NIS2, Cyber Resilience Act : 2027 sera une année charnière pour la cybersécurité
22, v'là NIS 2
Deux gros chantiers complémentaires sont en cours au niveau européen (avec des répercussion sur la France bien évidemment) : la directive NIS2 pour les professionnels et les entreprises ainsi que le règlement CRA pour la cybersécurité des produits. L’ANSSI prépare le terrain et pense entrer « dans le dur » aux alentours de 2027.
Le 10 octobre à 14h29
8 min
Sécurité
Sécurité
Lors de son discours à la cérémonie d’ouverture des Assises de la cybersécurité, Vincent Strubel (directeur général de l’ANSSI) est revenu une fois encore sur les cyberattaques qui ont visées la France durant les Jeux olympiques de Paris 2024. Bonne nouvelle, rien de grave n’a fait les gros titres de l’actualité, mais il explique que de nombreux acteurs en voulaient vraiment à la France.
Circulez le 17 octobre, il n'y aura rien à voir
Il a profité de son discours pour revenir sur deux gros chantiers dont a hérité l’ANSSI : la directive NIS2 (Network and Information Security) et le règlement CRA (Cyber Resilience Act). Deux approches pour une même finalité : renforcer la cybersécurité.
Vincent Strubel commence par rappeler une position déjà prise plusieurs fois au cours de l’année, notamment au FIC de Lille en mars et cet été : « le 17 octobre, il ne va pas se passer grand-chose de spécial, en tout cas dans le domaine de NIS2 ». C'est, pour rappel, à cette date butoir (et purement théorique) que la directive européenne doit être transposée dans le droit national français, avec une loi.
Après la dissolution annoncée par Emmanuel Macron et la formation récente d’un nouveau gouvernement (le gouvernement démissionnaire s’occupait d‘expédier « les affaires courantes »), les dernières semaines n’ont pas été des plus productives pour NIS2. Le patron de l’ANSSI affirme que le travail parlementaire « va reprendre », mais « sans précipitation ».
La directive a pour rappel été publiée au Journal Officiel de l'Union européenne en décembre 2022.
Il reste encore des mois de travail
Comprendre que la date du 17 octobre est à oublier. Il le confirme d’ailleurs sans détour : « on a devant nous des mois encore de travail de consultation et de construction sur le cadre réglementaire, et des mesures techniques qui vont décliner tout ça ». Une fois n’est pas coutume, la France sera en retard.
Vincent Strubel le répète encore une fois : l’ANSSI fera preuve de patience avant de sévir. « Au-delà de cette construction du cadre, on se donnera au moins trois ans avant d’exiger une conformité complète une fois que le cadre sera posé ». Le même délai sera accordé avant d’envisager des sanctions pour les futurs manquements qui seront relevés. Le directeur général de l’ANSSI souffle le chaud et le froid sur ce délai supplémentaire : « pas de précipitation, mais pas de désinvolture pour autant ».
Trois ans de latence, c'est également la durée proposée par la CSNP (Commission Supérieure du Numérique et des Postes, mixte entre Assemblée nationale et Sénat), qui ne faisait que se calquer sur la durée de la tolérance accordée aux entreprises pour la mise en œuvre du RGPD.
Dans le cas de NIS2, il s’agit de tenir compte de la réalité opérationnelle du terrain… en espérant qu’on ne retombe pas dans les mêmes travers qu’avec le RGPD où certains ont cru qu‘ils avaient trois ans de plus avant de commencer à se pencher sur la question.
Des choses simples dès maintenant
Il met en garde les acteurs du secteur : l’ANSSI ne va pas attendre trois ans avant d’exiger « certaines choses simples », comme l’enregistrement auprès de l’ANSSI des entités régulées, la notification des incidents car « ce n’est pas compliqué et c’est important », etc.
Une plateforme, en bêta pour le moment, permet de savoir si une entité tombera ou non sous le coup de la régulation de NIS2, et ainsi se préparer le cas échéant : Monespacenis2. On peut y lire que « plus de 10 000 entités réparties sur 18 secteurs d'activité seront concernées ». Il y aura pour rappel les entités essentielles (EE) et les entités importantes (EI), « selon leur degré de criticité, leur taille et leur chiffre d'affaires ». La plateforme permettra « prochainement » de se déclarer auprès de l’ANSSI.
En attendant, Vincent Strubel rappelle qu’il y a « plein de choses à faire dès à présent », notamment participer aux consultations. Il affirme que cela permet de régler les curseurs entre le niveau de sécurité minimum à atteindre et les coûts. Trop cher, ce ne sera pas correctement mis en place, pas assez sécurisé ce sera inutile.
Le directeur général de l’ANSSI appelle dès maintenant à continuer d'investir collectivement dans l’hygiène numérique avec les questions de gouvernance, de gestion des identités, des sauvegardes, etc. Rien de neuf ici et principalement du bon sens, Avec NIS2, « ça ne va pas changer ».
Quid du réglement Cyber Resilience Act ?
Passons à présent au CRA ou Cyber Resilience Act. Cette fois-ci, il s’agit d’un règlement européen (et pas d’une directive), qui est donc d’application directe dans tous les États membres dès son entrée en vigueur et sans transposition. Pour Vincent Strubel, NIS2 (avec son rythme de croisière) et CRA devraient arriver peu ou prou au même moment, aux alentours de 2027.
