera difficile de mettre en conformité l’ensemble de son système d’information en une seule passe. Toutefois, les services désignés comme essentiels ne forment en général qu’une fraction de ses activités. L’organisation va donc déterminer quelles parties du SI supportent ces services et définir ainsi précisément le périmètre sur lequel les règles de la directive NIS devront s’appliquer.
La cartographie des parties du SI associées aux activités essentielles est réalisée en plusieurs étapes. Le point de départ du travail de cartographie, ce sont les services désignés par l’État comme essentiels, qui devront donc être couverts par la directive NIS :
- La première étape consiste à consulter les équipes métiers, afin de déterminer quels processus et organisations entrent en jeu pour la fourniture de ces services essentiels.
- La seconde étape prend note des actions effectuées, des acteurs métier engagés et des outils utilisés pour assurer la mise en œuvre de ces processus. La criticité des outils et processus est évaluée avec les métiers selon les critères de confidentialité, intégrité et disponibilité.
- Enfin, la dernière étape, réalisée en partenariat avec la DSI, consiste à déterminer quels éléments du SI soutiennent ces processus.
Cette approche top-down (métiers, processus, IT) permet aux équipes cybersécuritéde mieux appréhender les enjeux métiers essentiels, mais aussi de sensibiliser l’ensemble des équipes aux problématiques de cybersécurité en les associant au projet.
Jusqu’où aller dans l’application de la directive NIS ?
Dans certains secteurs, comme le transport et la logistique, de nombreux acteurs tiers entrent en jeu et de nombreux pays peuvent être concernés. Ne doit-on appliquer les règles de la directive NIS qu’aux sites européens ? Doit-on demander aux partenaires et fournisseurs d’adopter les mêmes règles ? Du point de vue informatique, il faut partir du postulat que l’entreprise se doit de sécuriser tout ce qui se trouve à sa portée, surtout avec la multiplication des attaques par rebond visant ainsi la chaîne de valeur des OSE/OIV. De ce fait,des contrôles ainsi que des clauses de sécurité spécifiques aux partenaires pourront également être ajoutés à leurs contrats.
Autre problématique : le suivi de la cartographie. Si les processus métiers ne vont pas fondamentalement changer au cours du temps, la transformation IT est susceptible de modifier la cartographie du SI soutenant des activités essentielles. Un référent NIS sera chargé de vérifier l’impact de chaque nouveau projet IT sur cette cartographie, de passer ses consignes à la DSI et de mettre à jour les informations transmises à l’ANSSI. En fin d’année, une phase de vérification globale fait office de « voiture-balai » en collectant les éventuelles modifications passées sous le radar.
Une méthode bénéfique pour toutes les entreprises
L’application des règles de la directive NIS est un projet d’envergure, qui peut être vu comme contraignant pour les entreprises. Mais une fois le projet déployé et rodé, il est en général bien accepté par les équipes métiers et la DSI. Il permet en effet de favoriser l’acculturation des équipes à la sécurité informatique.
Certaines entreprises ayant mis en place un tel projet dans le cadre de la directive NIS envisagent maintenant de généraliser cette cartographie à l’ensemble de leurs activités critiques. Cette approche visant à protéger les parties critiques du SI constitue une bonne pratique que pourront mettre en œuvre des entreprises de toutes tailles, qu’elles soient OSE/OIV ou non.
*ANSSI : Agence nationale de la sécurité des systèmes d'information
Par Vanik Dedeyan, Security Associate Partner et Haithem Gardabou, Managing Security Consultant chez IBM