Accueil > Industrie > NIS 2 : Un périmètre élargi pour sécuriser les SI NIS 2 : Un périmètre élargi pour sécuriser les SI La directive NIS 2, qui élargit le spectre de NIS 1 (pour "Network and Information Security"), a été publiée au journal officiel de l’Union européenne en décembre 2022. La santé fait désormais partie intégrante des secteurs dits “essentiels”, soumis aux règles du législateur. Que contient le texte ? Comment les acteurs se préparent-ils à NIS 2 ? mind Health fait le point sur les principaux enjeux du texte, dont la transposition en droit français est attendue au plus tard le 17 octobre 2024. Par Clarisse Treilles. Publié le 06 février 2024 à 22h30 - Mis à jour le 06 février 2024 à 17h38 Ressources Les cyberattaques sèment toujours le trouble dans les établissements de santé, allant parfois jusqu’à paralyser le fonctionnement des services critiques au sein des hôpitaux et cliniques visés par les cybercriminels. Les environnements informatiques deviennent aussi plus complexes à gérer, avec l’empilement des couches de services et d’équipements. Au fil des programmes cyber qui se succèdent depuis une dizaine d’années, les bonnes pratiques infusent dans les organisations pour aider les RSSI à garder la pleine maîtrise des systèmes d’information… mais cela prend du temps et des ressources. Partout, un constat global demeure : “les acteurs de santé sont insuffisamment préparés face à cette augmentation de la menace, ce qui amène à un besoin de réponse réglementaire fort, qu’on ne laisse pas au simple arbitrage individuel des acteurs. L’objectif de NIS 2 est d’apporter un socle commun à l’échelle de l’Europe pour élever des mesures de sécurité minimales à mettre en œuvre pour se protéger contre les menaces et assurer le bon fonctionnement de la société dans son ensemble” a rappelé Silvère Ruellan, chef du bureau Santé et Affaires sociales de l’Anssi, à l’occasion d’une table-ronde dédiée à NIS 2 organisée par l’AFCDP courant janvier. La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1 (adoptée le 6 juillet 2016 et transposée en France le 26 février 2018), marque un changement de paradigme, en élargissant ses objectifs et son périmètre d’application. La directive NIS 2 liste un certain nombre d’obligations pour les opérateurs de services essentiels et importants, dont la mission de veiller à la sécurité de la chaîne d’approvisionnement, fournisseurs comme prestataires. “La menace s’est déportée des grands acteurs vers de plus petits acteurs. Ces derniers peuvent aussi être touchés de manière plus opportuniste. Toute la chaîne d’approvisionnement et de sous-traitance est menacée”, observe Silvère Ruellan. Ce défi donne du fil à retordre aux RSSI, qui jusqu’alors pouvaient rencontrer des difficultés à demander des documents aux sous-traitants, comme en témoigne Nicolas Melleville, DPO et RSSI de l’Hospitalité Saint-Thomas de Villeneuve (HSTV). Il observe un certain “effet de silence” de la part des prestataires : “Sur la partie sécurité, je demande majoritairement des éléments concrets comme les plans de sauvegarde ou bien les politiques de mot de passe. Cela peut devenir des documents sensibles pour les prestataires, et dans ce contexte on peut avoir des difficultés à les obtenir. Ce sont d’assez longues discussions. Compte tenu de nos activités conjointes, d’une part en tant que responsable de traitement et sur la gestion de données, le registre de traitement n’est pas non plus aisé à obtenir dans le cadre du RGPD.” Périmètre élargi Pour comprendre la philosophie du texte, il faut revenir à la base : qui est concerné par NIS 2 ? “Tout l’écosystème, notamment les secteurs liés à la santé dont le périmètre dépasse ce champ-là, comme les acteurs de la recherche, l’administration publique et les acteurs du numérique, comme les fournisseurs de cloud et de services IT” évoque Silvère Ruellan. Les établissements de santé ne sont plus les seules entités régulées, comme c’était le cas pour NIS 1. Désormais, sont considérés comme “hautement critiques” : les prestataires de soins de santé ; les laboratoires de référence de l’UE ; les entités exerçant des activités de recherche et de développement dans le domaine des médicaments ; les entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques ; les entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique. La directive mentionne également d’autres secteurs “critiques”, parmi lesquels figurent les entités fabriquant des dispositifs médicaux et des dispositifs médicaux de diagnostic in vitro. NIS 2 introduit une distinction clé entre opérateurs de services “essentiels” et “importants”, tenant compte de plusieurs critères tels que le secteur d’activité, le nombre d’employés et le chiffre