« NIS 2 n'est pas la suite de la directive NIS de 2016 »

Vincent Strubel, directeur général de l’ANSSI (Agence nationale de sécurité des systèmes d'information) ouvrait le bal, avec un rappel sur la Genèse de cette directive… et sur ce qu’elle n’est pas : « en étant conscient que ce n'est pas forcément très intuitif, je commencerai par dire que NIS 2 n'est pas la suite de la directive NIS de 2016, transposée en droit national en 2018 et qu'on appelle maintenant NIS 1 ». Pour le patron de l’ANSSI, NIS 2 répond à un « paradigme différent ».

• Cybersécurité : le projet de loi NIS2 présenté en conseil des ministres… et maintenant ?

La première version de NIS s’inscrivait dans la continuité du cadre national de la loi de programmation militaire de 2013, « qui régulait un certain nombre d'opérateurs d'importance vitale au titre de la défense et de la sécurité nationale ». NIS ajoutait des enjeux sociaux et économiques, mais toujours avec la logique « de protéger des opérateurs stratégiques contre des menaces très ciblées, principalement étatiques ».

NIS 2 est une réponse aux menaces systémiques

NIS 2 est une réponse à l'évolution du paysage cyber et a l'apparition de menaces systémiques, « celles liées au crime organisé et aux rançongiciels qui ont marqué les esprits à travers la paralysie de nos hôpitaux, de nos collectivités, de nombreuses entreprises, d'universités plus récemment ». Il y a également certains acteurs (activistes) qui « cherchent à se mettre en lumière » par tous les moyens, peu importe les cibles.

Dans tous les cas, ces pirates ont en commun « une approche totalement indiscriminée qui, tôt ou tard, finit par toucher toute victime potentielle, toute structure, quelle qu'elle soit ». Ces attaques « touchent de manière malheureusement démesurée les petits acteurs d'un certain point de vue, qui n'étaient pas confrontés à la menace jusqu'à présent ». Les conséquences peuvent être importantes, notamment sur le plan financier puisque la faillite d'entreprises est une réalité.

Vincent Strubel en profite pour glisser une pique : « Si les groupes de crimes organisés peuvent prospérer, c'est qu'ils ne sont pas embêtés par les États » depuis lesquels ils opèrent. Si aucun pays n’est cité, on pense notamment à la Russie, à la Chine et à la Corée du Nord. Ces nouvelles attaques et les dialogues entre les États ont engendré la naissance de la directive NIS 2.

Avec NIS 2, l’ANSSI change d’échelle

Pour résumer, NIS 2 s’inscrit dans une « continuation logique de ce qui avait été fait dans NIS 1 [pour les entités essentielles, ndlr]. Mais surtout NIS 2 crée un nouveau paradigme dans la régulation de plus petits acteurs qui sont les entités importantes ». Ces « petits » acteurs n’ont pas vocation à être protégés contre la menace d'un service de renseignement étranger, mais peuvent être des victimes collatérales des menaces systémiques, non ciblées.

NIS 2 est donc un changement d'échelle important pour l’ANSSI : « on passe à potentiellement plus de 15 000 acteurs régulés en France, contre 500 aujourd'hui ». Pour Vincent Strubel, « ce changement de paradigme sort aussi l'ANSSI de sa zone de confort […] On n'a jamais été en position de réguler ces petits acteurs qui vont être le cœur de la nouvelle dimension de NIS 2 ».

NIS 2 change aussi la logique de sanction : « on bascule d'une logique préexistante de sanction plutôt du registre pénal qui n'était pas opérante, à une logique naturellement calquée sur celle du RGPD, de sanctions administratives financières beaucoup plus opérantes ».

De 100 000 à 200 000 euros d’investissement

Si le texte de loi suit son parcours législatif, l’ANSSI avance dans l’ombre pour préparer le terrain, notamment jauger l'empreinte économique des mesures. Selon les estimations de l’Agence, « l’investissement initial demandé à une entité importante, donc les petites structures qui partiraient de rien […] serait de l'ordre de 100 000 à 200 000 euros, avec des frais récurrents de 10 % de tout cela ».

Pour les entités essentielles, les chiffres sont « un peu plus élevés », reconnait Vincent Strubel, « mais dans les deux cas, avec une relation assez simple : ce qui est demandé en termes d’investissement initial, c'est dix fois moins que le coût d'une cyberattaque en estimation d'ordre de grandeur. Et le coût récurrent est donc 100 fois moins que le coût d'une cyberattaque ». Et le patron de l’ANSSI rappelle qu’une « cyberattaque est une forme de certitude sur le long terme pour toute entité qui ne se protégerait pas ».

L’ANSSI a aussi « eu un principe de simplification… alors ça ne saute sans doute pas aux yeux aux lecteurs du projet de loi, mais à travers ce projet de loi, il y a à la fois l'intention et la réalité d'une simplification du millefeuille réglementaire ». Le but est d'aligner l'ensemble des cadres réglementaires ou législatifs relatifs à la cybersécurité sur un référentiel commun.

L’ANSSI ne veut pas devenir la maison qui rend fou des 12 travaux d'Astérix

Plus tard, dans son discours introductif, quand il parle des différents « guichets », Vincent Strubel donne un exemple de simplification nécessaire :

« Je prends un exemple un peu trivial : la maison qui rend fou dans les 12 travaux d'Astérix, avec des guichets qui se renvoient les uns les autres. On sait très bien que l'administration est très forte pour faire ça. Il faut l'éviter, surtout dans un contexte de tension extrême pour une victime de cyberattaques et faire en sorte que ceux qui se sont trompés de guichet soient rattrapés, guidés, appuyés. Pas envoyés vers un autre guichet, mais accompagnés dans leurs démarches ».