Le directeur général de l’ANSSI rappelle, s’il en était besoin, que les deux sont complémentaires. Il parle même de CRA comme un « complétement naturel et nécessaire de NIS2 ». Le Cyber Resilience Act est un projet « ayant pour objectif de définir des règles de cybersécurité minimum pour les produits composé d’un ou plusieurs éléments numériques vendus sur le marché de l’UE », rappelle l’ANSSI.
Renforcer la sécurité (par défaut) des objets
Bref, le CRA visera à sécuriser les produits numériques (aussi bien pour le grand public que les entreprises) « y compris les brosses à dents connectées » pour reprendre l’exemple cité par Vincent Strubel, alors que NIS 2 vise à sécuriser les entreprises et administrations européennes.
La philosophie derrière le CRA est de proposer, par défaut et sans action de l’utilisateur, des produits sécurisés, Fini les noms d‘utilisateurs et mots de passe qui proposent par exemple admin/admin par défaut. La sécurité doit être prise en compte « depuis la phase de conception et de développement et tout au long du cycle de vie ».
Vincent Strubel termine son discours sur deux digressions autour de l’intelligence artificielle (évidemment) et du quantique (évidemment, bis).
IA : « Des discours qui frisent parfois l‘hystérie »
Il affirme qu’on va devoir « objectiver le débat sur la sécurité de l’IA, le rationaliser face à des discours qui frisent parfois l‘hystérie ». Il veut tordre le cou à certaines croyances : « Non, l’IA ne va pas provoquer le cyberArmageddon, ne va pas décupler les pouvoirs des attaquants. Ça va leur faciliter la vie, comme n’importe qui, mais pas plus ». Enfin, l’IA ne « va pas nous mettre tous au chômage », surtout dans le domaine de la cybersécurité.
Sur la menace quantique, il se laisse aller à une envolée lyrique sur les cryptologues amateurs de Star Wars « qui se préparent à l’attaque des qubits et la revanche de Shor ». Les qubits sont pour rappel des bits quantiques et Shor a créé un algorithme permettant de factoriser des nombres et donc mettre à mal des systèmes de chiffrement asymétriques, RSA notamment.
Alors que les spécialistes et scientifiques sont plutôt unanimes pour dire que cette révolution va arriver (sans savoir quand), Vincent Strubel est plus réservé : « On ne sait pas quand ça va se produire, ni même si ça va se produire ».
Il enchaine et fait rapidement sauter sa supposition : « Mais le jour où ça se produira, ça serait à vrai dire la première vraie rupture technologiques qui interviendra dans le champ de la cybersécurité », ce qui n’est pas le cas du Cloud ni de l’intelligence artificielle.
Alors qu’il laisse planer le doute sur la faisabilité de la chose, il affirme que, « malheureusement, c’est un sujet dont il est très facile de ne pas se préoccuper tant qu’il n’est pas trop tard ». On peut donc rapidement se retrouver avec des années de développement devant soi si on ne prend pas le train en avance.
- 10 ans de peur autour du « post-quantique » : derrière les annonces, quelle réalité ?
- Informatique quantique, qubits : avez-vous les bases ?
Comme nous l’avons déjà expliqué, certaines agences gouvernementales et sociétés ne se privent certainement pas de jouer les écureuils numériques en mettant au chaud des noisettes chiffrées afin de les décrypter plus tard, avec une machine quantique… quand elle existera et sera assez puissante.
NIS2, Cyber Resilience Act : 2027 sera une année charnière pour la cybersécurité
-
Circulez le 17 octobre, il n'y aura rien à voir
-
Il reste encore des mois de travail
-
Des choses simples dès maintenant
-
Quid du réglement Cyber Resilience Act ?
-
Renforcer la sécurité (par défaut) des objets
-
IA : « Des discours qui frisent parfois l‘hystérie »
Commentaires (4)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 10/10/2024 à 15h27
Le 10/10/2024 à 21h28
Le bon sens est remplacé ici par du flicage de politicards sous couvert 'hygiène numérique. Si, si. Ça change un max...
Là où une entreprise avait les clés de son IT hier, demain un toto de l'ANSSI pourra venir l'emmerder parce qu'elle a une certaine taille ou parce qu'elle est jugée essentielle ou que sais-je encore quel critère à la con. Désormais ce seront les politicards qui décideront comment les entreprises devront gérer leur IT.
Si c'est une grande avancée pour les entités publiques qui ont toujours été une risée en la matière, à quelques exceptions près, c'est une sale nouvelle pour les entités privées qui étaient jusque là maîtres de leurs systèmes.
Le 11/10/2024 à 08h58
Donner des regles minimales de sécurité est certe embêtant au début mais comme pour le rgpd, une fois la surcharge du début amortie (le coût du permis), la sécurité s'en trouvera renforcée. Il me semble que c'est une vraie nécessité de nos jours et les grosse boites concernées par le sujet ont les moyens d'y consacrer les ressources nécessaires.
Le 15/10/2024 à 21h39