Sécurité physique : l’impact des directives NIS2 et REC

NIS2 et REC (Résilience des entités critiques) sont deux directives européennes qui seront prochainement transposées dans le droit français. Selon le planning initial, elles auraient déjà dû entrées en vigueur en fin d‘année 2024.

Selon les nouvelles estimations, une mise en œuvre est envisagée au mieux durant l’été. Ces directives ont déjà été adoptées en première lecture au Sénat le mercredi 12 mars comme le rappelle le site Vie-Publique, mais doivent encore l’être par l’Assemblée nationale dans les prochaines semaines.

« La directive NIS 2 vise à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l’UE. L’enjeu est de mieux protéger les réseaux et les systèmes d’information servant à fournir des services essentiels dans les secteurs clés de nos sociétés » est-il ainsi expliqué sur le site gouvernemental français « Mon Espace NIS2 ».

Concernant les différences entre cette version et la précédente, « alors que la première directive NIS visait à protéger les acteurs économiques majeurs de l’UE, cette nouvelle directive élargit le champ des entités et secteurs concernés et introduit des exigences plus adaptées, notamment au regard du renforcement de la menace cyber » est-il notamment résumé sur ce même site.

« Si NIS2 concerne plus particulièrement la cybersécurité, la directive REC est plus liée à la sécurité physique » nous explique Dominique Guéguen, référent cybersécurité chez Axis Communications.

« La directive REC, c’est un renforcement de la partie physique. Si cela s’appelle résilience, c’est parce que les entreprises doivent raisonner en termes d’analyse de risques. Il y a les risques d’intrusion sur les sites sensibles (pour du vol de données ou d’équipements, de l’espionnage industriel ou autres…). De l’autre côté, il y a les risques vis-à-vis de la cybersécurité. »

Ces directives fortement liées ont ainsi un rôle essentiel rappelle Dominique Guéguen. « Ce qui est sous-jacent, c’est d’engager voire d’obliger un certain nombre d’entreprises dîtes « essentielles » ou « importantes » à avoir un niveau de réponse par rapport à ces risques : cybersécurité d’un côté, sécurité physique de l’autre. Mais en réalité, les deux directives sont liées. Au sein des directives NIS2 et REC, l’idée est de prendre en compte les menaces actuelles. »

Notre interlocuteur de chez Axis Communications se veut par la suite plus concret concernant l’interaction qu’il existe entre ces deux directives.

« Si nous mettons en place des caméras de vidéosurveillance ou de contrôle d’accès pour la partie REC ou protection physique, ces équipements sont des équipements informatiques, connectés sur un réseau et donc potentiellement susceptibles de faire l’objet de cyberattaque. C’est pour cela qu’il faut appréhender cela d’une manière de risques globaux avec une résilience pour une entreprise, donc ses capacités à faire face à ces risques et à limiter l’impact que cela peut avoir » résume-t-il.

« Dans certain cas, on peut parler de « survie de l’entreprise ». Des hôpitaux qui ont fait l’objet d’une attaque se retrouvent avec tous leurs services déconnectés, ont l’obligation de reporter des interventions chirurgicales par exemple… C’est pour cela qu’il faut appréhender ces risques cyber et physiques, qui sont en fait liés » renchérit l’intéressé.

« Ces textes ont des finalités qui vont toutes dans le même sens : monter le niveau de cybersécurité et de cyber-résilience aussi bien au sein des États membres que des administrations ou des entreprises privées. Cela fait partie d’un paquet de conformités européennes » conclut à ce sujet Garance Mathias, avocate spécialisée en cybersécurité et protection des données chez Mathias Avocats.

Garance Mathias apporte par ailleurs des précisions sur la manière dont les entités – du fabricant d’un équipement de sécurité physique, en passant par l’installateur de cette solution jusqu’au client final – sont finalement toutes liées entre elles à partir du moment où l’une d’elles se retrouve visée par la directive NIS2 ou REC.

« Soit une entité est directement concernée car elle est citée par le texte (en fonction des secteurs d’activité), soit elle peut être concernée par le biais de contrat. C’est-à-dire que : si je suis une entité qui n’est pas dans un secteur d’activité cité par le texte, mais que cette dernière intervient pour une entité « essentielle » ou « importante » ou encore une entité soumise à REC, il est fort probable que des exigences contractuelles seront spécifiées par le donneur d’ordre » nous explique-t-elle.

Du côté d’Axis Communications « nous nous inscrivons dans la supply chain, avec un écosystème où nos intégrateurs ou installateurs doivent eux être compliance NIS2 sur la partie sûreté – sécurité, mais aussi sur leurs systèmes d’information plus globalement » confie Dominique Guéguen.

Ce dernier prévient au passage que « les clients finaux vont devoir redoubler d’attention pour vérifier que toute leur chaîne d’approvisionnement (fournisseurs, installateurs ou fabricants de matériels) respecte bien toutes les obligations décrites dans NIS2. Il va y avoir un nombre d’exigences vis-à-vis des installateurs, qu’ils soient formés, certifiés, sachent mettre en œuvre la cybersécurité et que le client final soit aussi en mesure de contrôler que leurs exigences soient bien mises en œuvre » poursuit-il.

« La volonté d’avoir un bouclier, c’est de couvrir l’ensemble des acteurs y compris la chaîne d’approvisionnement. La finalité du texte, c’est que l’ensemble des acteurs soient concernés » renchérit Garance Mathias au sujet de la supply chain.

Enfin, il n’est pas à écarter que l’exigence d’une « conformité NIS2 » puisse être détournée afin de devenir un argument marketing.

« Nous avons déjà identifié ce risque potentiel, précise le référent cybersécurité d’Axis Communications. En prenant l’exemple d’une caméra, quand on dit « conforme à NIS2 », ce n’est pas la caméra qui est « conforme NIS2 », mais c’est l’entité qui met en œuvre la caméra qui doit s’assurer de la « conformité NIS2 » lors de la mise en œuvre. L’une des craintes est que certains concurrents mettent dans les fiches techniques « conforme NIS2 » sur leurs produits. »

« Ce n’est pas un label pour dire « Je suis conforme », ajoute l’avocate spécialisée en cybersécurité. Il va falloir documenter et prouver par rapport au donneur d’ordre et son niveau d’exigence quelle est sa gestion du risque, quelle est sa maturité par rapport aux obligations qu’on lui impose. Il n’y a pas de logo ou de label « conforme à NIS2 », c’est un non-sens. »

Afin d’éviter ces dérives et « pour inciter les entités à faire le nécessaire, il y aura un volet de sanctions, bien que le but ne soit pas d’en mettre. Mais il y a toujours cette épée de Damoclès pour les entreprises qui ne feraient pas le travail et prendrait cela par-dessus la jambe en pensant que ce n’est pas grave » rassure Dominique Guéguen.

« Il y aura un certain nombre de critères qui seront à respecter, à évaluer pour être conforme à ces directives. Lorsque le projet de loi sera voté, l’Anssi publiera probablement un certain nombre de guides, recommandations qui pourrons couvrir les différentes exigences que les entreprises devront respecter » conclut Garance Mathias.