Alors que l’Union Européenne adoptait la directive NIS 2 il y a un an, les pays membres ont maintenant jusqu’à octobre 2024 pour la transposer dans leur législation et la mettre en application sur leur territoire, un chantier d’envergure aux enjeux immenses.

Face à l’évolution de la menace, NIS 2 vise à renforcer la résilience des organisations, dont l’hygiène informatique de base, la formation à la cybersécurité, les politiques de contrôle d’accès et la gestion des actifs, les procédures de réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, et l’évaluation des mesures de gestion des risques de cybersécurité. Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), « cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber  ».

Mais le passage risque d’être douloureux. Certaines études estiment que seules 6 % des organisations appliquent aujourd’hui la directive NIS initiale, et 46 % des conseils d’administration interrogés cette année dans l’enquête Board Perspectives estiment que leur organisation n’est pas préparée à faire face à une cyberattaque — un sentiment partagé par 78 % des décideurs IT et RSSI interrogés (Voice of the CISO, 2023). Par ailleurs, ils n’ont pas la même lecture du risque auquel leur entreprise est confrontée. Un décalage qui pourrait être inquiétant s’il persiste.

En effet, les menaces sur la chaîne d’approvisionnement ne semblent pas encore être une priorité pour les conseils d’administration alors que, ces dernières années, les cybercriminels se tournent de plus en plus vers les écosystèmes des partenaires et les fournisseurs critiques des entreprises pour les infiltrer. Les attaquants usurpent leur identité pour capitaliser sur la relation de confiance préexistante, et perpétrer ainsi des actions de fraude à la facturation, ou compromettre les systèmes par l’envoi de logiciels malveillants via des pièces jointes infectées indétectables.

Une méthode qui a récemment impacté Pôle Emploi (plus de 10 millions de noms et prénoms, statut et numéro de sécurité sociale exfiltrés et mis en vente sur le darknet) et l’entreprise Econocom, où la compromission d’un de ces prestataires de services qui avait accès à une ressource d’Econocom a permis aux cybercriminels de faire main basse sur 70 gigaoctets de données, dont des mots de passe, des documents internes et des correspondances privées.

La Supply Chain au cœur de la directive NIS 2

À l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Elles seront près de 600 concernées, parmi lesquelles des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés, du chiffre d’affaires et de la nature de l’activité réalisée par l’entité.

Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif pour renforcer leur niveau de sécurité. Car comme le confirme l’Anssi, ils sont de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques.

Si de nombreux points d’interrogation demeurent quant à la définition exacte de la réglementation et son application, l’Anssi a déjà déployé des ressources pour accompagner les entreprises (MonServiceSécurisé), et assure qu’«  un support aussi bien en termes de respect de la réglementation (compréhension des attentes de l’autorité) qu’en termes d’accompagnement (compréhension des enjeux et clarification des actions à mettre en place en interne des entités)  » sera rapidement déployé.

Comment se préparer  ?

Le courrier électronique restant le premier vecteur d’attaque dans plus de 90 % des cas, la protection des boîtes de messagerie est un des principaux enjeux. Pour renforcer leur cybersécurité, les organisations peuvent ainsi considérer imposer des mesures plus opérationnelles, comme l’authentification DMARC, qui constitue à ce jour l’une des armes les plus puissantes pour lutter contre le « domain spoofing » (ou usurpation de domaine), vecteur central de toute campagne de phishing.

DMARC (pour Domain-based Message Authentication, Reporting & Conformance) est un protocole international d’authentification des messages électroniques qui authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. L’outil, accessible à tous, protège les noms de domaine des entreprises et des institutions contre leur utilisation abusive par des cybercriminels.

Si l'authentification DMARC progresse à vitesse réduite en France, cela devrait s'intensifier dans les mois à venir. En effet, Google et Yahoo ont annoncé qu'à partir de février 2024, ils exigeraient l'authentification des courriels pour recevoir des messages sur leurs plateformes. Ces exigences de sécurité s'appliqueront en particulier aux comptes envoyant d’importants volumes de courriels par jour qui devront, entre autres, déployer le protocole d'authentification DMARC au risque sinon d'impacter significativement la délivrabilité des messages légitimes envoyés aux comptes Gmail et Yahoo. Une annonce indiquant que des mesures importantes sont prises et qui implique une mise à niveau très rapides des entreprises.

En France, l’Anssi recommande son utilisation depuis 2017 (Guide d’hygiène informatique) et l’authentification DMARC a déjà été mise en place sur des sites critiques et souvent usurpés, tels que celui de la Gendarmerie Nationale ou encore le site impôts.gouv, nom de domaine au cœur de nombreuses campagnes de phishing.

Aujourd’hui, des mesures supplémentaires de certification d’origine des courriels existent, comme le sceau «  BIMI  » (Brand Indicators for Message Identification) — uniquement ouvert aux noms de domaines protégés par DMARC — et qui permet aux entreprises d’afficher leurs logos dans les boîtes de messagerie des destinataires, près du nom de l’émetteur.

Enfin, bien que les enjeux de cybersécurité aient pris leur place à l’ordre du jour des conseils d’administration, la collaboration entre ses membres, les RSSI et les DSI doit plus que jamais être mise en avant pour garantir la synergie des efforts en matière de protection cyber. Alors que seulement 56 % des membres de conseil d’administration déclarent interagir régulièrement avec leurs responsables de la sécurité, les échanges se sont tout de même amplifiés. Cependant, les préoccupations divergent encore et la mise en place d’une politique commune en cybersécurité est la première étape pour protéger au mieux les organisations.

Par Xavier Daspre, Directeur Technique France - Proofpoint