Qui devrait lire ceci: les fournisseurs de cloud, les opérateurs de centres de données, les fournisseurs de services DNS, les fournisseurs de CDN, les fournisseurs de services gérés, leurs équipes de sécurité et les équipes d’approvisionnement évaluant ces fournisseurs.
L’infrastructure numérique est l’épine dorsale de l’économie européenne. Services cloud, centres de données, DNS, réseaux de diffusion de contenu (CDN): ces services sont intégrés dans les opérations de presque toutes les organisations. Si l’un d’eux échoue ou est compromis, des impacts en cascade se répercutent sur tout le continent.
NIS2 le reconnaît. L’infrastructure numérique figure à l’annexe II car elle est essentielle au champ d’application. En outre, l’article 21, paragraphe 5, impose à la Commission de publier des actes d’exécution spécifiques à l’intention des fournisseurs d’infrastructures numériques, établissant des exigences techniques détaillées.
Ce secteur est le plus harmonisé dans le cadre du NIS2. Les règles sont plus spécifiques que pour les autres secteurs et elles s’appliquent de manière uniforme dans tous les États membres.
Ce guide explique l’application de NIS2 à l’infrastructure numérique: qui est concerné, quelles sont les exigences spécifiques et à quoi ressemble la mise en œuvre.
Champ d’application de l’infrastructure numérique: qui participe?
L’annexe II couvre neuf types de fournisseurs d’infrastructures numériques:
Fournisseurs de services de cloud computing
Le terme «fournisseur de services de cloud computing» couvre toute organisation fournissant des services cloud (infrastructure en tant que service, plateforme en tant que service, logiciel en tant que service). Cela inclut:
Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform et d’autres fournisseurs de cloud public hyperscale.
Fournisseurs de cloud privé proposant des services aux entreprises.
Fournisseurs de cloud hybride.
Plateformes de gestion multicloud.
Toute organisation à grande échelle fournissant des services cloud dans l’UE est concernée.
Prestataires de services de centres de données
Les opérateurs de centres de données qui fournissent des services d’hébergement, de colocation ou de calcul. Cela inclut:
Opérateurs de centres de données hyperscale.
Fournisseurs de centres de données régionaux et locaux.
Les fournisseurs d’hébergement gérés.
Le seuil de taille s’applique: si vous êtes un opérateur de centre de données de taille moyenne ou grande (plus de 250 employés ou plus de 50 millions d’euros de chiffre d’affaires), vous êtes concerné.
Fournisseurs de services DNS
Prestataires de services DNS (Domain Name System): organisations fournissant des services DNS faisant autorité, des services de résolution récursive DNS ou des services de filtrage DNS. Cela inclut:
Résolveurs DNS publics (par exemple, Cloudflare 1.1.1.1, Google 8.8.8.8).
Les fournisseurs de services DNS d’entreprise.
Fournisseurs de sécurité DNS proposant un filtrage basé sur le DNS ou des informations sur les menaces.
Registres de domaines de premier niveau (TLD)
Les organisations exploitant des registres TLD (par exemple, le registre des domaines .com, .eu, .de). Ils sont essentiels au fonctionnement d’Internet.
Fournisseurs de réseaux de diffusion de contenu (CDN)
Des CDN qui mettent en cache et distribuent du contenu dans le monde entier. Des fournisseurs tels qu’Akamai, Cloudflare, Fastly et d’autres sont concernés.
Fournisseurs de services gérés
Les organisations fournissant des services informatiques gérés, des services de sécurité gérés ou un support géré à d’autres organisations. Cela inclut:
Les fournisseurs de services informatiques gérés (MSP) qui assurent la gestion des terminaux, la gestion des serveurs, etc.
Les fournisseurs de services de sécurité gérés (MSSP) assurent la surveillance de la sécurité, la réponse aux incidents, etc.
Fournisseurs de sauvegarde gérés.
Les fournisseurs de services de gestion du cloud.
Fournisseurs de places de marché en ligne
Les organisations exploitant des places de marché en ligne sur lesquelles des vendeurs tiers proposent des biens ou des services. Cela inclut:
Amazon Marketplace, eBay, Alibaba (et plateformes similaires).
Marketplaces spécifiques à la verticale.
Fournisseurs de moteurs de recherche en ligne
Les moteurs de recherche, y compris Google, Bing et d’autres services de recherche.
Plateformes de services de réseaux sociaux
Les plateformes de réseaux sociaux telles que Facebook, Instagram, TikTok, LinkedIn et des services similaires fournissant des réseaux sociaux.
