NIS2, un bouclier cyber pour le secteur public

Considérées par le législateur européen comme critiques ou hautement critiques par les services qu’elles rendent, les entités publiques devront prochainement se conformer à la directive NIS2 sur la sécurité des réseaux et des systèmes d’information. De plus en plus régulièrement victimes d’actions malveillantes, elles traitent pourtant la cybersécurité en parent pauvre de leur transformation digitale. Maxime Pallez et Simon Petitjean, Cybersecurity Directors chez PwC Luxembourg, décortiquent la situation et leur livrent quelques conseils pour renforcer leurs défenses.

 

Pourquoi les administrations publiques constituent-elles des cibles privilégiées pour les cybercriminels ?

MP : Parce qu’elles génèrent et traitent des données extrêmement sensibles que les hackeurs convoitent pour leur valeur. Ils les monétisent en les revendant ou en réclamant une rançon en échange de leur non divulgation. Une autre explication serait simplement l’opportunisme dont font preuve les attaquants : ils choisissent la facilité et ciblent des organisations qui présentent davantage de faiblesses. Si la cybersécurité est généralement peu dotée parce qu’elle n’engendre pas de retour sur investissement direct, le secteur public dispose d’encore moins de moyens – financiers et humains – à y consacrer. Contraint de passer par des procédures de marché public pour obtenir toute nouvelle ressource ou technologie, il est de ce fait également confronté à un manque de réactivité.

SP : Ajoutons que certains actes malveillants possèdent une dimension politique forte. Les cybercriminels agissent alors pour montrer leur désaccord avec certaines décisions. Cela a été le cas pendant la crise du Covid-19 et cela l’est encore vis-à-vis de la guerre en Ukraine ou du conflit au Moyen-Orient. Si les motivations des attaquants sont de cet ordre, leurs cibles sont spécifiquement des entités publiques puisqu’elles sont directement rattachées aux États.

 

Les administrations publiques devront prochainement se conformer à la directive européenne NIS2. Quels sont ses objectifs ?

MP : Son ambition est d’amener toutes les entités considérées comme essentielles ou importantes pour le fonctionnement des différents États membres à un niveau de maturité commun – et élevé – en matière de sécurité des réseaux et des systèmes d’information. Pour ce faire, la directive exige la mise en œuvre de processus d’analyse des risques permettant d’identifier les menaces principales auxquelles elles sont exposées et les mesures à mettre en œuvre en priorité pour s’en prémunir. Les acteurs concernés devront également établir des plans de réponse à incident et générer des rapports d’incident afin de réduire le délai de détection d’une attaque et leur temps de réaction pour en minimiser les impacts. Enfin, NIS2 encourage ces organisations à apporter un certain soin au choix de leurs fournisseurs. En effet, rien ne sert de bâtir une forteresse autour de son environnement informatique si l’on ouvre des portes à des parties tierces qui ont un faible niveau de maturité en matière de sécurité.

 

Quels sont les défis auxquels les acteurs concernés pourraient être confrontés lors de leur mise en conformité et les risques encourus en cas de non-respect ?

MP : Le premier défi est de trouver les ressources budgétaires et humaines nécessaires à la mise en conformité ; cela peut être particulièrement difficile pour certaines petites communes qui, là où les ministères bénéficient des moyens et de l’expertise du Centre des technologies de l’information de l’état (CTIE), doivent compter sur leur propre service informatique. Le challenge, pour les responsables IT, est aussi de sensibiliser leur direction de sorte que celle-ci comprenne la nécessité d’allouer des budgets conséquents à la sécurité. Une autre difficulté est que la directive s’appliquera indifféremment à des secteurs d’activité qui ont déjà été très régulés jusqu’à présent et à des entités qui, au contraire, n’ont jamais été soumises à quelque exigence réglementaire que ce soit en matière de cybersécurité. Un dernier défi notable résulte du délai imparti pour s’y conformer. La directive doit encore être transposée et validée dans le droit luxembourgeois, mais la charge de travail peut être conséquente pour s’y conformer. N’attendez pas !

SP : Quant au risque encouru en cas de non-respect, il est budgétaire, mais pas seulement. Si NIS2 prévoit des sanctions financières, y échapper ne doit pas être le seul moteur pour investir dans la cybersécurité. Il y va de l’image de marque d’une société mais aussi de la continuité de ses activités. La conformité n’est pas une fin en soi : les organisations concernées doivent comprendre qu’il est dans leur intérêt d’investir dans la cyberdéfense.

 

Quels services proposez-vous aux entités qui auraient des difficultés à se mettre en conformité ?

SP : Nous aidons les entreprises et administrations à comprendre les risques concrets qu’elles encourent en offrant des services de « penetration testing » ou de « red teaming » qui permettent d’éprouver leurs systèmes informatiques de manière technique et offensive, comme le feraient des hackers. Nous parvenons ainsi à leur démontrer ce qu’un criminel suffisamment motivé et compétent pourrait parvenir à faire, à savoir rentrer dans leurs systèmes, les éteindre, en exfiltrer les données et/ou corrompre leurs activités. La manœuvre entraîne généralement une prise de conscience assez fulgurante et débouche sur la préparation d’une feuille de route permettant la gestion des risques identifiés. Nous leur proposons d’ailleurs des exercices de réponse à incident lors desquels nous simulons des attaques et observons leur réaction. Bien souvent, elles réalisent que les bons réflexes leur font défaut. Nous identifions alors les mécanismes qui les aideront à faire face à l’avenir.

MP : Une fois les vulnérabilités identifiées, nous accompagnons nos clients dans l’organisation, la définition de la gouvernance et la mise en place de la défense. Nous les aidons à mettre en œuvre les contrôles et protections nécessaires à leur sécurisation en identifiant les priorités et en trouvant le juste équilibre entre les investissements nécessaires et les économies qu’ils doivent permettre. En tant que cabinet de conseil, notre avantage est d’avoir une vue globale sur le marché luxembourgeois, tous secteurs confondus, ce qui nous confère une bonne connaissance des tactiques des attaquants, des vulnérabilités qu’ils exploitent et des mécanismes de protection efficaces. Nous pouvons ainsi faire bénéficier les uns des expériences des autres.

 

Quel conseil général donnez-vous à vos clients dans ce contexte où les cybermenaces sont de plus en plus nombreuses ?

MP : Le mien serait de prioriser les risques, car tous ne peuvent être couverts simultanément avec le même niveau de maturité. Il convient donc d’être réaliste sur les investissements réalisables et de s’inscrire dans une démarche d’amélioration continue en parant les menaces par ordre de priorité et, bien sûr, en maintenant une veille technologique pour identifier les nouveaux risques cyber qui surgissent.

SP : Cette veille est aujourd’hui facilitée par le partage d’informations, une pratique de plus en plus courante et qu’il convient d’encourager. Mon conseil serait donc de cultiver la « threat intelligence » en incitant les entreprises et administrations à échanger sur leurs expériences. Plutôt que de bricoler des solutions chacun dans son coin, permettons une amélioration collective !

Lire sur le même sujet: