Qui devrait lire ceci : dirigeants de MSP/MSSP, responsables produit, responsables de la conformité, équipes commerciales.
Pour les fournisseurs de services managés (MSP) et les fournisseurs de services managés de sécurité (MSSP), la directive NIS2 marque un tournant : ils passent du statut de fournisseurs de services à celui d’entités régulées. Auparavant, les MSP opéraient largement dans un espace contractuel privé, responsables envers leurs clients mais non directement régulés par les gouvernements. NIS2 change cela : les MSP et MSSP dont les services sont suffisamment substantiels entrent dans le périmètre, devenant des fournisseurs de services essentiels avec une supervision gouvernementale directe et des obligations de cybersécurité.
L’Annexe I, Secteur 9 de NIS2 désigne explicitement les fournisseurs de services managés et les fournisseurs de services de gestion comme fournisseurs de services essentiels. La portée n’est pas universelle : seuls les MSP et MSSP atteignant certains seuils deviennent fournisseurs de services essentiels. Cependant, pour ceux qui en relèvent, NIS2 impose des obligations de gouvernance, de sécurité, d’audit et de signalement d’incident qui remodèlent fondamentalement leur modèle opérationnel et de conformité.
Cet article décortique le périmètre NIS2 pour les MSP et MSSP, clarifie les critères de seuil pour la désignation, explore comment les obligations NIS2 affectent les opérations des MSP/MSSP et fournit des conseils sur la préparation à la conformité. L’article est particulièrement pertinent pour les dirigeants de MSP/MSSP qui naviguent la transition de fournisseur privé à entité publiquement régulée, et pour leurs clients qui attendent de plus en plus que les fournisseurs soient conformes NIS2.
Définir le périmètre MSP/MSSP
L’Annexe I, Secteur 9 désigne les fournisseurs de services managés (MSP) comme fournisseurs de services essentiels s’ils fournissent des services de gestion (services informatiques, hébergement ou gestion de réseau) à des entités qui sont elles-mêmes fournisseurs de services essentiels. Un MSSP, un fournisseur de services managés de sécurité, fournissant des services de cybersécurité à un hôpital, à une compagnie d’énergie ou à un autre fournisseur de services essentiels est désigné de manière similaire.
La phrase clé est « aux fournisseurs de services essentiels ». Un MSP fournissant des services informatiques à une petite entreprise de e-commerce n’est pas lui-même un fournisseur de services essentiels (le client n’est pas un service essentiel). Un MSP fournissant des services informatiques à un hôpital, une compagnie d’énergie ou à un autre fournisseur de services essentiels désigné est un fournisseur de services essentiels.
Cependant, l’Annexe I inclut également un seuil quantitatif. Un MSP ou MSSP est fournisseur de services essentiels uniquement s’il fournit des services à un certain nombre de clients significatifs ou gère un certain volume d’infrastructure critique. Les États membres ont une marge d’appréciation pour fixer ces seuils ; typiquement, les seuils sont fixés à un niveau capturant les grands MSP mais pas les petits prestataires locaux.
Par exemple, un État membre pourrait définir le seuil comme :
- Un MSP gérant des services informatiques pour 20 fournisseurs de services essentiels ou plus, ou
- Un MSP fournissant des services à des fournisseurs de services essentiels représentant collectivement plus de 1 % de l’infrastructure critique dans la juridiction de l’État membre, ou
- Un MSSP avec plus de X incidents de sécurité traités annuellement, ou d’autres métriques similaires.
Les États membres publient leurs seuils spécifiques pendant la mise en œuvre de NIS2. Les MSP et MSSP doivent consulter les sites des autorités désignées de leurs États membres pour déterminer s’ils entrent dans le périmètre selon les critères publiés.
La transition réglementaire : du fournisseur privé à l’entité publique
Pour les MSP et MSSP qui entrent dans le périmètre, NIS2 crée un changement fondamental de statut réglementaire. Auparavant, les MSP étaient soumis à des obligations contractuelles avec leurs clients mais pas à une régulation gouvernementale directe. NIS2 les désigne comme fournisseurs de services essentiels, les plaçant directement sous la supervision gouvernementale en matière de cybersécurité.
Cela a plusieurs implications pratiques :
Enregistrement et désignation réglementaires : les MSP et MSSP peuvent être tenus de s’enregistrer auprès de l’autorité compétente ou du CSIRT de leur État membre, confirmant leur statut d’entités désignées.
Audits et inspections gouvernementaux : les autorités compétentes et les CSIRT ont autorité pour demander des informations, mener des audits et vérifier la conformité. Les MSP et MSSP peuvent s’attendre à une supervision réglementaire.
Signalement d’incident aux autorités : lorsque des incidents significatifs surviennent, les MSSP et MSP doivent signaler aux autorités compétentes et aux CSIRT dans les 24 heures, et pas seulement à leurs clients.
Documentation de conformité : les MSP et MSSP doivent maintenir une documentation de leur gouvernance de la sécurité, de leurs évaluations de risques, de leurs contrôles et de leurs procédures de réponse aux incidents, documentation qui peut être demandée par les régulateurs.
Ce changement est distinct du RGPD, où les prestataires de services (sous-traitants) sont régulés aux côtés des responsables de traitement. Au titre de NIS2, les MSP et MSSP sont désignés comme entités avec des obligations directes, et pas seulement comme fournisseurs soumis à une supervision contractuelle.
Obligations NIS2 principales pour les MSP et MSSP
Les MSP et MSSP soumis à NIS2 doivent mettre en œuvre l’ensemble complet des obligations NIS2 :
Mesures de cybersécurité proportionnées (article 21) : les MSP et MSSP doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées à leur profil de risque. Pour un MSSP gérant la sécurité de plusieurs fournisseurs de services essentiels, le risque est substantiel : une violation affectant le MSSP pourrait se répercuter en cascade sur plusieurs clients. Les contrôles proportionnés sont étendus : segmentation réseau entre les environnements clients, contrôles d’accès, surveillance, chiffrement et gestion rigoureuse des tiers.
Gouvernance et responsabilité du conseil (article 21) : bien que tous les MSP ne soient pas de grandes entreprises avec des conseils d’administration formels, le principe s’applique : la direction supérieure doit être responsable du risque de cybersécurité. Le leadership doit établir des stratégies de sécurité, allouer des ressources et garantir la conformité.
Audits de sécurité (article 26) : les autorités compétentes et les CSIRT ont autorité pour mener des audits de sécurité. Les MSP et MSSP doivent coopérer aux audits, fournissant informations et accès si nécessaire. Les MSP/MSSP plus grands peuvent subir des audits annuels ou biennaux.
Détection et réponse aux incidents (article 23) : les MSP et MSSP doivent détecter les incidents dans leur propre infrastructure et dans les environnements clients (dans la mesure où ils gèrent ces environnements). Ils doivent répondre rapidement et signaler les incidents significatifs aux autorités dans les 24 heures.
Gestion du risque tiers (article 22) : paradoxalement, les MSP et MSSP, qui sont eux-mêmes fournisseurs de services à d’autres, doivent gérer leurs propres fournisseurs et sous-traitants. Un MSSP utilisant l’infrastructure cloud pour les données clients doit s’assurer que ce fournisseur cloud répond aux standards de cybersécurité.
Défis spécifiques pour les MSP et MSSP
Les MSP et MSSP font face à des défis de conformité uniques par rapport aux autres entités :
Multi-tenance et isolation des données : de nombreux MSP et MSSP utilisent des architectures multi-tenant où les données et systèmes de plusieurs clients partagent une infrastructure commune. NIS2 exige que les contrôles empêchent l’accès non autorisé entre tenants et garantissent qu’une violation affectant un client ne compromette pas les autres. Vérifier cela par des contrôles techniques et une gouvernance est complexe.
Concentration de la chaîne d’approvisionnement : les grands MSP et MSSP dépendent d’un petit nombre de fournisseurs d’infrastructure cloud, de fabricants de matériel et de plateformes logicielles. Une violation chez un fournisseur en amont (par ex. un fournisseur cloud) peut affecter tous les clients du MSSP. Les obligations de gestion du risque tiers de NIS2 exigent que les MSSP gèrent ce risque de concentration.
Transparence et visibilité : les MSP et MSSP doivent maintenir la visibilité sur les environnements clients pour la détection et la réponse aux incidents, tout en respectant la vie privée des clients et la protection des données. La surveillance des systèmes clients pour les incidents de sécurité nécessite l’accès aux journaux et au trafic, mais cela doit se faire de manière transparente et en conformité avec les obligations de protection des données.
Mise à l’échelle de la conformité : un grand MSSP avec des centaines ou des milliers de clients fait face à des défis pour mettre à l’échelle les mesures de sécurité de manière proportionnée à tous les clients. Certains clients peuvent être hautement régulés (santé, finance) ; d’autres moins. Les contrôles doivent être appropriés pour tous.
Coordination d’incident avec les clients : lorsqu’un incident affecte les environnements clients, le MSSP doit coordonner la réponse avec le client, mais le MSSP a aussi une obligation directe de signalement aux autorités. Si un incident est significatif, le MSSP signale aux autorités ; le client peut également signaler indépendamment. Coordination et déconfliction sont essentielles.
Stratégie de conformité NIS2 pour les MSP et MSSP
Pour les MSP et MSSP entrant dans le périmètre, une stratégie de conformité complète doit traiter :
Programme de sécurité de base : développer et documenter un programme de sécurité applicable à toutes les opérations. Définir les niveaux de risque acceptables, établir des contrôles et maintenir des politiques et procédures. Le programme doit traiter toutes les exigences de l’article 21 : contrôle d’accès, chiffrement, surveillance, réponse aux incidents et continuité d’activité.
