Sénat - CS Cyber - ANSSI / NIS2 - 17/12/2024

Olivier Cadic (Sénateur)
20 Dec 202411:32

Summary

TLDRCette audition porte sur la transposition de la directive européenne NIS2, visant à renforcer la cybersécurité des infrastructures critiques en France. Monsieur Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), présente les enjeux liés à la résilience et à la cybersécurité, en réponse aux questions soulevées par des représentants d'entreprises. Le débat aborde la certification ISO 27001, les audits de sécurité, ainsi que les implications pour les entreprises et les collectivités. La discussion met en lumière la nécessité de concilier exigences de sécurité et faisabilité pour les petites et moyennes entreprises (PME).

Takeaways

  • 😀 La loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité est en discussion, avec un focus sur la transposition de la directive NIS2 au niveau français.
  • 😀 La première prise de parole publique de l'administration française sur la directive NIS2 a été faite par Monsieur Vincent Strubel, directeur général de l'ANSSI.
  • 😀 L'audition de la secrétaire d'État, Clara Chapaz, a été reportée, ce qui a retardé certains travaux prévus.
  • 😀 Les rapporteurs ont rencontré la Commission européenne et les autorités belges à Bruxelles pour échanger sur la transposition de NIS2.
  • 😀 L'ANSSI a présenté des solutions et des approches pour renforcer la cybersécurité des entreprises et des collectivités en lien avec la directive NIS2.
  • 😀 Une question soulevée par la CPME concerne le coût des contrôles imposés aux entreprises, notamment en ce qui concerne l'article 14 qui mentionne l'URSSAF comme un exemple de contrôle payé par les entreprises.
  • 😀 La question de l'interdiction d'exercer des fonctions de dirigeant en cas de non-conformité à certaines règles de cybersécurité a été jugée disproportionnée par certaines entreprises.
  • 😀 Le label ISO 27001 a été mentionné comme une certification potentielle pour les entreprises, avec la possibilité pour les entreprises d'être certifiées en suivant cette norme.
  • 😀 Les autorités belges offrent plusieurs méthodes pour auditer la cybersécurité des entreprises, y compris par des audits internes ou des prestataires privés certifiés.
  • 😀 L'ANSSI a indiqué qu'elle ne souhaitait pas imposer l'utilisation exclusive de prestataires certifiés par l'ANSSI pour réaliser des audits, mais plutôt valoriser l'utilisation de prestataires qualifiés.
  • 😀 Un équilibre entre l'expertise des prestataires et la protection des petites entreprises a été mis en avant, afin d'éviter des coûts excessifs liés aux analyses de risques, tout en assurant un niveau de sécurité approprié.

Q & A

  • Quelles sont les principales préoccupations des entreprises soulevées lors de l'audition ?

    -Les entreprises, notamment représentées par la CPME, ont exprimé des préoccupations concernant le coût des contrôles de cybersécurité, en particulier le fait que l'article 14 pourrait faire reposer ce coût sur elles, contrairement à d'autres types de contrôles administratifs. Elles ont également remis en question l'interdiction d'exercer certaines fonctions de dirigeant pour les entreprises non conformes, considérant cette mesure comme disproportionnée.

  • Pourquoi le Directeur général de l'ANSSI mentionne-t-il la norme ISO 27001 ?

    -Le Directeur général mentionne ISO 27001 car cette norme est utilisée par les autorités belges comme une alternative à la certification nationale. Il propose d'envisager une reconnaissance croisée de cette certification, à condition que le certificateur soit reconnu par l'ANSSI. Cela permettrait aux entreprises de se certifier à un niveau de cybersécurité compatible avec les exigences de la directive NIS 2.

  • Quels sont les avantages et inconvénients de la norme ISO 27001 selon le Directeur général ?

    -Le Directeur général considère la norme ISO 27001 comme un bon cadre de cybersécurité, mais note qu'elle manque certains éléments, notamment en matière de gouvernance, qui sont comblés par les autorités belges. Il souligne que la norme nécessite une analyse de risque spécifique de la part de l'entité certifiée, ce qui peut être coûteux et difficile à réaliser pour les petites et moyennes entreprises (PME).

