Pourquoi NIS 1 n’a pas produit grand-chose, et pourquoi NIS 2 ne sera pas la version ultime

C’est ainsi qu’est né l’agrément HDS. Je dis bien « agrément » et pas « certification », la nuance est de taille. Un agrément est déclaratif, s’obtient sur la base du remplissage d’un dossier plus ou moins épais et les vérifications (quand il y en a) sont effectuées par des gens qui ne connaissent pas forcément le domaine ni les technologies mises en œuvre, mais surtout effectuent ces vérifications en mode statique : la case cochée est OUI/NON, le formulaire est rempli selon le mode OUI/NON, emballez, c’est pesé.

Il n’était pas difficile d’obtenir l’agrément : certaines SSII avaient même développé, à l’époque, des toolkits documentaires assez complets permettant à quasi n’importe quelle structure de le recevoir. Il se dit même que certaines entreprises ont été agréées HDS sans jamais avoir vu elles-mêmes les documents en question… Mais c’était il y a longtemps, il y a prescription.

Les pouvoirs publics ont dû flairer l’embrouille et ont décidé non seulement de passer à une certification, mais en plus de l’appuyer sur des normes ISO éprouvées : ISO 20000, ISO 27001, etc. Et là, c’est une autre paire de manches car une certification ne se contente pas de déclaratif : il faut dire ce que l’on va faire (PLAN), le réaliser (DO), mais surtout tout vérifier par des processus multiples (CHECK) dont certains sont eux-mêmes contrôlés (CHECK du CHECK) et les non-conformités doivent être tracées et corrigées (ACT). C’est ce que l’on appelle un système de management (SMSI), c’est-à-dire un modèle dynamique et non pas statique, et si toutes les industries quittent le mode statique pour aller vers le dynamique, ce n’est pas pour rien : seul le mode dynamique est efficace, le mode statique n’étant que de la poudre aux yeux la plupart du temps.

Malheureusement, bis repetita avec la directive NIS. La version 1 listait un certain nombre de mesures dont on se demande bien pourquoi avoir réinventé ce que la 27001 gère depuis des décennies (et donc le fait forcément mieux), mais en plus NIS 1 comme NIS 2 sont statiques et pas dynamiques : ce ne sont pas des systèmes de management. Et par-dessus le marché, concernant NIS 1, qui a été contrôlé ? Et par qui du reste ? Avec quels moyens, à la charge financière de qui ? Si c’est pour se retrouver avec les mêmes consultants jeunots qui ne savent pas ce qu’est la sauvegarde centralisée, la déduplication ou un SIEM (authentique, c’est ce que l’on a eu pour l’agrément HDS, forcément quand on les recrute à la sortie de l’école sans expérience, ça vole pas haut), inutile de dire que la plupart des boîtes se sont occupées de NIS 1 en ne faisant rien.

Certes, la 27001 n’est pas exempte de défauts : elle est auditée par des auditeurs de perception « variable », le périmètre peut varier, etc. Mais il existe pourtant des solutions, la plupart du temps sectorielles. Dans la santé, entre les réseaux de RSSI, les associations, les Grades, les CERT régionaux, les commissaires aux comptes (pour ceux qui sont certifiés, cela fait tout de même pas mal de monde), on n’est pas en manque de structures qui pourraient développer des compétences et une offre de services à des coûts ridiculement faibles pour une efficacité optimale.

Le Check reste, jusqu’à preuve du contraire, le meilleur chemin vers un début de cyber-rédemption. Pour exemple, le discours officiel de l’Éducation Nationale a été pendant des décennies que notre système éducatif faisait partie des meilleurs au monde… jusqu’au jour où la France a commencé à faire faire à ses élèves le test Pisa[1] (le Check du niveau global) Et là, ô surprise ! on dégringole continuellement, avec une avant-dernière place en mathématiques et une catastrophe en langues vivantes. C’est mieux de le savoir que de continuer à se bercer de douces illusions. Bon, par contre, après il faut prendre des mesures, ce qui est une autre histoire : si le Louvre avait tenu compte des audits techniques qui ont pointé la faiblesse structurelle de la sécurité physique, les bijoux de l’impératrice y seraient toujours.

En substance, sans Check (et surtout sans Act), il y a juste un Plan et une promesse de Do. NIS 2 est une étape importante parce qu’elle élargit l’assiette des entreprises concernées, et parce que le fournisseur d’équipement biomédical ou d’appel malade ne peut plus prendre la cyber par-dessus la jambe (et Belzébuth sait à quelle bande de Pieds nickelés le RSSI a affaire tous les jours parmi la myriade de fournisseurs qui branchent des bazars sur la prise RJ45 au bas du mur). Cette étape est nécessaire, mais pas suffisante.

Avec un peu de chance, NIS 3 sera un SMSI. Et NIS 4 aura disparu quand tout l’écosystème aura compris que la loi peut tenir en une ligne : faites-vous certifier 27001. Et que les décrets et arrêtés qui suivent doivent se focaliser sur le périmètre de ladite certification (sujet éminemment complexe qui nécessiterait plusieurs articles).

Pour les décideurs en revanche, attention : ce mode statique ne va pas perdurer longtemps. Anticiper NIS 3 et NIS 4, c’est s’engager dans une démarche structurée qui reste un gage de survie dans un mode cyber-juridique hostile, et une fois que l’on a épuisé le catalogue des bonnes pratiques (que l’on pense tous appliquer) l’étape d’après reste la norme certifiante.