Prestataires de services de confiance
Les prestataires de services de confiance au sens du règlement eIDAS (UE 910/2014), notamment:
Autorités de certification (CA) délivrant des certificats numériques.
Prestataires de services d’horodatage électronique.
Fournisseurs de cachets électroniques.
fournisseurs de signature électronique qualifiés.
Taille et portée
Pour les fournisseurs de l’annexe II, le seuil de taille est de plus de 250 employés ou un chiffre d’affaires de plus de 50 millions d’euros. Toutefois, pour les grandes entités visées à l’annexe II (fournisseurs de cloud hyperscale, principaux moteurs de recherche, grandes plateformes sociales), l’article 3, paragraphe 1, point c), précise les seuils de chiffre d’affaires au-delà desquels ils sont automatiquement essentiels. Ces seuils sont élevés (généralement des milliards d’euros) et ne s’appliquent qu’aux plus grands fournisseurs.
La plupart des fournisseurs de cloud, de CDN ou de services gérés du marché intermédiaire seront des entités importantes, à moins qu’ils ne soient très grands.
Actes d’exécution: les exigences techniques détaillées
L’article 21, paragraphe 5, est essentiel pour l’infrastructure numérique:
«La Commission adopte des actes d’exécution fixant les exigences techniques et méthodologiques des mesures visées au paragraphe 2 en ce qui concerne les fournisseurs de services DNS, les registres de noms de domaine, les fournisseurs de services de cloud computing, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance.»
Le 17 octobre 2024 au plus tard, la Commission devait publier des actes d’exécution précisant exactement ce que chaque catégorie d’infrastructure numérique devait faire pour se conformer aux dix mesures prévues à l’article 21, paragraphe 2.
Ces actes d’exécution sont essentiels car ils traduisent les dix mesures abstraites en exigences sectorielles concrètes.
Par exemple:
Pour les fournisseurs de cloud, les lois d’exécution spécifient les exigences en matière de sauvegarde et de reprise après sinistre (nombre de sauvegardes, lieu de stockage, objectifs de délai de restauration).
Pour les fournisseurs de DNS, ils spécifient les exigences d’atténuation des attaques DDoS, la redondance, la surveillance et les délais de réponse aux incidents.
Pour les CDN, ils spécifient les objectifs de disponibilité, la capacité de réponse aux incidents et la sécurité de la chaîne d’approvisionnement pour les fournisseurs en amont.
Si vous êtes un fournisseur d’infrastructures numériques, vous devez lire les actes d’exécution de votre catégorie. Elles sont contraignantes et remplacent toute interprétation générique de l’article 21, paragraphe 2.
Au moment de la rédaction du présent rapport, des actes d’exécution ont été publiés pour plusieurs catégories. Consultez le site Web de la Commission européenne et votre régulateur national pour connaître les derniers actes d’exécution qui vous concernent.
Registre et supervision de l’ENISA
L’Agence de l’Union européenne pour la cybersécurité (ENISA) tient un registre des entités d’infrastructure numérique essentielles. Ce registre a plusieurs objectifs:
Transparence: l’ENISA publie une liste des entités d’infrastructure numérique essentielles afin que le public et les régulateurs sachent qui est soumis à des exigences de sécurité renforcées.
Supervision: L’ENISA fournit des évaluations techniques indépendantes et fournit des orientations.
Coopération: l’ENISA assure la coordination avec les régulateurs nationaux et le groupe de coopération sur la sécurité des infrastructures numériques.
Les fournisseurs d’infrastructures numériques doivent s’attendre à être enregistrés par l’ENISA s’ils sont considérés comme essentiels. L’enregistrement signifie que l’ENISA et les régulateurs disposent d’informations détaillées sur vos activités.
Exigences relatives à la juridiction et aux services
Un aspect essentiel de la réglementation des infrastructures numériques est la classification basée sur les services. Votre classement ne dépend pas de l’endroit où vous avez votre siège social, mais des services que vous offrez dans l’UE.
Exemple: un fournisseur de cloud basé aux États-Unis ayant d’importants clients européens est concerné par le NIS2 et doit se conformer aux exigences du NIS2 pour les services fournis aux clients de l’UE.
C’est extraterritorial: le NIS2 s’applique à vos services liés à l’UE, même si votre siège social est situé en dehors de l’UE.
Cependant, l’article 22 du NIS2 permet une certaine flexibilité pour les entités n’appartenant pas à l’UE. Ils peuvent désigner un représentant dans l’UE pour gérer la communication réglementaire. Mais cela ne réduit pas vos obligations en matière de sécurité.
