18 avril 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#464 NIS2 expliquée aux fournisseurs des entités essentielles de la Défense GICAT 18 avril 2023

#464 NIS2 expliquée aux fournisseurs des entités essentielles de la Défense GICAT 18 avril 2023

#464 NIS2 expliquée aux fournisseurs des entités essentielles de la Défense GICAT 18 avril 2023 © Ledieu-Avocats


le (gros) paquet de la législation UE "spécial cyber" publié le 27 décembre 2022

Lorsque l’on est un industriel de la Défense, on adhère au programme « generate » du GICAT et on vient se documenter sur ce qui se prépare en, termes de législation cyber.

Et nécessairement, dès avril 2023, on s’interroge sur la Directive NISv2 : quels impacts ? Quels process à mettre en oeuvre ? Combien ça va couter (toujours trop cher, on sait…).

Le titre exact de ce chef d’oeuvre de la littérature cyber sécurité ? Directive UE n°2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) 

Evidemment, 15 minutes, c’est un peu court pour ce texte de l’UE qui doit faire l’objet d’une loi nationale avant le 18 octobre 2024…

DORA Critical Entities NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 2023


Sécurité physique ? Sécurité numérique ? Les deux, mon Général !


Le Règlement DORA, c'est QUE la sécurité numérique en version spéciale "secteur financier" !

Vous pouvez cliquer sur la slide juste en dessous pour atterrir (c’est la magie du web) sur ma présentation complète du sujet, illustrée avec un Hercule du 43ème siècle, qui va vous expliquer tout ça en long, en large et en travers – si vous avez tout ce courage…


... et la Directive "résilience des entités critiques", c'est QUE la sécurité PHYSIQUE !!!


allez... en 1 slide, juste un aperçu de ce qu'il faudra faire (ce sera une OBLIGATION, je vous le rappelle... des fois que...)

la directive résilience des entités critiques CRITICAL ENTITIES #464 GICAT NISv2 expliquée aux fournisseurs d'entité essentielle ***15 minutes*** © Ledieu-Avocats 18-04-2023


Une transposition OBLIGATOIRE au plus tard le 18 octobre 2024

transposition 18 octobre 2024 NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


faisons simple : si vous êtes "entité critique", vous êtes aussi entité ESSENTIELLE ou important NISv2 (obligatoirement : c'est écrit ! )

NISv2 = entité critique = essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


la liste OBLIGATOIRE des secteurs critiques / essentiels / importants : lisez et pensez à vos clients estampillés "Défense nationale"

liste des secteurs concernés NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


Pour vous sentir concerné(e) pour de vrai, regarder le niveau de sanction pécuniaire qui pèse sur vos clients donneurs d'ordre... Lisez bien... Si vous ne faites pas le job, vous aussi, ça va vous retomber dessus...

Si c’est votre client estampillé « Défense nationale » qui est sanctionné par votre faute, devinez ce qu’il va faire après avoir reçu une rouste par l’autorité de contrôle (au hasard : l’ANSSI ?). 

Oui, vous devinez bien : il va s’en prendre à vous pour se faire indemniser (par vous) de votre faute…

risque de sanction NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


Directive NISv2 les nouvelles catégories "d'entités" (pour ne pas confondre avec les "opérateurs" de la Directive NIS#2016)


NISv2 s'applique aux entités ESSENTIELLES / importantes privées ou publiques...

entité privée publique NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


Ne cherchez pas, ce sont les états qui désignent les entités ESSENTIELLES (avec toute une série de critères obligatoires dont je vous passe le détail compliqué)


RAPPEL la désignation des entités concernées sous le régime de la (future ex-) Directive NIS#2016

NIS version 2016 NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


... et le traditionnel rappel désagréable pour celles et ceux qui vont y passer...


NISv2 : l'obligation de cyber sécurité à l'état de l'art, de manière "appropriée et proportionnée" (vous respirez mieux, maintenant ?)

l'obligation de cyber sécurité à l'état de l'art NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


NISv2 : l'obligation de cyber sécurité expliquée par des ingénieurs avec des mots techniques

NISv2 : l'obligation de cyber sécurité expliquée par des ingénieurs avec des mots technique NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 2023


L'UE vous incite à partir d'un framework connu, comme par exemple ISO 27001 (pourquoi ré-inventer la roue, je vous le demande ?)

ISO 27001 et NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


RAPPEL : une définition de "l'état de l'art" ? et l'obligation pour les fournisseurs d'être "à l'état de l'art" en matière de cyber sécurité ?