Sécurité de l’environnement client : pour les MSP gérant l’infrastructure informatique client ou les MSSP gérant la sécurité client, établir des configurations de sécurité standard et des modèles de déploiement. S’assurer que les environnements clients respectent les standards de sécurité de base. Auditer la conformité de l’environnement client.
Réponse aux incidents et signalement : établir des procédures claires pour détecter les incidents dans l’infrastructure du MSSP et dans les environnements clients. Définir le seuil de signification et les procédures de signalement aux autorités. Former les équipes de réponse aux incidents sur l’exigence de signalement dans les 24 heures.
Gestion des tiers : identifier tous les fournisseurs, fournisseurs cloud et partenaires soutenant les opérations du MSSP. Mener une diligence raisonnable sur leurs pratiques de sécurité. Établir des contrats exigeant des mesures de cybersécurité, la notification d’incident et des droits d’audit.
Certification et standards : envisager de poursuivre une certification ISO 27001 ou d’autres certifications de cybersécurité. Ces certifications démontrent la conformité aux clients et aux régulateurs et fournissent un cadre d’amélioration continue.
Engagement réglementaire : surveiller les orientations des États membres sur la mise en œuvre de NIS2. Établir des relations avec l’autorité compétente responsable de la supervision MSP/MSSP. Fournir à l’autorité des informations concernant les services du MSSP, la base de clients et le statut de conformité.
Documentation : maintenir une documentation complète de tous les contrôles de sécurité, évaluations de risques, résultats d’audit, procédures de réponse aux incidents et activités de gestion des tiers. Cette documentation est essentielle pour démontrer la conformité aux régulateurs.
Relations clients et obligations contractuelles
Pour les MSP et MSSP, NIS2 affecte les relations clients. Les clients attendent de plus en plus que les fournisseurs soient conformes NIS2, et certains clients (eux-mêmes fournisseurs de services essentiels ou fournisseurs de services numériques importants) peuvent contractuellement exiger que les fournisseurs respectent les standards NIS2.
Les MSP et MSSP doivent :
Communiquer le statut de conformité NIS2 : publier des informations concernant la conformité NIS2, les certifications de sécurité et les résultats d’audit. Les clients veulent l’assurance que les fournisseurs sont régulés et sécurisés.
Mettre à jour les accords de niveau de service (SLA) : les SLA doivent être mis à jour pour refléter les obligations de signalement d’incident NIS2. Les clients doivent comprendre que le MSSP peut être tenu de signaler les incidents aux autorités ; le langage du SLA doit anticiper cela.
Fournir des preuves d’audit : les clients peuvent demander des preuves de conformité NIS2, y compris des rapports d’audit, des certifications et de la documentation des contrôles. Les MSP et MSSP doivent être prêts à fournir des preuves d’audit (sous réserve des limitations de confidentialité).
Clarifier les responsabilités en cas d’incident : lorsqu’un environnement client est affecté par un incident, clarifier quelle partie (MSSP ou client) est responsable de quels aspects de la réponse et du signalement. Le MSSP peut avoir des obligations directes de signalement aux autorités ; le client peut avoir des obligations parallèles. Les procédures de coordination doivent être claires.
Points clés à retenir
- Les MSP et MSSP entrent dans le périmètre NIS2 (Annexe I, Secteur 9) s’ils fournissent des services à des fournisseurs de services essentiels désignés et atteignent les seuils des États membres. Les critères de désignation varient selon l’État membre ; vérifiez la mise en œuvre locale pour l’applicabilité.
- Les MSP et MSSP désignés NIS2 deviennent fournisseurs de services essentiels avec une supervision gouvernementale directe. Ils ne sont plus de purs fournisseurs privés mais des entités régulées avec des obligations de mettre en œuvre des contrôles, de signaler les incidents et de coopérer avec les autorités.
- Les obligations principales incluent la mise en œuvre de mesures de sécurité proportionnées, l’établissement de la gouvernance, la réalisation d’audits de sécurité, la détection et la réponse aux incidents, et la gestion du risque de cybersécurité tiers.
- Les défis uniques incluent l’isolation des données multi-tenant, la concentration de la chaîne d’approvisionnement, les exigences de transparence et de visibilité, et la coordination d’incident avec les clients.
- La stratégie de conformité doit inclure des programmes de sécurité de base, la sécurité de l’environnement client, des procédures de réponse et de signalement d’incident, la gestion des tiers, les certifications, l’engagement réglementaire et une documentation complète.
- La communication client est essentielle : les MSP et MSSP doivent publier le statut de conformité, mettre à jour les SLA pour refléter les obligations de signalement d’incident, fournir des preuves d’audit et clarifier les responsabilités en cas d’incident.