Difficultés liées à la mise en œuvre
Les fournisseurs d’infrastructures numériques sont confrontés à des défis de conformité uniques:
Multilocation et isolation des données
Les fournisseurs de cloud hébergent de nombreux clients sur une infrastructure partagée. Vous devez vous assurer que les systèmes et les données d’un client ne sont pas accessibles à un autre client. Il s’agit d’une exigence de sécurité fondamentale, mais elle est techniquement complexe.
Les mesures de l’article 21 doivent prendre en compte les risques liés à la multilocation:
Isolation logique et physique des données clients.
Chiffrement des données clients au repos et en transit.
Des contrôles d’accès garantissant que les clients n’ont accès qu’à leurs propres données.
Tests de sécurité réguliers des contrôles d’isolement.
Service à volume élevé
Les CDN, les fournisseurs de DNS et les grands fournisseurs de cloud gèrent d’énormes volumes de trafic. Un incident de sécurité chez ces fournisseurs touche des millions, voire des milliards d’utilisateurs. Votre capacité de réponse aux incidents doit évoluer.
Votre exigence relative à la gestion des incidents prévue à l’article 21, paragraphe 2, point b), doit spécifier:
Comment détecter les incidents affectant le service mondial.
Comment évaluer l’impact sur des millions d’utilisateurs.
Comment communiquer les incidents aux clients du monde entier dans les délais requis.
Comment remédier rapidement aux systèmes distribués dans le monde entier.
Architecture distribuée
L’infrastructure numérique est distribuée géographiquement. Vous pouvez avoir des centres de données dans plusieurs pays, des systèmes de basculement, des caches dans des dizaines de sites. La gestion de la sécurité sur cette empreinte distribuée est complexe.
Les exigences de l’article 21, paragraphe 2, point c), relatives à la continuité de l’activité sont les suivantes:
Vous devez gérer les sauvegardes et les systèmes de reprise après sinistre dans plusieurs emplacements géographiques.
Si un centre de données majeur est compromis ou détruit, vous devez être en mesure de basculer facilement vers d’autres sites.
Les objectifs de temps de reprise doivent être très serrés (secondes ou minutes pour les services critiques).
Criticité de la chaîne d’approvisionnement
Les fournisseurs d’infrastructures numériques dépendent de fournisseurs essentiels: fabricants de matériel, fournisseurs de logiciels, fournisseurs de télécommunications, fournisseurs de sécurité. Si un fournisseur est compromis, vous êtes compromis.
Article 21, paragraphe 2, point d), la sécurité de la chaîne d’approvisionnement est essentielle. Vous devez:
Évaluez tous les fournisseurs essentiels (fournisseurs de matériel, fournisseurs de logiciels, fournisseurs de télécommunications).
Exiger contractuellement qu’ils respectent les normes de sécurité.
Surveillez leurs pratiques de sécurité et leurs publications de correctifs.
Élaborez des plans d’urgence en cas de violation d’un fournisseur essentiel.
Paysage des menaces
L’infrastructure numérique est l’une des principales cibles pour:
Attaques sponsorisées par l’État: les gouvernements ciblent les fournisseurs de cloud, le DNS et d’autres infrastructures pour gagner en visibilité sur les communications et les données.
Gangs de rançongiciels: les fournisseurs d’infrastructures numériques sont des cibles lucratives pour les rançons.
Hacktivistes: les attaquants ciblent les plateformes numériques pour faire des déclarations politiques.
Concurrents: les concurrents cherchent à perturber les services ou à obtenir des informations sur la concurrence.
Votre modèle de menace doit refléter cette réalité. Vos mesures de sécurité doivent dissuader et défendre contre les attaquants sophistiqués et dotés de ressources suffisantes.
Exigences spécifiques par type de fournisseur
Les différentes catégories d’infrastructures numériques ont des exigences quelque peu différentes:
Fournisseurs de cloud
Les exigences spécifiques incluent:
Isolation des données: assurez-vous que les clients ne peuvent pas accéder aux données des autres.
Sauvegarde et reprise après sinistre: sauvegardes régulières stockées dans plusieurs emplacements géographiques; objectifs de temps de restauration généralement mesurés en heures ou moins.
Chiffrement: le chiffrement en transit (TLS) et au repos (AES-256) sont attendus comme base de référence.
Contrôles d’accès: gestion des accès privilégiés pour l’administration, authentification multifactorielle pour les opérations sensibles.
