Si ces attaques, qui ont commencé dimanche 10 mars au soir, ont été d’une « intensité inédite », les services du premier ministre ont précisé lundi que leur impact avait été « réduit ». Elles ont été revendiquées par Anonymous Sudan, qui regroupe des militants prorusses.

Plusieurs ministères sont ciblés, depuis dimanche 10 mars dans la soirée, par des attaques informatiques d’une « intensité inédite », a annoncé lundi Matignon, mentionnant toutefois que leur impact à ce stade « a été réduit ». Ces attaques, dont les « modalités techniques sont classiques », selon les services du premier ministre, ont été revendiquées par Anonymous Sudan, qui regroupe des militants prorusses – sans lien avec le mouvement Anonymous.

Dans un message publié sur Telegram, ces hackeurs évoquent une « cyberattaque massive » visant notamment les ministères de l’Économie, de la culture, de la transition écologique, les services du premier ministre ou la direction générale de l’aviation civile (DGAC). Matignon a précisé qu’« une cellule de crise [avait] été activée dès hier soir [dimanche] pour déployer des contre-mesures ». « À ce stade, l’impact de ces attaques a été réduit pour la plupart des services et l’accès aux sites de l’État rétabli », a assuré Matignon.

Les militants du groupe Anonymous Sudan se sont livrés ces derniers mois à de nombreuses attaques par déni de service contre de grandes entreprises américaines du numérique et des sites étatiques occidentaux ou ukrainiens. Difficiles à contrecarrer rapidement, mais ne faisant que rarement des dégâts importants, ces attaques consistent à noyer un service sous un afflux de connexions pour empêcher leurs utilisateurs légitimes d’y avoir accès. La direction générale de la sécurité intérieure (DGSI) avait déjà ouvert une enquête sur Anonymous Sudan en mars 2023, après que le groupe avait revendiqué le blocage des sites Web de plusieurs aéroports français.

Source : LeMonde

Le 16 janvier 2023 est entrée en vigueur la directive (UE) 2022/2555 du Parlement Européen et du Conseil Européen, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, connue également sous le nom de Directive NIS 2 « Network and Information Security ».

Cette nouvelle directive répond à l'évolution rapide des menaces cybernétiques en renforçant la gestion des risques dans un paysage numérique en constante mutation. En élargissant les attentes et le champ d'application, cette directive anticipe les nouvelles formes d'attaques. Elle marque ainsi un changement de paradigme, passant d'une approche réactive à une stratégie proactive et engageant une collaboration étendue pour assurer la résilience des infrastructures critiques.

Alors que la date fatidique du 17 octobre 2024 approche, les travaux de l’ANSSI se poursuivent pour adapter et mettre en œuvre les exigences de la directive NIS2 dans le contexte français. Sans attendre le détail des nouvelles obligations et des processus de contrôle de conformité qui seront mis en place par le législateur, les entités essentielles et importantes des nombreux secteurs visés par la directive européenne doivent prendre les devants.

Les articles 20 et 21 de NIS 2 établissent en effet une série de mesures auxquelles entreprises et administrations devront se conformer. Elles portent à la fois sur la mise en place d’un système de gouvernance de la sécurité de l’information, le déploiement des mesures techniques de protection et l’établissement d’un dispositif pour traiter les incidents de sécurité.

Gouvernance de la sécurité

En matière de gouvernance, la maîtrise de la sécurité de l’information nécessite la mise en place de chantiers incontournables, qui touchent de façon transverse toute l’organisation. 

1. Définition des rôles et les responsabilités, notamment à travers la désignation d’un responsable de sécurité, idéalement rattaché à la direction générale 

2. Mise en place d’un corpus documentaire de politiques, processus et procédures de sécurité, dont la pièce maîtresse est la politique de sécurité des systèmes d’information (PSSI) 

3. Cartographie du système d’information en termes d’activités et services et recensement des actifs de support (serveurs, réseaux, applications, etc.) 

