Qui devrait lire ceci : équipes juridiques, équipes de réponse aux incidents, responsables de la conformité, RSSI.
La directive NIS2 exige des fournisseurs de services essentiels qu’ils signalent les incidents significatifs aux autorités compétentes et aux CSIRT nationaux dans les 24 heures suivant leur détection. Mais qu’est-ce qui constitue un incident « significatif » ? La directive n’établit pas de règle claire (un volume de données spécifique, une durée d’indisponibilité ou un seuil financier) qui déclencherait automatiquement le signalement. Au lieu de cela, l’article 23(3) établit des critères qui exigent du jugement et une analyse contextuelle.
Pour les responsables de la conformité et les équipes de réponse aux incidents, comprendre le seuil de signification est essentiel. Mal classer les incidents, soit en surveillant excessivement et en submergeant les régulateurs, soit en sous-signalant et en violant la directive, crée un risque de conformité. Surveiller des incidents qui ne sont pas véritablement significatifs peut conduire les régulateurs à considérer les rapports futurs avec scepticisme ; sous-signaler risque la sanction réglementaire et la perte de crédibilité.
Cet article décortique l’article 23(3), illustre comment les critères de signification s’appliquent à différents secteurs et types d’incidents et fournit des conseils pratiques pour la prise de décision lorsque des incidents surviennent. L’objectif n’est pas de fournir une liste de contrôle définitive (la directive utilise délibérément des critères basés sur le jugement), mais de clarifier le cadre et d’illustrer son application.
Les critères statutaires de signification
L’article 23(3) définit un incident significatif comme celui qui répond à l’un des critères suivants :
« Il a entraîné une perturbation généralisée de la fourniture du service essentiel assuré par l’entité, ou est susceptible d’entraîner une telle perturbation. »
« Il a substantiellement compromis la confidentialité, l’intégrité ou la disponibilité des réseaux ou systèmes d’information utilisés pour fournir le service essentiel. »
« Il a un impact substantiel sur la continuité des fonctions critiques, ou il a généré un impact opérationnel ou de sécurité substantiel. »
Ces critères sont interdépendants mais distincts. Le premier porte sur la perturbation du service (impact sur les clients et le public) ; le deuxième sur la compromission technique (perte de protection des données ou de disponibilité du système) ; le troisième sur un impact opérationnel et stratégique plus large.
Critère 1 : perturbation généralisée des services essentiels
Le premier critère demande si l’incident a perturbé, ou est susceptible de perturber, la fourniture du service essentiel. Pour différents secteurs, « perturbation » signifie différentes choses :
Pour un hôpital (fournisseur de services essentiels en santé) : la perturbation signifie l’altération des opérations cliniques. Si un rançongiciel chiffre le système de dossiers médicaux électroniques et que l’hôpital ne peut pas accéder aux dossiers des patients, c’est une perturbation. De même, si un logiciel malveillant compromet le système de pharmacie et que les médicaments ne peuvent pas être délivrés, c’est une perturbation. En revanche, si un logiciel malveillant est découvert sur un système administratif non clinique (par ex. la paie), il est peu probable qu’il s’agisse d’une perturbation, sauf si le logiciel commence à se propager aux systèmes cliniques.
Pour un fournisseur de télécommunications (fournisseur d’infrastructure numérique en services essentiels) : la perturbation signifie l’altération des services réseau. Si une attaque désactive une grande antenne cellulaire affectant des milliers d’utilisateurs, c’est une perturbation. Si une attaque compromet un routeur central du réseau, provoquant des échecs d’appels dans une région, c’est une perturbation.
Pour un fournisseur d’énergie (fournisseur de services essentiels en énergie) : la perturbation signifie des coupures de courant ou une instabilité de tension. Si une attaque sur les systèmes de contrôle industriel provoque une perte de courant dans une région, c’est clairement une perturbation.
De manière critique, le critère utilise le terme « généralisée ». Une perturbation localisée (affectant un seul service hospitalier, une seule antenne cellulaire ou un seul poste électrique) peut ne pas être « généralisée », selon le contexte. Un grand hôpital comportant plusieurs services peut ne pas être « largement » perturbé si les systèmes d’un service tombent en panne et que d’autres services continuent de fonctionner. Inversement, la perturbation des services essentiels (le DME principal d’un hôpital affectant tout le personnel clinique, le réseau central d’un fournisseur national de télécommunications) est par nature généralisée.
Les régulateurs et les CSIRT des États membres auront des attentes quant à ce qui constitue une perturbation « généralisée ». Si un régulateur publie des orientations sectorielles, il peut clarifier que la perturbation affectant X % de la prestation du service, Y nombre de clients ou Z durée se qualifie comme généralisée. En l’absence d’orientation spécifique, les entités doivent appliquer leur jugement.
À des fins de planification, les équipes de réponse aux incidents doivent documenter leur évaluation de la perturbation au moment de la détection de l’incident. Quel pourcentage du service est affecté ? Combien de clients sont touchés ? La perturbation est-elle localisée ou généralisée ? Cette évaluation éclaire la décision de savoir si le signalement est requis.
Critère 2 : compromission substantielle de la confidentialité, de l’intégrité ou de la disponibilité
Le deuxième critère demande si l’incident a substantiellement compromis la confidentialité, l’intégrité ou la disponibilité des réseaux ou systèmes utilisés pour fournir le service essentiel. Ce critère se concentre sur la compromission technique plutôt que sur la perturbation du service.
Compromission de la confidentialité : des données ont été exfiltrées ou risquent d’être exfiltrées. Si un attaquant a copié des données sensibles (dossiers de patients, informations personnelles, secrets commerciaux) du système, la confidentialité est compromise. Le seuil est « substantiel » : une compromission affectant un petit nombre d’enregistrements, ou des données à sensibilité limitée, peut ne pas atteindre le seuil.
Compromission de l’intégrité : des données ont été modifiées, supprimées ou risquent de l’être. Si un attaquant a modifié des dossiers de patients, des transactions financières ou des fichiers de configuration critiques, l’intégrité est compromise. En santé, la compromission de l’intégrité des dossiers de patients est particulièrement grave car elle affecte directement la sécurité des patients.
Compromission de la disponibilité : les systèmes sont indisponibles ou incapables de fonctionner. Si un attaquant a déployé un rançongiciel chiffrant des systèmes critiques, ou si une attaque par déni de service distribué a submergé les systèmes, la disponibilité est compromise.
Pour chaque type de compromission, le seuil est « substantiel ». Cela exige du jugement. Une violation de données affectant 100 dossiers de patients dans un hôpital comptant des millions de dossiers peut ne pas être « substantielle » ; une violation affectant 100 000 dossiers l’est probablement. Une infection par rançongiciel affectant 1 % des systèmes peut ne pas être « substantielle » ; affecter 50 % l’est probablement.
En pratique, les équipes de réponse aux incidents appliquent souvent des seuils basés sur les orientations sectorielles ou les politiques internes. Par exemple, une institution financière peut considérer toute violation affectant plus de 1 000 dossiers clients comme substantielle. Un fournisseur de soins de santé peut considérer toute violation affectant les données de traitement des patients comme substantielle, indépendamment du volume. Ces politiques internes doivent être alignées sur les attentes réglementaires.
Les États membres ou les CSIRT peuvent publier des orientations clarifiant les seuils de substantialité. Par exemple, une autorité de protection des données peut émettre des orientations indiquant que les violations affectant plus de 1 % des personnes concernées d’une organisation sont « substantielles ». De telles orientations éclairent la détermination de la signification.
Critère 3 : impact substantiel sur la continuité des fonctions critiques
Le troisième critère porte sur l’impact sur les fonctions critiques ou un impact opérationnel et de sécurité plus large. Ce critère est plus large et plus contextuel que les deux précédents.
Continuité des fonctions critiques : si un incident affecte une fonction critique pour les opérations de l’entité ou pour les opérations du secteur, il est significatif. Pour une centrale électrique, la fonction critique est la production d’électricité ; une attaque sur le système de contrôle de la production est significative. Pour un aéroport, les fonctions critiques incluent le contrôle du trafic aérien, le contrôle des mouvements au sol et les opérations de piste ; les attaques sur celles-ci sont significatives.
Impact opérationnel : cela englobe les impacts sur la capacité de l’entité à fonctionner, même s’ils n’affectent pas la prestation de service aux clients externes. Une attaque sur les systèmes de communication interne de l’entité, ou sur les systèmes métier internes, peut avoir un impact opérationnel substantiel.
Impact de sécurité : cela englobe les impacts sur la posture de sécurité de l’entité ou sur la sécurité d’autres entités. Si un attaquant a obtenu des identifiants donnant accès à des systèmes critiques, ou si une attaque démontre une vulnérabilité dans les contrôles de sécurité de l’entité, l’impact de sécurité est substantiel.
Pour ce critère, « substantiel » exige à nouveau du jugement. Un dysfonctionnement mineur affectant des opérations non critiques n’est pas substantiel. Une attaque désactivant des fonctions critiques, dégradant substantiellement les opérations ou révélant des vulnérabilités majeures de sécurité est substantielle.
Cadre de décision et application pratique
En pratique, lorsqu’un incident survient, les équipes de réponse aux incidents doivent décider dans les premières heures (et certainement dans les 24 heures) si l’incident est significatif et si un signalement est requis. Une approche systématique aide :
Étape 1 : déterminer quels systèmes sont affectés. Sont-ils des systèmes utilisés pour fournir le service essentiel (directement significatif) ou des systèmes de support (moins susceptibles d’être significatifs) ? Une violation du système DME d’un hôpital est directement significative ; une violation du système de paie de l’hôpital ne l’est pas (sauf si elle se propage aux systèmes cliniques).
Étape 2 : évaluer la perturbation du service. Le service essentiel est-il perturbé ? La perturbation est-elle localisée ou généralisée ? Si le DME d’un hôpital est hors ligne, tout le personnel clinique ne peut pas accéder aux dossiers ; c’est généralisé. Si les systèmes d’un seul service hospitalier tombent en panne, mais que les autres services continuent de fonctionner, ce peut ne pas être généralisé.