Disponibilité: architecture à haute disponibilité avec redondance géographique.
Sécurité de la chaîne d’approvisionnement: évaluez les fournisseurs de matériel, les fournisseurs de logiciels et les fournisseurs de télécommunications.
Réponse aux incidents: détection et notification rapides des incidents affectant les données ou le service des clients.
Fournisseurs DNS
Les exigences spécifiques incluent:
Disponibilité: le DNS doit être disponible en permanence. Les interruptions de service entraînent des interruptions du service Internet dans le monde entier. Vos objectifs de temps de récupération sont de quelques secondes.
Atténuation des attaques DDoS: le DNS est fréquemment la cible d’attaques DDoS. Vous devez disposer d’une capacité d’atténuation.
Redondance: le DNS doit être distribué géographiquement avec un basculement automatique.
Intégrité: les enregistrements DNS ne doivent pas être compromis. L’empoisonnement d’un enregistrement DNS pourrait rediriger les utilisateurs vers des sites de phishing.
Surveillance: surveillance en temps réel des modèles de requêtes DNS pour détecter les attaques ou les anomalies.
Réponse aux incidents: réponse très rapide aux incidents (minutes) pour rétablir le service.
Fournisseurs de CDN
Les exigences spécifiques incluent:
Disponibilité: le contenu doit être mis en cache et disponible dans le monde entier. Les temps d’arrêt affectent les utilisateurs finaux des clients dans le monde entier.
Intégrité du cache: le contenu mis en cache ne doit pas être compromis ou empoisonné.
Atténuation des attaques DDoS: les CDN sont la cible d’attaques DDoS. L’atténuation est essentielle.
Sécurité de l’origine: les serveurs d’origine qui fournissent du contenu au CDN doivent être sécurisés.
Chiffrement: chiffrement de bout en bout, de l’origine à l’utilisateur final.
Basculement géographique: si un emplacement de cache échoue, le trafic est automatiquement redirigé vers d’autres emplacements.
Fournisseurs de services gérés
Les exigences spécifiques incluent:
Contrôle d’accès: les MSP disposent d’un accès étendu aux systèmes des clients. Des contrôles d’accès stricts et une authentification multifactorielle sont essentiels.
Surveillance: les MSP doivent surveiller les systèmes des clients pour détecter les attaques et les anomalies.
Prévention de l’augmentation des privilèges: les MSP doivent empêcher les attaquants d’utiliser des comptes compromis pour augmenter les privilèges.
Chaîne d’approvisionnement: les MSP dépendent d’outils tiers et de services cloud. Ces fournisseurs doivent être évalués.
Réponse aux incidents: lorsque les systèmes des clients sont piratés, les MSP doivent les détecter et réagir rapidement.
Fournisseurs de places de marché en ligne
Les exigences spécifiques incluent:
Vérification des vendeurs: les places de marché doivent contrôler les vendeurs pour empêcher les vendeurs frauduleux ou malveillants d’utiliser la plateforme.
Sécurité des paiements: le traitement des paiements doit être sécurisé et les informations de paiement des clients doivent être protégées.
Sécurité des comptes utilisateurs: les comptes doivent nécessiter une authentification forte.
Détection des fraudes: les places de marché doivent détecter et prévenir les fraudes.
Moteurs de recherche
Les exigences spécifiques incluent:
Intégrité des résultats de recherche: les résultats de recherche ne doivent pas être empoisonnés par des sites malveillants ou des informations erronées.
Protection des données des utilisateurs: les requêtes de recherche et le comportement des utilisateurs doivent être protégés.
Sécurité des publicités: les publicités ne doivent pas être compromises par des logiciels malveillants.
Atténuation des attaques DDoS: les moteurs de recherche sont des cibles DDoS de grande valeur.
Plateformes de réseaux sociaux
Les exigences spécifiques incluent:
Sécurité des comptes utilisateurs: exigez des mots de passe sécurisés, une authentification multifactorielle et des procédures de récupération de compte.
Sécurité du contenu: empêchez les acteurs malveillants de publier du contenu malveillant ou de hameçonnage.
Détection des menaces: détectez les comptes qui adoptent un comportement inauthentique coordonné ou diffusent des informations erronées.
Protection des données des utilisateurs: les données personnelles et les messages doivent être protégés.
Coopération en matière d’application de la loi: Coopérer avec les forces de l’ordre dans le cadre des enquêtes criminelles.