4. Cartographie des prestataires et des fournisseurs, condition nécessaire pour piloter leur niveau de sécurité 

5. Mise en place d’une gestion des risques de sécurité, à travers des analyses des risques régulières, avec acceptation des risques résiduels par la direction générale 

6. Réalisation d’audits réguliers pour vérifier l’efficacité des mesures de sécurité et la conformité vis-à-vis des réglementations applicables 

7. Prise en compte de la sécurité dans la gestion RH, avec une attention particulière à la formation et sensibilisation des collaborateurs, et à la bonne gestion des arrivées et les départs 

Mesures techniques de protection

Ces mesures organisationnelles sont essentielles, mais restent insuffisantes si elles ne sont pas complétées par des mesures techniques de protection robustes. 

8. Maintien en conditions de sécurité des systèmes, qui passe par l’implémentation des processus de veille, de sécurité et de gestion des vulnérabilités 

9. Maîtrise de l’accès physique aux locaux, avec déploiement d’un contrôle d’accès moderne, assorti d’un système d’alarme 

10. Sécurisation de l’architecture du système d’information, avec un soin spécifique apporté aux interconnexions aux réseaux tiers et au cloisonnement en fonction de la sensibilité des différentes zones 

11. Sécurisation des accès distants et des actions d’administration, à travers le déploiement d’authentification multi-facteur, et de bastions d’administration 

12. Déploiement des solutions de protection contre les codes malveillants, en différentes couches : EDR, IDS, IPS, WAF 

13. Durcissement des configurations, dans le but de réduire autant que possible la surface d’attaque, tout en veillant à la facilité d’exploitation des systèmes et des applications 

14. Sécurisation de la gestion des identités et des accès, en s’inspirant du principe du moindre privilège, qui demande une gestion stricte des habilitations et des revues régulières 

15. Implémentation de mesures pour la continuité et la reprise d’activité, fondée sur des sauvegardes fiables, idéalement hors-ligne  

Traitement des incidents

Parce que le risque zéro n’existe pas et que les attaquants innovent en continu, des incidents de sécurité vont inévitablement se produire. Il est donc indispensable de se doter de solides capacités de traitement des incidents de sécurité. 

16. Détection des incidents, essentiellement à travers le déploiement d’un SIEM, exploité par un SOC, éventuellement externalisé 

17. Réaction aux incidents, soit en se dotant d’un CERT interne, soit en collaborant avec un partenaire spécialisé 

18. Gestion des crises cyber, en définissant des processus au niveau managérial et opérationnel, et en organisant des exercices réguliers 

Naturellement, ces travaux de mise en conformité sont facilités par le recours à des prestataires de confiance, idéalement qualifiés par l’ANSSI.

La Directive NIS 2 élargit considérablement le champ d'application de la Directive NIS de 2016 transposée en France en 2018. Elle s'adresse à un éventail plus large d'industries pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE.

Ceci inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l'introduction d’exigences strictes en matière de mise en application. En d'autres termes, la directive NIS 2 impose à un grand nombre d'organisations de mettre en place un cadre complet de gestion des risques, dans le but d'accroître le niveau global de résilience en matière de cybersécurité au sein de l'UE.

La directive NIS2 devra être transposée par chaque État membre de l’UE en droit national, au plus tard en octobre 2024. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l'autorité nationale en matière de cybersécurité et de cyberdéfense, assurera ensuite en tant que régulateur le respect de la loi nationale, en ayant recours, si nécessaire, à des sanctions administratives sévères et à des mesures correctives.

Qui sera concerné par la directive NIS 2 ?

La Directive NIS 2 apporte en premier lieu une modification significative à son champ d'application, le rendant nettement plus étendu que celui de son prédécesseur. 

Désormais, la directive englobe un spectre élargi touchant près de 600 types d'entités différentes, regroupant plus de 10 000 entités allant des Entreprises de Taille Intermédiaire (ETI) aux groupes du CAC40, réparties au sein de 18 secteurs d'activité distincts. Ces secteurs, définis dans la directive, sont stratifiés en deux catégories principales : les secteurs hautement critiques et les secteurs critiques, représentés dans l'infographie ci-dessous.