Étape 3 : évaluer la compromission technique. La confidentialité, l’intégrité ou la disponibilité ont-elles été substantiellement compromises ? Pour une violation, combien de dossiers, quelle est leur sensibilité ? Pour une perte de disponibilité, quel pourcentage de systèmes, quelle durée ? Utilisez les politiques internes de l’entité ou les orientations sectorielles comme points de référence.
Étape 4 : évaluer l’impact opérationnel et de sécurité. Au-delà de la perturbation du service et de la compromission technique, l’incident a-t-il révélé des vulnérabilités majeures de sécurité, exposé des identifiants à large accès ou substantiellement dégradé les capacités opérationnelles de l’entité ?
Étape 5 : exercer un jugement. Si l’incident répond à l’un des trois critères à un degré substantiel, il est significatif et le signalement est requis.
La documentation est essentielle. L’équipe de réponse aux incidents doit documenter l’analyse au moment de la détection de l’incident, expliquant le raisonnement de la détermination de signification. Si le signalement n’est pas déclenché, la documentation explique pourquoi l’incident n’a pas atteint le seuil de signification.
Incidents limites et signalement conservateur
De nombreux incidents tombent dans une zone grise : ils ne répondent pas clairement aux critères de signification, mais on pourrait soutenir qu’ils le font. Par exemple, une attaque par rançongiciel affectant 30 % des systèmes d’une organisation atteint clairement le seuil ; une attaque affectant 5 % ne le fait sans doute pas. Une attaque affectant une fonction critique atteint clairement le seuil ; une attaque affectant un système non critique ne le fait sans doute pas.
Pour les incidents limites, les entités devraient envisager une approche conservatrice. Le sur-signalement (notifier les autorités d’incidents limites qui ne sont pas tout à fait significatifs) est peu susceptible d’entraîner une sanction ; le sous-signalement (ne pas notifier des incidents qui pourraient être significatifs) risque une violation réglementaire. Si une entité est incertaine, consulter à l’avance l’autorité compétente nationale ou le CSIRT peut clarifier les attentes.
De plus, les entités devraient considérer que la détermination de signification peut être faite après que l’incident est contenu et étudié. Le critère « est susceptible d’entraîner » une perturbation (perturbation future) est important : si l’incident n’est pas signalé parce qu’il n’a pas encore causé de perturbation, mais que l’enquête révèle qu’il aurait probablement causé une perturbation significative s’il n’avait pas été contenu, le défaut de signalement reste une violation.
Calendrier et chronomètre des 24 heures
L’article 23 exige le signalement « sans retard injustifié et en tout cas dans les 24 heures suivant la prise de connaissance d’un incident significatif ». Le chronomètre des 24 heures démarre lorsque l’entité prend connaissance de l’incident, et non lorsque l’enquête est terminée.
En pratique, la réponse aux incidents doit se dérouler en parallèle de la détermination de signification. Dès qu’un incident est détecté, les mesures de confinement doivent commencer et l’évaluation initiale de signification doit débuter. Les entités doivent disposer de procédures définissant qui prend la décision de signification (généralement le responsable de la sécurité de l’information ou un commandant d’incident désigné) et qui initie la notification (souvent le conseiller juridique ou un responsable de la conformité désigné).
La fenêtre de 24 heures est contraignante. La directive ne permet pas de retarder le signalement pour enquêter ou contenir l’incident. Le signalement doit être rapide, avec une notification initiale comprenant les informations disponibles et un signalement de suivi fournissant des détails supplémentaires au fur et à mesure de l’enquête.
Points clés à retenir
- Un incident significatif au titre de l’article 23(3) est celui qui : (1) a largement perturbé la fourniture du service essentiel ; (2) a substantiellement compromis la confidentialité, l’intégrité ou la disponibilité des systèmes critiques ; ou (3) a un impact substantiel sur les fonctions critiques ou la posture opérationnelle/de sécurité.
- « Généralisé » et « substantiel » sont des critères basés sur le jugement sans seuils clairs. Les entités doivent élaborer des politiques internes et s’aligner sur les orientations sectorielles clarifiant ce qui répond à ces seuils dans leur contexte.
- Les équipes de réponse aux incidents doivent évaluer la signification au moment de la détection de l’incident, avant que l’enquête complète ne soit terminée. L’évaluation doit documenter quel critère est rempli, le raisonnement et les preuves à l’appui.
- Les incidents limites justifient un traitement conservateur : en cas d’incertitude, consultez les autorités compétentes ou votre CSIRT. Le sur-signalement est plus sûr que le sous-signalement.
- La fenêtre de signalement de 24 heures démarre dès la prise de connaissance de l’incident, et non à l’issue de l’enquête. Le signalement doit être rapide, avec un suivi fournissant des détails supplémentaires.
- La documentation de la détermination de signification est essentielle, à la fois pour appuyer la décision et pour démontrer la bonne foi de la conformité si la décision est ultérieurement remise en question.