Dans NISv2, y'a toute une liste des plans et des procédures OBLIGATOIRES... SYNTHESE en 1 slide.

NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


RAPPEL (pour pouvoir anticiper) : les 5 obligations technico-juridiques dans NIS version 2016

Avec NISv2016, l’ANSSI devait homologuer le SI de chaque Opérateur de Service Essentiel (aujourd’hui : entité critique / essentielle / importante). Si le nombre d’entreprises impactées par cette législation est multiplié par 20 (objectif officiel), il va falloir recruter à l’ANSSI comme dans les entreprises concernées. Y compris chez les fournisseurs de la Défense…

OIV NIS v2016 et NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


RAPPEL (encore) : les 23 points de sécurité OBLIGATOIRE pour les opérateurs selon NIS v2016...

En attendant la loi de transposition, si vous voulez savoir ce qu’il faudra faire, techniquement, voici un rappel des 23 règles de sécurité IMPERATIVES sous NIS#2016. N’attendez pas de NISv2 une réduction de la charge de travail, ni un affaiblissement des règles de cyber sécurité.  


Vous devriez relire ce que vous pensez être une désormais classique obligation de notifier les incidents de sécurité...

notification des incidents de sécurité NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats


Quelques points ORGA + JURIDIQUES à retenir à propos de NISv2

juridique ORGA NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


Mettre vos contrats de service / SaaS / PaaS / SaaS à jour ? Ce n'est pas moi qui vous le suggère, c'est l'UE qui va vous l'imposer !!!

Sécuriser la « chaine d’approvisionnement », ça veut dire IMPOSER AUSSI aux fournisseurs de l’industrie de défense de mettre en oeuvre des mesures techniques, juridiques, organisationnelles, etc. de cyber sécurité ! 

Donc, vous allez devoir mettre vos contrats à jour de cette règlementation, que vous soyez désigné comme « entité essentielle » ou fournisseur / prestataire d’un professionnel de la défense.


Mais qui sont donc ces professionnel(le)s qui doivent mettre leur contrat à jour en application de NISv2 ? (vous allez voir, la liste est courte mais très, très large !!!)

PRESTATAIRE IT NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


Quand vous commencez à lire ce genre de chose dans une Directive cyber sécurité de l'UE, vous devriez réfléchir à l'avenir...

#461 NISv2 entité critique essentielle importante SALON IT PARIS 2023 SYNTHESE © Ledieu-Avocats 10-04-2023


NISv2 SYNTHESE de ce qu'il faut faire et au plus tard pour quand...


Bon, si dès à présent, vous sentez que vous n'allez pas échapper à cette législation, commencez par faire un audit de votre contrat actuel. Juste histoire de vous faire peur.


Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)

« Arctica » 12 tomes (dans lesquels ça bastone fort) par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022 : c’est « Wyllow » qui m’a fait aimer la réforme du droit des contrat en 2016 avec un univers visuel tout à fait délicieux

« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 19 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2023 (je suis un inconditionnel de la série)

« Crépuscule des Dieux (Le) » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016 : si vous aimez les légendes nordiques, vous ne serez pas déçu(e) !

« Dernier Troyen (Le) » série complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006

« Hercule » série complète (et proprement exceptionnelle) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète (dans un univers graphique aussi unique qu’attachant) en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011 : il fallait un vrai talent au dessin comme au scénario pour nous captiver dans une époque aussi lointaine…

« Nef des Fous (La) » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012 : c’est puissant, violent, dramatique : j’ai adoré !!!

« Oeil de la Nuit (L’) » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016 – un véritable chef d’oeuvre par deux génies de la BD !

« Olympus Mons » première série complète en 7 tomes par Christophe Bec (encore lui !) et Stefano Raffaele © éditions Soleil 2017-2022 – juste génial et captivant

« portes de Shamballah (Les) » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016 : ça, c’est du complot ! 

« Serpent et la Lance (Le) » série en cours avec déjà 2 tomes publiés par Hub © éditions Delcourt 2019 – 2021 : bienvenu dans l’Empire aztèque en 1454 (c’est une merveille graphique, en plus d’une intrigue captivante)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur ! 

« Sur les terres d’Horus » série (tout à fait remarquable) complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Ténèbres » série complète en 5 tomes par Christophe Bec et Giuseppe « Iko » © éditions Soleil 2009-2018  : de la pure Heroic Fantasy avec des dragons, des chevaliers et des princesses…

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes qui déchirent + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​