L'édito de Dominique : Un aperçu de la norme SRI2 "Sécurité des réseaux et de l'information" (NIS2)

Des améliorations importantes ont été apportées dans ce domaine pour les infrastructures critiques de l'Union européenne. La SRI a été modifiée le 14.12.22 - les entreprises concernées par la SRI2 sont réparties en 2 domaines (SECTEURS HAUTEMENT CRITIQUES et AUTRES SECTEURS CRITIQUES), soit 18 secteurs différents, qui sont à leur tour répertoriés en sous-secteurs. Vous trouverez un aperçu et une description en cliquant sur ce lien à partir de la page 64.

1.    SECTEURS HAUTEMENT CRITIQUES:
(1)    Energie (Electricité, Réseaux de chaleur et de froid, Pétrole, Gaz, Hydrogène)
(2)    Transports (Transports aériens, ferroviaires, par eau, transports routiers)
(3)    Secteur bancaire
(4)    Infrastructures des marchés financiers
(5)    Santé
(6)    Eau potable
(7)    Eaux usées
(8)    Infrastructure numérique
(9)    Gestion des services TIC (interentreprises)
(10)    Administration publique
(11)    Espace

2.    SECTEURS HAUTEMENT CRITIQUES:
(12)    Services postaux et d’expédition
(13)    Gestion des déchets
(14)    Fabrication, production et distribution de produits chimiques
(15)    Production, transformation et distribution des denrées alimentaires
(16)    Fabrication (de dispositifs médicaux, d’équipeent électriques…)
(17)    Fournisseurs numériques
(18)    Recherche

La Suisse n'est certes pas liée à la directive SRI de l'UE, mais il va de soi que la cybersécurité des infrastructures critiques y est également une priorité. C'est pourquoi la nouvelle loi fédérale sur la sécurité de l'information au sein de la Confédération (loi sur la sécurité de l'information, LSI) a été adoptée en décembre 2020.

Avec la stratégie nationale PIC 2018-2022, le Conseil fédéral a défini les domaines suivants comme faisant partie des infrastructures critiques, en s'inspirant de la SRI1. Il faut s'attendre à ce que les prescriptions de la SRI2 soient également reprises en Suisse dans un avenir proche.

Une mise en œuvre nationale est attendue dans les 17 mois à venir. Il est toutefois recommandé d'attirer dès à présent l'attention de vos donneur d'ordre sur la SRI2 et de déterminer s'il a déjà été classé comme installation critique ou s'il peut l'être sur la base des nouveaux secteurs.

En ce qui concerne le thème de la responsabilité, les organes de direction des exploitants devraient être tenus personnellement responsables.

Mesures de gestion des risques dans le domaine de la cybersécurité

Pour tenir compte des points critiques de SRI2 dans l'exemple de l'installation de sécurité vidéo et pour exploiter un système à l'état de l'art, les tâches suivantes doivent être accomplies.

• Concepts relatifs à l'analyse des risques et à la sécurité des systèmes d'information
• Maintien de l'activité, comme la gestion des sauvegardes et la récupération après un sinistre
• Sécurité de la chaîne d'approvisionnement
• Mesures de sécurité lors de l'acquisition, du développement et de la maintenance des systèmes de réseau et d'information, y compris la gestion et la divulgation des vulnérabilités
• Concepts et procédures d'évaluation de l'efficacité des mesures de gestion des risques dans le domaine de la cybersécurité
• Procédures et formations de base en matière de cyberhygiène et de cybersécurité
• Concepts et procédures pour l'utilisation de la cryptographie et, le cas échéant, du cryptage

Cette liste est un extrait et peut être consultée dans son intégralité à l'article 21 de la directive. 

