En poco más de un año, el 17 de octubre de 2024, la directiva europea NIS2, adoptado por el Consejo de la UE a finales de 2022debe transponerse a la ley hexagonal. Prolongación de la primera directiva NIS, de 2016, supone una ampliación de las organizaciones cubiertas por obligaciones de ciberseguridad, debido a su actividad considerada clave para el funcionamiento de la sociedad. El endurecimiento del calendario impulsó a Hexatrust, la asociación que reúne a los actores de la seguridad franceses y europeos, a organizar una mesa redonda sobre el tema, durante su universidad de verano, que se celebró el 19 de septiembre en París. En realidad, el impacto de la futura directiva, que distingue dos categorías de actores (entidades esenciales y entidades importantes) sujetos a obligaciones proporcionales a la criticidad de sus actividades, varía ampliamente dependiendo del nivel actual de protección desplegado por cada organización.

Así, para un industrial como Airbus, la directiva aparece como una extensión de los esfuerzos ya realizados hasta ahora, bajo la presión de textos como la primera versión del NIS o la LPM (Ley de programación militar de 2013, que identifica a los operadores de vital importancia). importancia). "La directiva no aumenta las dificultades a las que nos enfrentamos", afirma Vincent Seruch, director técnico de OT de Airbus Protect. Siempre se trata de realizar intervenciones de seguridad en sistemas muy operativos. » Para este especialista en sistemas operativos, la agenda para el próximo año sigue marcada por el trabajo sobre la convivencia de la cibernética con las operaciones, incluso en aspectos muy prácticos como la integración de las operaciones técnicas en los cronogramas de planificación. producción. “Estamos lejos de haber terminado con estos temas. Por eso es importante mantener el impulso, esta es una de las contribuciones de NIS2. »

Índice
  1. “Digitalizarlo todo significa protegerlo todo”
  2. Involucrar múltiples niveles de proveedores

“Digitalizarlo todo significa protegerlo todo”

La observación es similar en Framatome, también afectado por los textos anteriores. "La obligación de proteger los objetos físicos ya está integrada en nuestra organización", afirma Thomas Epron, vicepresidente senior de la empresa nuclear. NIS2 es una continuación de lo que ya estamos haciendo. Sin embargo, requerirá un fortalecimiento de nuestras prácticas, lo que nos obligará a examinar detenidamente nuestros sistemas de automatización, que tendremos que parchear sin interrupción del servicio. » Una gimnasia para la que hoy en día pocos industriales están realmente preparados y que requiere la implementación de procesos específicos, como las pruebas de no regresión. “Porque, sobre todo, hay que evitar que la máquina se pare o cometa errores”, continúa Thomas Epron. Además, para este último se debe tener en cuenta la extensión del perímetro a proteger.

“Desde hace varios años, la orden de la dirección general es digitalizarlo todo. A su vez, esto significa que hay que proteger todo, incluida la válvula más pequeña que incorpora un controlador electrónico. Ahora encontramos códigos informáticos en todas partes y, por tanto, puntos débiles en todas partes. » Para Thomas Epron, es esta creciente digitalización la que ha empujado a Framatome, especializada principalmente en el mantenimiento de instalaciones nucleares, a “lanzarse de cabeza” en el tema. Sin olvidar pensar en la dimensión relativa al control del código desplegado en los sistemas operativos y, por tanto, en las nociones de soberanía sobre este código. Una expectativa cada vez más frecuente en las grandes empresas, indica Luc d'Urso, director general de la editorial de herramientas de protección de datos Atempo. "Hemos decidido publicar todos nuestros códigos en Francia, lo que tiene un coste importante, ya que el coste de un desarrollador allí es de 100.000 euros al año, frente a los 20.000 en la India", afirma. .

Involucrar múltiples niveles de proveedores

En un sector completamente diferente, Patrick Guyonneau, director de seguridad del grupo Orange, confirma esta ampliación del perímetro a proteger y la creciente complejidad del ejercicio: “con las API o la virtualización de las funciones de red, los sistemas son cada vez más abiertos. La pregunta no es si un ataque tendrá éxito, sino cuándo. Esto nos empuja a trabajar en nuestras funciones de gestión de crisis y a pensar interorganizativamente, es decir, en nuestras relaciones con los Estados, los subcontratistas u otros operadores. » Restricciones que vuelven a poner en el centro del juego el PCA/PRA y los ejercicios destinados a validar su eficacia.

Si para Airbus o Framatome NIS2 parece ser una prolongación de los esfuerzos ya realizados, “para otros fabricantes, ¡todo debe estar hecho en el plazo de un año! », desliza Vincent Seruch. De facto, NIS2 se extiende a 35 sectores de actividad (incluidas las administraciones públicas) y a actores de todos los tamaños, mientras que la primera versión sólo identificaba 6 sectores de la economía afectados. "Casi todos nuestros clientes están sujetos a ello", observa Jérôme Lecat, director general de Scality, proveedor de software de almacenamiento de datos. Y tendrá que cumplir con obligaciones en materia de gestión de incidencias, comunicación de las mismas, pruebas y auditorías de seguridad o incluso seguridad de su cadena de suministro. Un último elemento acogido bastante favorablemente por las organizaciones ya afectadas por los textos anteriores, es la extensión rebote que aprovecha NIS2, que permite involucrar a sus proveedores en varios niveles. Una garantía interesante sobre el papel, en un momento en el que muchos ataques tienen como objetivo a los subcontratistas para entrar en empresas altamente protegidas. Muy recientemente, Airbus fue víctima de un robo de datos, procedente de La infección de una estación de trabajo de un empleado de la aerolínea turca Turkish Airlines. por malware.

Si NIS2 pone en primer plano el tema cibernético, no debemos perderlo de vista en su totalidad, advierte el director de Protección y Seguridad del Estado, Nicolás de Maistre, quien pide a las empresas que inicien una reflexión global sobre su seguridad. “NIS2 y otra directiva denominada REC (para la resiliencia de las entidades críticas, nota del editor) se negociaron al mismo tiempo, durante la presidencia francesa de la UE, con el deseo de entrelazar los temas de seguridad física y cibernética. » “Los dos temas ya no pueden separarse”, confirma Patrick Guyonneau, de Orange. ¡No tiene sentido cifrar los datos si los empleados mantienen conversaciones abiertas en el bar de enfrente! La convergencia de los dos temas nos ayuda a ser más coherentes con los empleados. » Una coherencia que se produce a costa de una avalancha de textos reglamentarios: NIS2 y REC deben transponerse al derecho francés al mismo tiempo.