S’uniformiser autant que possible au niveau européen

Au niveau européen, l’ANSSI garde en tête un besoin d'harmonisation : « il ne s'agit pas de faire exactement pareil dans tous les États membres, sinon ce ne serait pas une directive, mais un règlement, […] mais d'aligner les dispositifs le plus possible au profit des entreprises qui seront soumises à ces réglementations, le cas échéant dans plusieurs États membres ».

Une des sources d’inspiration est la Belgique « qui est le seul État membre à avoir totalement transposé, même si l'Italie s'en approche également ». La Belgique est présentée comme un précurseur qui « essuiera un certain nombre de plâtres au profit de l'ensemble de la Commission européenne et des États membres ».

Implémentation : pour l’ANSSI, « il faut se donner le temps »

Sur les délais, Vincent Strubel rappelle, une fois encore qu’il « faut se donner le temps […] pour mettre en œuvre proprement ces dispositions ». Il faut évidemment poser le cadre au plus vite, mais il faudra ensuite « donner le temps de l'implémentation » aux entreprises.

Vincent Strubel le réaffirme : « il faudra au moins trois ans avant d'exiger une conformité complète ». Avec un délai réduit (six mois par exemple) pour certaines exigences qui peuvent être mises en place sans grands investissements.

Vincent Strubel revient sur les dispositions de la directive sur cette question de la temporalité : « Je précise que dans ce consensus, on trouve aussi le fait que cela ne peut pas relever de la loi, ce qui est d'ailleurs l'avis qui nous a été donné par le Conseil d'État. C'est, si vous me permettez cette expression, un bug de la directive qui ne prévoit pas de délai de mise en application ni de mesures transitoires ».

Un cyber pompier avant d’être un cyber gendarme

Le patron de l’ANSSI ne veut pas dénaturer le fonctionnement de l’Agence, qui est historiquement et avant tout un « cyber pompier » : « Un cyber pompier, ça ne ne remplit pas un PV en même temps que ça a éteint le feu. Si je file la métaphore ». Pour simplifier encore, quand l'ANSSI intervient en soutien aux victimes, « elle n'est pas en même temps en train de laisser planer le doute sur des poursuites subséquentes ». L’Agence a ainsi isolé sa commission des sanctions.

L’ANSSI a besoin de 50 ETP pour NIS 2

Sur la question des moyens, l’ANSSI estime « le besoin global de mise en œuvre liée à la mise en œuvre NIS 2 à 50 ETP au sein de l'ANSSI sur une perspective triennale, en plus de la croissance triennale déjà actée de 40 ETP par an. Il est évident que cela ne se fera pas en 2025, sans préjuger des débats qu'il reste à mener sur le PLF 2025 ».

Dans la session de questions/réponses, Vincent Strubel explique que les 50 ETP sont notamment pour la « mission de contrôle et de supervision, donc la dimension de pré-instruction de possibles sanctions […] qui est un métier totalement nouveau pour nous et que nous estimons devoir être peuplée à terme à hauteur d'une trentaine d’ETP ». Le second axe de recrutement est de renforcer la présence dans les régions.

À plusieurs reprises, le patron de l’ANSSI rappelle l’importance d’informer les PME : « ce sera l'un des enjeux majeurs, celui de la communication et de la sensibilisation. Il n'y a pas de levier unique ».

Un objectif, différentes recettes possibles

La question de l'accompagnement financier et/ou de la rentabilisation de la certification est aussi une préoccupation de l’ANSSI.

Par exemple, pour les entités importantes, « la question se pose de manière plus légitime de l'alignement entre le dispositif belge et le dispositif français, avec quelques précautions ». L’ANSSI veut de la souplesse : « l'architecture que nous avons en tête est de fixer des grands objectifs en matière de mesures techniques au niveau de la réglementation, de les décliner d’une manière à assurer la conformité, sans exclure d'autres manières ».

« Au risque de m'avancer un peu, je n'exclus pas qu'à terme, la labellisation CyberFundamentals [de la Belgique] ou d'autres dispositifs existants chez d'autres États membres soit reconnue en France comme un mode de conformité acceptable à la directive NIS 2 », ajoute Vincent Strubel. « Soit vous appliquez la recette de cuisine française, soit vous appliquez la labellisation belge. Dans tous les cas, si ça satisfait l'objectif, il n'y a pas de travaux supplémentaires à mener ». Plus tard, Vincent Strubel précise son propos : « Je ne m'engage pas à reconnaître de facto tel quel le label belge, mais je pense qu'il faut aller dans cette direction-là ».

Pour le patron de l’ANSSI, les travaux menés par les sociétés pour renforcer leur cybersécurité pourraient aussi permettre « aux assureurs ou au secteur bancaire, qui eux aussi se préoccupent de l'évaluation du risque cyber, de s'appuyer sur la conformité à NIS 2 pour fonder leur analyse de risque et donc donnerait un avantage quelque part aux acteurs conformes à NIS 2, qu'ils soient réglementés ou qu'ils l'aient fait de manière volontaire ». Une manière de rentabiliser cette opération.