En fonction de ces secteurs, les entités seront dorénavant considérées en tant qu'entités importantes (EI) ou entités essentielles (EE). Cette distinction marque une évolution par rapport à la directive NIS originale, qui s'appliquait aux "Opérateurs de Services Essentiels" (OSE) et aux "Fournisseurs de Services Numériques" (FSN).

Quelles interactions avec les autres législations ?

Lorsque des lois sectorielles particulières, telles que le Digital Operational Resilience Act (DORA), exigent que les entités essentielles ou importantes sous le coup de la Directive NIS 2 mettent en place des mesures de gestion des risques en cybersécurité ou signalent des incidents majeurs, la Directive NIS 2 ne s'appliquera pas à ces entités si les exigences sectorielles sont au moins aussi contraignantes que celles énoncées dans la Directive NIS 2.

Toutefois, si les lois sectorielles ne couvrent pas l'ensemble des entités d'un secteur spécifique qui relèvent du champ d'application de la Directive NIS 2, les dispositions pertinentes de la NIS 2 continueront à s'appliquer aux entités non visées par la législation sectorielle.

Quels sont les principaux changements apportés par la directive NIS 2 ?

Bien que le processus de transposition nationale soit encore en cours d’élaboration, la Directive NIS 2 met déjà clairement en avant trois piliers majeurs dans lesquels les organisations devront intensifier leurs efforts pour garantir leur conformité.

Responsabilité légale de la direction et les sanctions

Sanctions pénales à l’encontre des membres de direction des entités essentielles

L’autorité nationale compétente est habilitée, en cas d’infraction, à : 

• Suspendre temporairement la certification ou l'autorisation d'une entité essentielle,

• Requérir une interdiction temporaire de l’exercice de fonctions de direction au niveau du directeur général ou du représentant légal.

De même, l'autorité compétente a le pouvoir discrétionnaire d'imposer des amendes considérables aux organisations qui ne respectent pas les lois de transposition nationales.

• Entités essentielles : au moins jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial

• Entités importantes : au moins jusqu'à 7 millions d'euros ou 1,4 % de leur chiffre d'affaires annuel mondial

Responsabilités de la direction

En vertu des dispositions de la norme NIS 2, les organes de direction des entités jugées essentielles ou importantes sont tenus d'approuver formellement les mesures de gestion des risques en matière de cybersécurité, de superviser rigoureusement leur mise en œuvre, et peuvent être tenus juridiquement responsables des infractions commises par leur organisation.

Dans ce contexte, tous les membres des organes de direction devront également suivre régulièrement une formation afin d'acquérir des connaissances et des compétences suffisantes pour identifier les risques, évaluer les pratiques de gestion des risques en cybersécurité et évaluer leur impact sur les services fournis par leur organisation.

Signalement et gestion des incidents

Signalement des incidents

Selon NIS 2, les entités essentielles et importantes sont tenues de signaler à l’ANSSI, sans délai injustifié, tout incident ayant un impact significatif sur la prestation de leurs services.

Afin de respecter ces obligations de signalement, les organisations doivent fournir les types de rapports suivants :

• Alerte précoce : émise sans délai injustifié et au plus tard dans les 24 heures suivant la prise de conscience de l'incident, en précisant si l'événement est soupçonné d'être le résultat d'une activité illégale ou malveillante ou s'il pourrait avoir des répercussions transfrontalières ;

• Notification de l'incident : émise sans délai injustifié et au plus tard dans les 72 heures suivant la prise de conscience de l'incident, en mettant à jour les informations fournies dans l'alerte précoce et en donnant une évaluation préliminaire de la gravité et des effets de l'incident ;

• Rapport intermédiaire : émis sur demande de l’ANSSI, mettant en évidence les mises à jour pertinentes de la gestion des incidents et des crises ;

• Rapport final : doit être soumis au plus tard un mois après la notification de l'incident. Il doit contenir une description détaillée de l'incident, y compris sa cause profonde, les stratégies d'atténuation adoptées et tout impact transfrontalier.

Cadre de surveillance

Comparé à son prédécesseur, NIS 2 met en place un cadre de mise en application rigoureux visant à garantir un niveau de conformité plus élevé.