Lors d'appels d'offres, notamment dans le secteur public, il n'est aujourd’hui pas usuel de formuler des exigences pour des caméras IP selon des critères de cybersécurité et de sécurité de l'information. Les meilleures pratiques suivantes vous permettent toutefois de séparer le bon grain de l'ivraie :

• L'unité spécifiée doit être développée dans son intégralité par le fabricant et fabriquée pour son usage exclusif.
• L'unité prend en charge l'utilisation de HTTPS et de SSL/TLS et offre la possibilité d'utiliser des certificats signés pour le cryptage et l'authentification et la communication sécurisées, autant pour l'administration que pour le flux vidéo.
• L'unité doit fournir une gestion centralisée des certificats qui peut télécharger des certificats d’autorités de certificats préinstallés ainsi que des certificats supplémentaires. Ces derniers doivent être signés par une entreprise offrant des services de séquestre numérique.
• L'unité doit prendre en charge l'authentification IEEE 802.1X.
• L'unité est entièrement prise en charge par une API (interface de programmation d'application) ouverte et publiée, qui fournit les informations nécessaires à l'intégration de la fonctionnalité dans des applications tierces.
• Tous les appareils nécessitant une connexion par mot de passe doivent être configurés avec un mot de passe spécifique à l'utilisateur/au site. Aucun mot de passe standard ne doit être utilisé pour les systèmes/produits.
• Afin de prendre en charge le processus de cybersécurité ä long terme, seul le matériel de caméra et d'encodeur du fabricant d'origine avec le micrologiciel d'origine est autorisé. Par conséquent, toutes les informations nécessaires doivent être fournies par le fabricant d'origine. La transparence sur l'ensemble de la chaîne d'approvisionnement, du fabricant du dispositif à l'installateur, est essentielle pour ce processus.
• Le fabricant du ou des appareils doit proposer ce que l'on appelle un "guide de durcissement" (Hardening guide), qui décrit en détail comment un produit doit être géré et installé afin de minimiser le risque de piratage ou d'abus. Ce guide de durcissement doit proposer au moins 3 niveaux différents de mesures de sécurité recommandées, en fonction du niveau de risque de l'utilisateur final, du secteur d'activité ou de facteurs similaires.
• Le fabricant doit démontrer qu'il dispose d'une politique de vulnérabilité éprouvée, comprenant un processus prédéfini et éprouvé pour gérer les vulnérabilités de manière transparente.
• Afin de démontrer une communication transparente en ce qui concerne les vulnérabilités potentielles, le fabricant met à disposition un service appelé Security Advisory Notification Service, auquel l'utilisateur final peut s'inscrire pour recevoir des informations sur les vulnérabilités identifiées directement du fabricant.
• Le fabricant du ou des dispositifs doit proposer un outil logiciel permettant une gestion efficace en termes de cybersécurité des produits à utiliser, en incluant les fonctionnalités suivantes dans l'outil :

- Gestion des utilisateurs et des mots de passe
- Réglage du mot de passe de l'appareil pour plusieurs appareils à la fois
- Mise à disposition de certificats HTTPS et 802.1x
- Renouveler et gérer les certificats
- Copier la configuration entre les appareils
- Mise à jour du micrologiciel
- Mise(s) à jour de la caméra avec le firmware LTS disponible

• Le fabricant de caméras doit proposer une fonction pour le firmware LTS (Long Term Support) qui garantit que les produits sont entretenus et soutenus par des mises à jour du firmware et des correctifs qui se concentrent sur les corrections de bugs et les correctifs de vulnérabilité.
• Le démarrage sécurisé et les micrologiciels signés sont obligatoires.

Axis Communications a une approche stratégique et à long terme de la cybersécurité. En tant que fabricant européen, nos produits et processus d'entreprise sont déjà conformes à la SRI (depuis 2016) et avec SRI2, ce sera aussi votre choix le plus sûr.

Lisez des informations précieuses sur les infrastructures critiques et un environnement industriel dans l'article du blog d'Andrea Monteleone.

Ne perdez pas de vue la cybersécurité et la sécurité de l'information. Je vous souhaite une planification durable de solutions intelligentes sur mesure.

Bien à vous, Dominique Morel

Architect & Engineering Manager, Suiesse & Autriche

Courriel : Dominique.Morel@axis.com | Téléphone : +41 79 780 72 37