d’affaires. L’Anssi présente ces critères sous la forme d’un tableau simplifié (cf. schéma ci-dessous). Dans ce tableau, on voit que les très petites entreprises sont exclues du périmètre NIS 2. Il est important de noter que ces critères ne sont pas figés. L’Anssi explique aux acteurs de la santé que “pour les entités ne répondant pas aux critères précédents et aux seuils associés, la directive NIS 2 offre la possibilité aux autorités de désigner unitairement des entités supplémentaires – ce processus sera défini dans le cadre de la transposition nationale, et permettra, à la marge, de prendre en compte les cas très spécifiques.” Schéma présenté par l’Anssi, lors d’une table ronde animée par l’AFCDP en janvier dernier. Au total, combien d’acteurs sont concernés ? Alors que pour NIS 1, on comptait “300 opérateurs de services essentiels tous secteurs confondus, dont 150 en santé”, pour NIS 2, “10 000 à 15 000 acteurs seront concernés. Il est encore difficile d’avoir un chiffre précis. Nous allons faire un grand bond en avant” estime Silvère Ruellan. Vincent Trély, président de l’Association pour la sécurité des systèmes d’information de Santé (Apssis) interrogé par mind Health, confirme que “NIS 2 peut potentiellement entraîner tout le maillage territorial des hôpitaux”. À date, l’Apssis compte un peu plus de 200 membres, dont 120 hôpitaux et 18 CHU représentés par leur RSSI, et parfois leur DSI ou des médecins impliqués dans la gestion des crises. Vincent Trély fait remarquer que cet accroissement du maillage s’est fait progressivement, depuis la désignation des premiers OIV (opérateurs d’importance vitale) dans le cadre de la Loi de Programmation Militaire (LPM), qui concernait de façon parcellaire le champ de la santé. Parmi ces OIV, on comptait “près d’une dizaine de CHU, mais c’était une boîte noire” souligne Vincent Trély. Depuis septembre 2021, le gouvernement a consacré tous les établissements support de groupements hospitaliers de territoire (136 GHT concernés) “Opérateurs de services essentiels” (OSE). Un OSE est un acteur dont le service est essentiel au maintien de l’activité économique ou sociétale. Dans le cas des GHT et de leurs établissements support, ce service est d’assurer la continuité des soins. Ce statut leur impose de nouvelles obligations en matière de sécurité informatique, notamment celle de déclarer auprès de l’Anssi un point de contact dédié sur la conformité à la directive NIS, mais aussi celle de déclarer leurs systèmes d’information essentiels et de déclarer les incidents qui interviennent sur ces systèmes critiques. Pour Vincent Trély, ces hôpitaux cochaient déjà les cases d’un grand nombre d’obligations de la directive NIS (depuis la massification des cyberattaques à partir de 2019 notamment). Les établissements sont en effet familiers de la mise en place de sauvegardes, de tests ou bien d’exercices de crise. L’une des difficultés, selon le président de l’Apssis, tient dans le concept de “systèmes d’information essentiels”, que la directive s’attache à segmenter. Ces sous-systèmes concernent entre autres le SI du SAMU/SMUR, le SI de la pharmacie, celui de l’imagerie médicale ou encore celui du laboratoire. “Or, tout cela repose au fond sur la même couche technique” analyse Vincent Trély. Des fabricants aux opérateurs d’appareils biomédicaux, la cybersécurité gagne du terrain À quelles obligations seront soumises les entités régulées avec NIS 2 ? Les entités régulées doivent respecter une liste d’obligations d’information : Les entités ne sont plus désignées par arrêté, mais devront se faire connaître auprès de l’Anssi et communiquer des informations de contact à jour. “À l’Anssi, on communique un peu plus dessus, car c’est une logique inversée par rapport à NIS 1. Chacun doit se reconnaître dans la loi comme étant assujetti à NIS 2” commente Silvère Ruellan. Pour Hélène Guimiot-Breaud, cheffe du service santé de la Cnil, “ce mode de fonctionnement suit un principe de responsabilisation des acteurs”. Déclarer à l’Anssi les incidents majeurs, pour permettre d’avoir “une vision d’ensemble de l’accidentologie en France et dans le secteur de la santé. C’est un travail que nous allons organiser avec le CERT Santé, qui est déjà en lien avec les acteurs de la santé pour la déclaration d’accident et l’assistance à la réponse à incident” précise Silvère Ruellan. Les entités régulées doivent aussi et surtout mettre en œuvre un certain nombre de règles prévues en matière de gestion des risques cyber. L’article 21 de la directive, portant sur les mesures de gestion des risques, précise à cet effet que “les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.” Ces mesures comprennent notamment : les politiques relatives à