Directive NIS, la fin de l’innocence

Le découpage territorial veut que, dans le monde de la santé, certains CHU – établis dans des zones de défense – sont OIV, alors que le CHU situé 100 kilomètres plus loin, parfois de taille supérieure, ne l’est pas. La directive NIS pallie entre autres ce trou dans la raquette en adressant une brochette d’entreprises publiques et privées qui officient dans des domaines pour lesquels une perturbation impacterait plus ou moins le fonctionnement du pays : énergie, transport, santé, etc. La liste des entreprises émargeant au statut d’OSE sera connue au plus tard en novembre prochain, mais il est fort probable que les établissements de santé disposant d’un service d’urgences médicales seront de la partie.

Dans les grandes lignes, il faut retenir les points suivants :

• Obligation de désignation d’un responsable interne ; le sempiternel débat pour savoir si cette fonction peut ou non être cumulée avec celle de RSSI, de DPO, etc. va être à nouveau réactivé ;
• Obligation de tenir à jour une documentation sur les réseaux et les SI ; on ne sait pas si tout le SI ou uniquement les sous-systèmes sensibles sont concernés, si à la fois les volets technique et applicatif sont impliqués, quel est le niveau de détails requis, etc. ; cette documentation doit être révisée et transmise tous les ans à l’Anssi ;
• Obligation de définir une gouvernance interne pour la prise en compte de la directive : instances de pilotage, réunions, revues régulières, rapports, etc. ;
• Obligation de mettre en œuvre des dispositions techniques non encore listées ; on pense facilement à la liste des 42 mesures d’hygiène de l’Anssi ;
• Obligation de mettre en place un dispositif de gestion de crise ;
• Obligation de déclarer les incidents de sécurité ; avec l’instruction n° 309 et le RGPD, cela ne fera jamais que la quatrième fois ;
• Obligation d’un audit annuel, réalisé soit par l’Anssi elle-même, soit par un prestataire agréé Anssi, et ce aux frais exclusifs de l’OSE ;
• Obligation d’un audit post-incident.

La directive comprend en outre deux grands chapitres : celui qui concerne les OSE, et celui qui concerne les fournisseurs de services numériques (FSN). Grosso modo, ce sont les mêmes spécifications, mais il est intéressant de noter que les établissements HDS sont à la fois OSE et FSN : la question de savoir si c’est fromage ET dessert va alimenter les dîners en ville.

La directive NIS appelle plusieurs réflexions ou remarques. Tout d’abord et pour ceux qui ne l’auraient pas encore réalisé, c’est la fin de la récré pour tous les futurs OSE. La plupart des GHT vont comporter au moins un établissement OSE – voire FSN – et, en dehors de la question récurrente de la responsabilité de l’établissement support, cela commence à faire beaucoup, après le RGPD, et l’avalanche de textes depuis 2016. En même temps, quel citoyen trouverait anormal qu’un CHU ou un établissement traitant des urgences médicales doive montrer patte blanche dans son SI ?

Ensuite, le décret laisse des zones non précisées, comme la liste des SI soumis à cartographie et déclaration, la profondeur et la durée des audits annuels ou la position du barycentre dans les audits entre le volet organisationnel et le volet technique. Bref, pour l’instant, les RSSI sont un peu dans l’expectative.

Enfin, certaines des mesures semblent faire double emploi avec des obligations réglementaires ou normatives antérieures : la gouvernance (imposée par la certification HAS depuis au moins dix ans), l’obligation de signalement des incidents ou la remontée d’indicateurs. Si en tant que citoyen je ne peux qu’approuver cette directive, en tant que RSSI, je trouve qu’il y a des marges de progrès en termes de factorisation… à moins qu’il ne faille interpréter la directive comme une déclinaison d’un autre texte déjà mis à exécution, et donc que le travail est déjà fait.

Pour ce qui concerne la distinction établie entre les obligations qui concernent les OSE et celles qui s’adressent aux FSN, on reste par contre dubitatif : si les obligations sont les mêmes, pourquoi dupliquer le texte, alors qu’il aurait suffi de déclarer une liste un peu plus longue d’OSE ? 

En tout état de cause, la directive va être lourde à gérer. Paradoxalement, ce qui semble le plus inquiétant, c’est l’obligation de cartographie des SI : on est clairement mauvais sur ce sujet. L’autre point de vigilance concerne l’éventuelle application des 42 mesures d’hygiène – si c’est l’option qui est retenue par l’Anssi – où là non plus on n’est pas bon. Il reste à espérer que le démarrage soit « léger et compréhensif » : il est toujours plus facile d’augmenter les exigences une fois que l’on a mis le pied dans la porte que de partir bille en tête sur la lettre au Père Noël.