  • Qu'est-ce que la méthode d'audit belge mentionnée dans le transcript ?

    -La méthode belge inclut la possibilité pour des auditeurs de la cyber-sécurité belge de venir auditer directement les entreprises, avec la possibilité de facturer ce service. Le Directeur général indique que cette approche pourrait être envisagée en France, mais que l'audit devrait être réalisé par des prestataires privés plutôt que par les équipes gouvernementales.

  • Quel est le point de vue du Directeur général sur l'usage de prestataires certifiés pour les audits ?

    -Le Directeur général est favorable à l'utilisation de prestataires certifiés, notamment ceux qualifiés par l'ANSSI, mais souligne que l'ANSSI ne compte pas rendre obligatoire l'utilisation de ces prestataires pour tous les audits. Il préfère encourager leur recours sans en imposer l'usage, tout en valorisant la diversité des prestataires disponibles, y compris ceux labellisés par d'autres autorités comme le GP Cyber.

  • Qu'est-ce que le Directeur général suggère concernant l'audit des PME ?

    -Le Directeur général suggère que les PME ne soient pas obligées de réaliser des analyses de risques complexes par elles-mêmes. Il propose plutôt une approche sectorielle où des analyses de risques adaptées sont développées à l'échelle de chaque secteur d'activité par l'ANSSI, pour alléger la charge des PME.

  • Quel est le rôle de l'ANSSI dans l'audit et la certification des entreprises selon le transcript ?

    -L'ANSSI joue un rôle clé dans la définition des normes et des exigences pour la cybersécurité des entreprises, notamment en certifiant des prestataires et en fournissant des cadres d'audit. L'agence cherche à faciliter la mise en conformité des entreprises, particulièrement celles jugées essentielles pour la sécurité nationale, sans imposer des exigences trop strictes aux PME.

  • Pourquoi le Directeur général mentionne-t-il la 'cyber malveillance' et le GP Cyber ?

    -Le Directeur général fait référence à 'cyber malveillance' et au GP Cyber pour souligner l'importance des prestataires spécialisés dans la cybersécurité qui peuvent apporter une expertise à un coût inférieur à celui des prestataires certifiés par l'ANSSI. Ces prestataires jouent un rôle clé dans la cybersécurité des PME, en leur fournissant des services adaptés à leurs besoins sans imposer des exigences trop lourdes.

  • Qu'est-ce que la directive NIS 2 et quel est son impact sur la France ?

    -La directive NIS 2 est une législation européenne visant à améliorer la cybersécurité dans l'Union Européenne en imposant des exigences strictes aux entreprises opérant dans des secteurs sensibles, comme l'énergie, les transports, et les infrastructures critiques. En France, elle sera transposée dans le droit national, imposant des règles plus rigoureuses pour la cybersécurité des entreprises et des administrations.

  • Quelles sont les propositions du Directeur général concernant la coopération transnationale dans la cybersécurité ?

    -Le Directeur général évoque la coopération avec les autorités belges et la Commission européenne, notant que la France et la Belgique échangent des bonnes pratiques sur la cybersécurité et la mise en œuvre de la directive NIS 2. Il propose d'explorer des possibilités de reconnaissance croisée des certifications, notamment entre la France et la Belgique, pour harmoniser les efforts de cybersécurité au niveau européen.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

La directive NIS2 - Quel est l'impact sur mon entreprise ?

Télétravail : "Les gens n'ont pas conscience de ce que ça implique en termes de sécurité"

هل طرح موضوع ترحيل المعارضين المقيمين بفرنسا بين مدير الأمن الخارجي الفرنسي مع نظيره الجزائري ؟`

GDPR / RGPD explained emoji

Témoignage d’un expert en cybersécurité

🔐C'est quoi la CyberSécurité | 👮Les Métiers de la CyberSécurité

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CybersécuritéInfrastructures critiquesNIS2Directive européenneANSSIISO 27001Audit sécuritéPMECertificationsRéglementationFrance
Do you need a summary in English?