Tout d'abord, l’ANSSI pourra s'appuyer sur un cadre de mise en application et d'investigation robuste, dont les limites dépendent de la classification de votre organisation.

• Entités essentielles : soumises à un régime de surveillance complet ex ante et ex post, dans lequel l’ANSSI a la possibilité de mener des perquisitions aléatoires, de réaliser des audits de sécurité (ad-hoc) et de demander certaines informations et preuves de conformité.

• Entités importantes : soumises à un régime de surveillance plus léger ex post, applicable en cas de preuve, indication ou information considérée par l’ANSSI comme suggérant des infractions potentielles à la directive.

Gestion des risques de cybersécurité

En vertu de la NIS 2, les organisations sont tenues d'adopter une approche proactive plutôt que réactive en matière de gestion des risques, en introduisant des politiques de sécurité de l'information solides, y compris pour les périmètres spécifiques tels que la cybersécurité OT (Operational Technology). Ce politiques visent à garantir une analyse systématique et approfondie des risques, une taxonomie homogène, une cartographie des risques prenant pleinement en compte les spécificités locales, ainsi qu’un processus de gestion des risques harmonisé.

En outre, ces politiques devraient être conçues sur la base d'une approche tous-risques, proportionnelle au risque, à la taille, au coût, à l'impact et à la gravité des incidents auxquels les organisations individuelles sont confrontées. En tenant compte de ce principe de proportionnalité, on s'attend à ce que les organisations mettent en œuvre des mesures de cybersécurité reconnues par l'industrie et à la pointe de la technologie, notamment dans les domaines suivants :

Prévention, détection et réponse aux incidents

En vertu de la NIS 2, les entités essentielles et importantes doivent disposer d'un cadre de gestion des incidents (Incident Management Framework) robuste, régulièrement testé et communiqué à toutes les parties concernées. De plus, la nouvelle directive exige que les organisations mettent en place des procédures claires pour prévenir les attaques, enquêter sur les causes profondes et adopter des mesures d'atténuation.

Continuité des activités et gestion de crise

En vertu de la NIS 2, les entités essentielles et importantes doivent veiller à la continuité de leurs opérations en cas d'incident majeur (en matière de cybersécurité). Par conséquent, les organisations doivent mettre en place un cadre de résilience complet, englobant la continuité des activités, la reprise après sinistre et la gestion de crise, afin de minimiser les perturbations.

Maîtrise des risques liés aux tiers

À mesure que la sécurité de la chaîne d'approvisionnement numérique devient de plus en plus importante, NIS 2 exige des entités essentielles et importantes qu'elles s'engagent dans la gestion des risques liés aux tiers (Third Party Risk Management - TPRM). S'assurer du TPRM dans l'ensemble de leurs chaînes de valeur numérique représentera un défi de taille pour les organisations, et la mise en place d'un cadre de résilience de la chaîne d'approvisionnement complet pourrait être justifiée.

Et vous, vous en êtes où dans la conformité de votre système d'information ?

Vous n'avez jamais entendu parler de NIS1 et de NIS 2, il est temps de vous mettre à la page ! Vous trouverez toute l'information relative à ces deux directives sur cette page.

