NIS2 : Conformité des PME/ESN françaises avec l'Open Source

La directive NIS2 étend les obligations de cybersécurité à plus de 10 000 entités en France, dont une majorité de PME et ESN. Ces structures doivent désormais se conformer à des exigences strictes en matière de gestion des risques, de notification d'incidents et de sécurité de la chaîne d'approvisionnement. Pour les PME et ESN, la mise en conformité représente un défi majeur, notamment en raison des contraintes budgétaires et des ressources limitées. Cet article explore les solutions open source pour répondre efficacement à ces obligations, tout en respectant les principes de souveraineté et de transparence.

#1. Comprendre les obligations NIS2 pour les PME et ESN

#1.1. Périmètre et seuils d'application

La directive NIS2 s'applique aux entités essentielles et importantes opérant dans 18 secteurs critiques, dont l'énergie, les transports, la santé, et les services numériques. En France, les seuils pour les PME sont fixés à :

• Entités essentielles : ≥ 250 employés ou ≥ 50 M€ de chiffre d'affaires.
• Entités importantes : ≥ 50 employés ou ≥ 10 M€ de chiffre d'affaires.

Les sous-traitants de ces entités sont également concernés par effet de cascade, même s'ils ne dépassent pas ces seuils. Cela inclut de nombreuses ESN et PME fournissant des services critiques à des organisations régulées.

#1.2. Obligations clés pour les PME et ESN

Les principales obligations incluent :

1. Analyse de risques : Identifier et évaluer les risques cybernétiques.
2. Politique de sécurité (PSSI) : Mettre en place une politique formelle.
3. Gestion des incidents : Détecter, notifier et gérer les incidents dans les délais (≤ 24 h pour l'alerte précoce, ≤ 72 h pour la notification).
4. Plan de reprise d'activité (PRA) : Assurer la continuité des opérations.
5. Sécurité de la chaîne d'approvisionnement : Évaluer les risques liés aux fournisseurs.
6. Formation des dirigeants : Sensibiliser la gouvernance aux enjeux cybernétiques.

Les sanctions pour non-conformité peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes.

#2. Défis spécifiques aux PME et ESN

#2.1. Contraintes budgétaires et ressources limitées

Les PME et ESN disposent souvent de budgets restreints pour la cybersécurité. Selon Sicollab, le coût de mise en conformité pour une PME de 50 postes peut varier entre 15 000 € et 40 000 € la première année, puis entre 5 000 € et 15 000 € par an pour le maintien. Ces coûts incluent :

• Audit initial.
• Mise en œuvre des mesures techniques.
• Formation des équipes.

#2.2. Complexité administrative

La directive NIS2 impose une charge administrative importante, notamment en matière de documentation et de reporting. Les PME et ESN doivent :

• Tenir à jour des registres d'incidents.
• Documenter les analyses de risques.
• Rédiger des politiques de sécurité.

#2.3. Manque d'expertise interne

De nombreuses PME et ESN ne disposent pas d'équipes dédiées à la cybersécurité. Cela rend la mise en conformité plus difficile, notamment pour :

• Configurer des outils de détection d'intrusions.
• Mettre en place des processus de gestion des incidents.
• Évaluer la sécurité de la chaîne d'approvisionnement.

#3. Solutions open source pour la conformité NIS2

#3.1. Gestion des incidents et détection des anomalies

#Wazuh

Wazuh est une plateforme open source de détection d'intrusions et de gestion des incidents. Elle permet :

• La surveillance en temps réel des systèmes.
• La détection des anomalies (connexions inhabituelles, transferts de données massifs).
• La corrélation des événements pour identifier les incidents.

Exemple de configuration :

<ossec_config>
  <ruleset>
    <rule id="100001" level="12">
      <if_sid>5710</if_sid>
      <description>Multiple failed login attempts</description>
    </rule>
  </ruleset>
</ossec_config>

#TheHive

TheHive est une solution open source pour la gestion des incidents de sécurité. Elle permet :

• La création et le suivi des tickets d'incidents.
• La collaboration entre les équipes.
• L'intégration avec d'autres outils (MISP, Wazuh).

#3.2. Analyse de risques et gestion des vulnérabilités

#OpenVAS

OpenVAS est un scanner de vulnérabilités open source qui permet :

• L'identification des vulnérabilités sur les systèmes et applications.
• La génération de rapports détaillés.
• L'intégration avec des outils de gestion des correctifs.

Exemple de commande :

omp -u admin -w password --xml="<get_tasks/>"

#MISP

MISP (Malware Information Sharing Platform) est une plateforme open source pour le partage d'informations sur les menaces. Elle permet :

• La collecte et l'analyse des indicateurs de compromission (IoC).
• Le partage d'informations avec d'autres organisations.
• L'intégration avec des outils de détection (Wazuh, TheHive).

#3.3. Sécurité de la chaîne d'approvisionnement

#Dependency-Track

Dependency-Track est un outil open source pour la gestion des risques liés aux dépendances logicielles. Il permet :

• L'identification des vulnérabilités dans les bibliothèques tierces.
• La surveillance des mises à jour de sécurité.
• La génération de rapports de conformité.

Exemple de configuration :

dependency-track:
  image: dependencytrack/apiserver
  ports:
    - "8080:8080"

#3.4. Authentification et gestion des accès

#Keycloak

Keycloak est une solution open source pour la gestion des identités et des accès (IAM). Elle permet :

• L'authentification unique (SSO).
• La gestion des rôles et des permissions.
• L'intégration avec des protocoles standards (OAuth2, OpenID Connect).

Exemple de configuration :

{
  "realm": "myrealm",
  "clientId": "myclient",
  "authServerUrl": "https://keycloak.votredomaine.fr/auth"
}

#4. Méthodologie de mise en conformité

#4.1. Étapes clés

1. Audit initial : Évaluer l'état actuel de la cybersécurité.
2. Analyse de risques : Identifier les risques spécifiques à l'organisation.
3. Mise en œuvre des mesures : Déployer les outils et processus nécessaires.
4. Formation des équipes : Sensibiliser les employés et les dirigeants.
5. Test et validation : Vérifier l'efficacité des mesures mises en place.
6. Maintenance continue : Mettre à jour les politiques et les outils.

#4.2. Coûts et budget

Les coûts de mise en conformité peuvent être réduits en utilisant des solutions open source. Par exemple :

• Diagnostic NIS2 : 2 500 € HT (tarif M-KIS).
• Audit gap ISO 27001 : 5 000 € à 12 000 € HT.
• SOC managé open source : 1 500 € + 800 € à 2 500 €/mois.

#5. Conclusion

La mise en conformité avec la directive NIS2 représente un défi majeur pour les PME et ESN françaises. Cependant, les solutions open source offrent une alternative efficace et économique pour répondre aux exigences de la directive. En utilisant des outils comme Wazuh, TheHive, OpenVAS, MISP, Dependency-Track et Keycloak, les organisations peuvent mettre en place des mesures de cybersécurité robustes, tout en respectant les principes de souveraineté et de transparence.