l’analyse des risques et à la sécurité des SI, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI, l’utilisation de solutions d’authentification à plusieurs facteurs, etc. Pas de révolution ? Un RSSI qui suit son plan d’action de sécurité depuis 2, 3, 4, voire 5 ans, matche avec la directive NIS 2. Ce qui est contraignant, c’est de devoir alimenter un nouveau référentiel Vincent Trély, président et fondateur de l’APSSIS “Tenir à jour des cartographies des actifs, faire des exercices de crise et mettre en place un plan de continuité des activités métiers…” Pour Vincent Trély, les règles et les obligations listées dans la réglementation sont somme toutes “assez standards”. À ses yeux, “les hôpitaux ont commencé à mettre en œuvre toutes ces actions avec la multiplication des cyberattaques. Ils ont pris conscience que ce n’était pas de la science fiction”. Vincent Trély assure que toutes les procédures de cybersécurité sont en train de se structurer. “Tout cela converge avec les bonnes pratiques, telles que la norme ISO 27001 et les 42 mesures d’hygiène de l’Anssi. Un RSSI qui suit son plan d’action de sécurité depuis 2, 3, 4, voire 5 ans, matche avec la directive NIS 2. Ce qui est contraignant, c’est de devoir alimenter un nouveau référentiel. In fine, le fond n’est pas révolutionnaire.” En revanche, dit-il, “il y a des endroits qui sont encore loin de respecter tout cela, que ce soit dans des collectivités territoriales, des PME ou des hôpitaux de petites tailles, ainsi que dans le médico-social”. Gérer la chaîne d’approvisionnement sera une autre paire de manches : “Le législateur a raison, nous [les hôpitaux, ndlr] sommes victimes du maillon le plus faible”, considère le président de l’Apssis. “Dans les hôpitaux, il y a plusieurs centaines d’industriels ou d’éditeurs qui ont de très bonnes raisons d’avoir des liaisons permanentes entre eux et l’hôpital, soit pour monitorer leur matériel, pour faire des mises à jour, pour collecter de la donnée ou alimenter des IA. L’hôpital est un univers interconnecté avec beaucoup d’entreprises.” Vincent Trély soutient que “sur ces 500 ou 600 liaisons autour de l’hôpital, il faut essayer de faire en sorte que toute la chaîne ait le même niveau de sécurité.” Le cahier des charges cyber dédié aux dispositifs biomédicaux est finalisé Rôle accru de l’Anssi L’Anssi reste l’autorité compétente pour s’assurer du respect de l’application de la directive NIS 2. Elle disposera de pouvoirs de contrôle et de sanction renforcés. Les articles 32 et 33 de la directive mentionnent le rôle de supervision et d’exécution tenu par les autorités compétentes nationales. Selon les cas de figure, qu’il s’agisse d’entités essentielles et/ou importantes, l’Anssi aura le pouvoir d’organiser des contrôles (sur place ou à distance), de mettre en place des audits ou des des scans de sécurité, mais encore de demander des preuves de la mise en œuvre de politiques de cybersécurité. Selon l’issue de ces contrôles, l’autorité compétente peut émettre des avertissements concernant les violations de la directive, adopter des instructions contraignantes ou ordonner aux entités concernées de mettre un terme à un comportement contraire à la directive. “L’un des changements induits par NIS 2 est que le régime des sanctions se renforce, avec une source d’inspiration du côté du RGPD et une logique d’amende” observe Silvère Ruellan. La politique de contrôle et de sanction est en train de se définir du côté de l’Anssi, affirme ce dernier. En vertu de l’article 34 de la directive, des amendes administratives pourront être prononcées allant jusqu’à 10 M€ et 2% du chiffre d’affaires annuel pour les entités essentielles, et jusqu’à 7 M€ et 1,4% du chiffre d’affaires annuel pour les entités importantes. L’article 36 introduit, quant à lui, de possibles sanctions. Ces dernières devant être toujours “proportionnées et dissuasives”, selon le texte. Par ailleurs, la directive NIS 2 prévoit des mécanismes de fonctionnement rapprochés entre les autorités nationales NIS 2 et les autorités d’autres réglementations, en particulier avec la Cnil au regard du RGPD et l’Autorité de contrôle prudentiel et de résolution (ACPR) pour le règlement Digital Operational Resilience Act (DORA) qui s’applique au secteur de la finance. “L’Anssi a l’intention de saisir l’opportunité offerte par la directive NIS 2 pour réviser l’articulation des cadres réglementaires existants en matière de cybersécurité, avec pour objectifs leur homogénéisation et leur mise en cohérence” soutient l’agence. Hélène Guimiot-Breaud insiste quant à elle sur un empilement des textes “révélateur d’un enjeu qui pèse à la fois sur le législateur et le régulateur”. Il y a, dit-elle, “un enjeu de lisibilité et