Juridique

Grand Thï¿½ma : NIS2, extension du domaine rï¿½glementï¿½ de la cyber

Dans le cadre de notre ï¿½mission consacrï¿½e ï¿½ NIS2, nous avons reï¿½u Jean-Sylvain Chavanne, RSSI du CHU de Brest et secrï¿½taire gï¿½nï¿½ral du club RSSI Santï¿½, et Marion Buchet, directrice du CERT Aviation.

Dans le cadre de notre Grand Thï¿½ma CIO et Le Monde Informatique ï¿½ cybersï¿½curitï¿½ : assurer la rï¿½silience ï¿½, nous avons consacrï¿½ une ï¿½mission ï¿½ la directive europï¿½enne NIS2 au pï¿½rimï¿½tre ï¿½tendu ï¿½ plusieurs milliers d'organisations. Alors que les dï¿½crets sont loin d'ï¿½tre publiï¿½s, nous avons reï¿½u le RSSI du CHU de Brest, ï¿½galement secrï¿½taire gï¿½nï¿½ral du club RSSI Santï¿½, et la directrice du CERT Aviation, pour ï¿½voquer des pistes de prï¿½paration pour les structures concernï¿½es et le rï¿½le des associations sectorielles.

Publicitï¿½Depuis mi-octobre, NIS2, deuxiï¿½me mouture de la directive europï¿½enne de protection des rï¿½seaux et des systï¿½mes d'information de secteurs ï¿½conomiques essentiels, a ï¿½tï¿½ transposï¿½e en France. Il faudra encore probablement attendre plusieurs mois et la publication des dï¿½crets, pour en connaitre les implications techniques dï¿½taillï¿½es pour les RSSI et DSI. D'autant que, si NIS1 ne concernait que quelques centaines d'organisations, le pï¿½rimï¿½tre d'application de NIS2 s'ï¿½tend ï¿½ plusieurs milliers d'entre elles et concerne dï¿½sormais l'ensemble de leur SI. Dans ces conditions, nous avons donc choisi de consacrer une ï¿½mission de notre Grand Thï¿½ma CIO / Le Monde Informatique ï¿½ cybersï¿½curitï¿½ : assurer la rï¿½silience ï¿½ ï¿½ la faï¿½on dont les structures concernï¿½es pouvaient d'ores et dï¿½jï¿½ se prï¿½parer.

CHU de Brest, ï¿½tendre NIS1 ï¿½ tout le SI

Notre premier invitï¿½, Jean-Sylvain Chavanne, RSSI du CHU de Brest et du GHT de Bretagne Occidentale, confirme ainsi que les dï¿½crets conditionneront les ressources humaines et financiï¿½res nï¿½cessaires ï¿½ la mise en conformitï¿½ des organisations. Mieux vaut donc ne pas attendre sans rien faire. Ainsi, le CHU de Brest, qui ï¿½tait dï¿½jï¿½ soumis ï¿½ NIS1, a entrepris d'ï¿½tendre ce niveau de conformitï¿½ ï¿½ l'ensemble de ses systï¿½mes d'information. Et, comme l'indique son RSSI, il est dï¿½jï¿½ possible, voire indispensable de commencer ï¿½ identifier les pï¿½rimï¿½tres applicatifs visï¿½s, et ï¿½ prï¿½parer la cartographie associï¿½e. Dans ce secteur oï¿½ certains ï¿½quipements, par exemple, sont dï¿½jï¿½ soumis ï¿½ des contraintes cyber, il est ï¿½galement attentif aux incompatibilitï¿½s avec la directive.

Regardez notre ï¿½mission consacrï¿½e ï¿½ NIS2

C'est d'ailleurs ce type d'informations que le club RSSI Santï¿½, association des RSSI d'ï¿½tablissements hospitaliers, glane ï¿½ destination de l'Anssi, afin que l'application de la directive se fasse dans les meilleures conditions le temps venu. Jean-Sylvain Chavanne, qui en est le secrï¿½taire gï¿½nï¿½ral, insiste ainsi sur l'intï¿½rï¿½t pour les structures concernï¿½es par NIS2 de se tourner vers ces organisations sectorielles afin de se faire accompagner dans la dï¿½marche de conformitï¿½. D'autant que, comme il le rappelle, avec des milliers d'organisations concernï¿½es, l'Anssi pourrait ï¿½tre moins disponible pour rï¿½pondre aux sollicitations qu'avec NIS1.

CERT Aviation, accompagner les plus petits

Notre deuxiï¿½me invitï¿½e, Marion Buchet, est d'ailleurs aux commandes du CERT aviation, centre de ressources de veille, d'alerte et de ressources, crï¿½ï¿½ il y a deux ans, ouvert ï¿½ toutes les organisations de l'aï¿½ronautique et du spatial. Les 9 membres fondateurs (dont Airbus, Dassault Aviation, la DGAC, etc.) mettent ï¿½ disposition, par le biais de cette structure, un accompagnement cyber des plus petits. Avec l'objectif clair de sï¿½curiser l'ensemble de la chaine de valeur.

Publicitï¿½Les missions du CERT Aviation recouvrent la veille sectorielle sur la menace spï¿½cifique ï¿½ ces secteurs, que sont l'activisme et le vol de propriï¿½tï¿½ intellectuelle, et l'accompagnement des membres en matiï¿½re de prï¿½vention et de rï¿½action ï¿½ des attaques. L'association propose par exemple dï¿½jï¿½ un service de rï¿½ponse ï¿½ incidents en 24/7 s'appuyant sur des prestataires.

Si les grands acteurs de ces secteurs trï¿½s techniques et rï¿½gulï¿½s ont des ï¿½quipes formï¿½es, Marion Buchet explique qu'il n'en va pas forcï¿½ment de mï¿½me chez les plus petits, avec des ressources internes plus modestes qu'il faut donc accompagner. Et, comme notre premier invitï¿½, la directrice du CERT Aviation a rappelï¿½ qu'en attendant les dï¿½crets, qui pourraient en particulier dï¿½finir le rï¿½le des CERT, il faut se prï¿½parer pour la remontï¿½e obligatoire d'informations vers l'Anssi, l'obligation de gestion des risques et le partage d'informations en cas d'incidents.

Regardez l'intï¿½gralitï¿½ de notre Grand Thï¿½ma ï¿½ Cybersï¿½curitï¿½ : assurer la rï¿½silience ï¿½