Signalement des incidents pour l’infrastructure numérique
L’infrastructure numérique comporte des dispositions spéciales en matière de signalement des incidents.
L’article 23, paragraphe 11, autorise la Commission à adopter des actes d’exécution précisant quels incidents sont «significatifs» pour les fournisseurs d’infrastructures numériques. La raison: un incident touchant un fournisseur de cloud ou un fournisseur de DNS peut avoir un impact considérable, touchant des millions d’utilisateurs et d’autres organisations. Le seuil de signification doit en tenir compte.
Les actes d’exécution préciseront quels incidents sont importants pour chaque catégorie (par exemple, pour les fournisseurs de DNS, une panne affectant X% des requêtes; pour les fournisseurs de cloud, les temps d’arrêt affectant X% des instances clients).
Les fournisseurs d’infrastructures numériques doivent évaluer l’importance en fonction de ces actes d’exécution, et pas seulement en fonction de la définition générique de l’article 23, paragraphe 3.
Coopération et supervision
L’infrastructure numérique fait l’objet d’une surveillance particulière:
L’ENISA gère le registre et fournit des conseils techniques.
Le groupe de coopération coordonne les évaluations de sécurité entre les fournisseurs d’infrastructures numériques.
Les régulateurs des États membres supervisent de manière intensive les fournisseurs d’infrastructures numériques essentielles.
Attendez-vous à une interaction réglementaire plus étroite si vous êtes un fournisseur d’infrastructures numériques essentiel. Cela est approprié compte tenu de l’importance du secteur.
Feuille de route de conformité pour les fournisseurs d’infrastructures numériques
Étapes immédiates:
Confirmez votre classification NIS2 (catégorie de l’annexe II, statut essentiel ou important).
Passez en revue les lois d’exécution correspondant à votre catégorie.
Procédez à une évaluation des risques spécifiques à vos services.
Cartographier les pratiques actuelles par rapport à l’article 21, paragraphe 2, et aux actes d’exécution spécifiques au secteur.
Identifiez les lacunes.
Élaborer un plan de mise en œuvre pour combler les lacunes (prioriser les éléments à haut risque).
Mettez en place une capacité de réponse aux incidents grâce à une détection et à une notification rapides.
Impliquer le conseil d’administration dans la gouvernance de la cybersécurité.
Réalisez des évaluations de sécurité (tests d’intrusion, analyse des vulnérabilités) de vos services.
Évaluez tous les fournisseurs essentiels.
Conservez les preuves de conformité (politiques, évaluations, résultats des tests, dossiers de formation).
Principaux points à retenir
-
L’infrastructure numérique (cloud, centres de données, DNS, CDN, services gérés, places de marché en ligne, moteurs de recherche, réseaux sociaux, services de confiance) figure à l’annexe II; tous les fournisseurs à grande échelle (plus de 250 employés ou plus de 50 millions d’euros de chiffre d’affaires) sont concernés; les actes d’exécution précisent les exigences techniques détaillées pour chaque catégorie.
-
Les actes d’exécution, publiés d’ici octobre 2024, traduisent les dix mesures de l’article 21, paragraphe 2, en exigences sectorielles concrètes; les fournisseurs d’infrastructures numériques doivent lire et respecter les actes d’exécution applicables à leur catégorie.
-
La multilocation, les services à volume élevé, l’architecture distribuée et le paysage sophistiqué des menaces posent des défis uniques; les fournisseurs de cloud doivent isoler les données des clients et maintenir des sauvegardes à l’échelle mondiale; les fournisseurs de DNS doivent maintenir une disponibilité continue; les CDN doivent disposer d’une redondance globale et d’une atténuation des attaques DDoS.
-
L’ENISA tient un registre des entités d’infrastructure numérique essentielles; les régulateurs supervisent de manière intensive les fournisseurs d’infrastructures numériques essentielles; ils s’attendent à des audits proactifs, à des évaluations de sécurité et à des demandes d’informations.
-
Les seuils de déclaration des incidents pour les infrastructures numériques peuvent différer des seuils génériques; les actes d’exécution précisent ce qui est significatif pour chaque catégorie; les incidents liés à l’infrastructure numérique peuvent toucher des millions d’utilisateurs et d’autres organisations, ce qui justifie des exigences de signalement renforcées.
-
L’infrastructure numérique est le secteur le plus harmonisé dans le cadre du NIS2; les règles sont plus spécifiques et plus uniformes dans les États membres que dans les autres secteurs; cela apporte de la clarté mais laisse également moins de place aux arguments de flexibilité ou de proportionnalité.