Source : Cloud-Temple & ANSSI

Face à une attaque, la technicité d’une crise cyber peut déstabiliser les plus aguerris des communicants, confrontés à des codes, des enjeux et à un écosystème parfois très éloignés de leur cœur de métier. Tout en s’attardant sur les spécificités liées au cyber, ce guide tend à démontrer qu’une bonne communication de crise cyber reprend avant tout les réflexes et les outils communs à toute stratégie de communication de crise. « Lorsqu’une crise cyber survient, l’action des communicants passe trop souvent au second plan. C’est une erreur. Pour une gestion globale de la crise, il est indispensable que la communication travaille main dans la main avec la réponse technique. » Guillaume Poupard, directeur général de l’ANSSI À quoi sert ce guide ? En se basant sur les situations rencontrées par l’ANSSI depuis sa création en 2009 dans son rôle d’assistance auprès de victimes, et en partenariat avec l’association Cap’Com, ce guide vise à apporter des conseils et des recommandations très opérationnels afin de construire puis de déclencher le volet communication de crise lors d’une attaque informatique. Si aucune recette magique n’existe en gestion de crise, quelques réflexes et certaines notions essentielles peuvent être intégrés dès aujourd’hui par votre organisation, privée ou publique, pour être prêt à faire face à une crise cyber. Les recommandations de ce guide sont ainsi également adaptées à la gestion de situations qualifiées de « sensibles », qui précèdent généralement une éventuelle crise médiatique. À qui s’adresse-t-il ? Ce guide s’adresse à toutes les personnes occupant une fonction de communicant lors de la gestion d’une crise. En fonction de la taille et de l’organisation de l’entité, il peut s’agir d’un professionnel de la communication (DIRCOM, chargé de communication ou agence de communication), mais parfois aussi d’autres profils (cabinet, juriste, décideur), faute de communicants. Selon la situation, l’équipe opérationnelle peut même de temps en temps jouer ce rôle de communicant. Si ce guide s’adresse en premier lieu aux professionnels de la communication, qui ont un rôle clé à jouer en matière de gestion de crise, il a par ailleurs pour objectif de donner des outils et des conseils à d’autres métiers, techniques et décisionnels, pouvant intervenir aux côtés des communicants. Quels sont les prérequis ? Ce guide vise à apporter un éclairage sur les spécificités d’une communication de crise cyber, telles que perçues par l’ANSSI. Il n’a pas pour objectif de revenir en détails sur la construction d’une stratégie de communication de crise en général. Ce travail doit être idéalement réalisé et testé en amont afin de pouvoir adapter l’organisation et les outils à la singularité d’une crise cyber. Ce guide propose cependant quelques rappels des fondamentaux de la communication de crise pour familiariser l’ensemble des lecteurs aux notions et aux enjeux clés poursuivis par la fonction communication. Télécharger le guide Et d’ailleurs, qu’est-ce qu’une crise cyber ? Une crise « d’origine cyber » se définit par la déstabilisation immédiate et majeure du fonctionnement courant d’une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes, perte d’intégrité majeure, etc.) en raison d’une ou de plusieurs actions malveillantes sur ses services et outils numériques* (cyberattaques de type rançongiciel, déni de service - DoS, etc.). C’est donc un évènement à l’impact fort qui ne saurait être traité par les processus habituels et dans le cadre du fonctionnement normal de l’organisation. Par convention, on parlera par la suite de « crise cyber ». Ce guide fait partie de la collection « Gestion de crise cyber », destinée à accompagner les organisations dans la préparation et la gestion de crise cyber. Cette collection se compose de trois tomes : Organiser un exercice de gestion de crise cyber (disponible en  français  et en  anglais ), Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique (disponible en  français  et en  anglais ) et Anticiper et gérer sa communication de crise cyber (disponible en  français  et en  anglais ). Cette collection vise à apporter une expertise transverse sur l’ensemble des aspects de la gestion de crise cyber. Pour compléter votre information… Crise cyber, les clés d'une gestion opérationnelle et stratégique Les déséquilibres qu’implique une crise cyber forcent les organisations à s’adapter et à fonctionner de manière inhabituelle. Ces bouleversements soudains et à l’échéance incertaine sont une source de stress et compliquent la prise de décision, alors même que des actions de remédiation doivent être décidées et exécutées rapidement pour limiter les impacts. Anticiper et gérer sa communication de crise cyber Face à une attaque, la technicité d’une crise cyber peut déstabiliser les plus aguerris des communicants, confrontés à des codes, des enjeux et à un écosystème parfois très éloignés de leur cœur de métier. Organiser un exercice de gestion de crise cyber Co-réalisé avec le Club de la continuité d'activité (CCA), le guide « Organiser un exercice de gestion de crise cyber » est le fruit d’une expertise développée à l'ANSSI au fil des années et la combinaison d'expériences en cybersécurité et en gestion de crise. L’ANSSI a également développé un premier kit d’exercice dédié à l’entrainement des collectivités territoriales. 

Lire la suite : Anticiper et gérer sa communication de crise cyber

Lire la suite : L'ANSSI publie le Panorama de la cybermenace 2023