un enjeu de cohérence, quand on interprète, applique les règles et accompagne les acteurs. La Cnil voit arriver NIS 2 d’un très bon œil. C’est une couche supplémentaire qui va dans le bon sens : garantir un niveau de sécurité adéquat qui soit cohérent avec le niveau de risque”. TENDANCES 2024 – Cloud et cybersécurité : des réglementations bientôt plus exigeantes ? Le temps des consultations avant la transposition L’Anssi a commencé à communiquer sur les étapes de sa transposition. Cette transposition inclut la préparation du projet de loi, que l’Anssi souhaite soumettre au parlement en 2024, ainsi que la préparation des modalités de mise en œuvre associées. “Nous travaillons avec des fédérations et des syndicats à l’élaboration d’un référentiel de règles de cybersécurité. Nous avons, dans la version de travail du référentiel actuel, 20 objectifs de sécurité qui seront applicables aux entités essentielles et/ou importantes. Des obligations porteront par exemple sur la gouvernance des entreprises, sur les audits de sécurité et sur l’authentification” indique Silvère Ruellan. Le référentiel de règles NIS 2 devrait globalement couvrir quatre axes : la gouvernance, la protection, la défense et la résilience des systèmes d’information. Parce que le texte s’avère “très ambitieux”, l’Anssi utilise la carte du dialogue. “Nous terminons actuellement à l’Anssi un travail de consultation que l’on a mené avec les ministères et les organisations professionnelles qui représentent les différents secteurs concernés par NIS 2. Ce travail a porté à la fois sur la définition du périmètre (parfois la directive demande plus de précision et de contextualisation), sur les interactions (la façon dont l’Anssi et les futures entités régulées vont interagir) et sur le référentiel des règles applicables qui est en concertation. La prochaine étape, c’est la finalisation du projet de loi, pour transposer la directive en droit national” annonce Silvère Ruellan. Numeum, à travers la voix de Anne-Sophie Bouy, administratrice et présidente de la Commission santé de Numeum, anticipe un potentiel point de crispation : celui de l’articulation entre “la transposition française et les transpositions des autres États membres”, dans la mesure où “seules les règles relatives aux acteurs du numérique vont être harmonisées”. Pour le reste, souligne Anne-Sophie Bouy, “cela va être sujet à interprétation des différents États”. L’Anssi veut accompagner les entités concernées par la directive en 2024, en mettant par exemple à disposition une FAQ dédiée à NIS 2 sur son site internet. L’Anssi entend également organiser des webinaires pour clarifier le texte au maximum. “Nous prévoyons des outils d’accompagnement pour aider les acteurs à savoir s’ils sont concernés ou pas. Nous prévoyons des plateformes en ligne pour outiller la mise en œuvre de NIS 2. La première brique sera un formulaire pour tester son éligibilité à partir d’une liste de contrôle automatisée. L’outil sera prochainement mis en ligne sur le site de l’agence” indique Silvère Ruellan. Un maillage de programmes nationaux La France s’est dotée de mesures pour moderniser les SI hospitaliers et renforcer la sécurité spécifiques, à l’instar des référentiels de sécurité et d’interopérabilité élaborés par l’ANS. Depuis 2012, la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) propose un cadre commun pour les SI du secteur de la santé. Elle rassemble des référentiels et des guides de bonnes pratiques. Le programme CaRE (“Cybersécurité accélération et Résilience des Établissements”), enclenché après les cyberattaques du Centre hospitalier sud francilien (CHSF) et du centre hospitalier de Versailles en 2022, a été officiellement lancé en décembre 2023. Il vise à aider les établissements sanitaires à faire face à la menace cyber. Le Domaine 1, axé sur les “audits techniques, l’exposition internet et les annuaires techniques” est le premier à voir le jour. Le Ségur de la Santé a aussi consacré une enveloppe de 2 Mds € d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Ils doivent notamment permettre d’accompagner leur transition numérique, de moderniser les systèmes d’information existants, et de renforcer leur interopérabilité, leur convergence et leur sécurité. Dans ce cadre, 350 M€ sont spécifiquement dédiés au renforcement de la cybersécurité de ces structures. Avec France Relance, l’Anssi s’était également vu attribuer une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État, dont 25 M€ spécifiquement consacrés à la sécurisation des établissements de santé. Clarisse Treilles CybermalveillanceCybersécuritéDonnées de santéHôpitalRèglementaireStratégieSystème d'information Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind