Qui devrait lire ceci : gestionnaires de risques, équipes d’achats, spécialistes de la chaîne d’approvisionnement, décideurs politiques sectoriels, représentants gouvernementaux, entités réglementées.
La directive NIS2 introduit un mécanisme de gouvernance novateur : des évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques menées au niveau de l’Union. Ces évaluations ne sont pas des exigences de conformité imposées aux entités individuelles ; il s’agit plutôt d’évaluations stratégiques menées par le Groupe de coopération, la Commission et l’ENISA pour identifier les dépendances systémiques, les vulnérabilités et les risques dans les chaînes d’approvisionnement des services, systèmes et produits TIC critiques. Les résultats de ces évaluations informent la politique sectorielle, influencent les décisions d’achat et guident l’investissement dans la résilience. Cet article explique la raison d’être des évaluations coordonnées, leur fonctionnement et leur impact sur les entités réglementées et les chaînes d’approvisionnement.
La logique est claire : les organisations individuelles ne sont pas bien placées pour évaluer les risques sur l’ensemble des chaînes d’approvisionnement. Un opérateur de télécommunications peut connaître les fournisseurs auprès desquels il achète, mais il ne peut pas facilement évaluer les fournisseurs de ces fournisseurs, ni les risques géopolitiques affectant ces fournisseurs. Une institution financière ne peut pas prédire quels fabricants de semi-conducteurs feront face à des perturbations d’approvisionnement ni quels éditeurs de logiciels seront acquis par des entités étrangères. Pourtant, ces risques systémiques comptent énormément. Une défaillance ponctuelle dans une chaîne d’approvisionnement critique peut se propager à travers les secteurs. C’est pourquoi l’Article 22 de la directive NIS2 habilite le Groupe de coopération, en coopération avec la Commission et l’ENISA, à mener des évaluations coordonnées.
Article 22 et le cadre de coordination
L’Article 22 de la directive NIS2 est succinct dans ses détails : « Le Groupe de coopération, en coopération avec la Commission et l’ENISA, peut effectuer des évaluations coordonnées des risques de sécurité de chaînes d’approvisionnement spécifiques de services TIC, systèmes TIC ou produits TIC critiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques. »
Cela crée un cadre flexible. Le Groupe de coopération (un organe composé de représentants de chaque État membre) est habilité à initier des évaluations. Il travaille avec l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) et la Commission pour les mener à bien. Les évaluations se concentrent sur les services, systèmes ou produits TIC « critiques », un terme qui sera défini de manière pragmatique en fonction de l’importance sectorielle. Les évaluations examinent à la fois les risques techniques (existe-t-il des vulnérabilités connues dans le produit ?) et les risques non techniques (le fournisseur est-il géopolitiquement aligné avec un adversaire potentiel ?).
Le considérant 90 développe la logique : « Afin de traiter davantage les risques clés de la chaîne d’approvisionnement et d’aider les entités essentielles et importantes opérant dans les secteurs couverts par la présente directive à gérer de manière appropriée les risques liés à la chaîne d’approvisionnement et aux fournisseurs, le Groupe de coopération, en coopération avec la Commission et l’ENISA, et le cas échéant après consultation des parties prenantes concernées, y compris de l’industrie, devrait effectuer des évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques, comme cela a été fait pour les réseaux 5G suite à la recommandation de la Commission (UE) 2019/534, dans le but d’identifier, par secteur, les services TIC, systèmes TIC ou produits TIC critiques, les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques de sécurité devraient identifier les mesures, plans d’atténuation et bonnes pratiques pour contrer les dépendances critiques, les points uniques de défaillance potentiels, les menaces, les vulnérabilités et les autres risques associés à la chaîne d’approvisionnement, et devraient explorer des moyens d’encourager davantage leur adoption plus large par les entités essentielles et importantes. »
La référence à la 5G est importante. La Commission a publié une évaluation coordonnée des risques pour les réseaux 5G en 2020, identifiant que les dépendances envers des fournisseurs non-UE et la concentration des chaînes d’approvisionnement créaient un risque systémique. Cette évaluation a conduit à des recommandations pour la diversification des fournisseurs, des exigences de sécurité dans les achats et l’investissement dans des alternatives européennes. NIS2 formalise cette approche, faisant des évaluations coordonnées de la chaîne d’approvisionnement une fonction de gouvernance continue.
Facteurs de risque techniques et non techniques
Les évaluations coordonnées examinent à la fois les facteurs techniques et non techniques. Les risques techniques sont familiers aux professionnels de la cybersécurité : existe-t-il des vulnérabilités connues dans le logiciel ou le matériel ? À quelle vitesse le fournisseur corrige-t-il les vulnérabilités ? Quelle est la qualité du processus de développement ? Les risques non techniques sont plus larges et plus controversés.
Le considérant 91 définit les facteurs de risque non techniques : « Pour identifier les chaînes d’approvisionnement qui devraient faire l’objet d’une évaluation coordonnée des risques de sécurité, les critères suivants devraient être pris en compte : (i) la mesure dans laquelle les entités essentielles et importantes utilisent et dépendent de services TIC, systèmes TIC ou produits TIC critiques spécifiques ; (ii) la pertinence de services TIC, systèmes TIC ou produits TIC critiques spécifiques pour l’exécution de fonctions critiques ou sensibles, y compris le traitement de données à caractère personnel ; (iii) la disponibilité de services TIC, systèmes TIC ou produits TIC alternatifs ; (iv) la résilience de la chaîne d’approvisionnement globale des services TIC, systèmes TIC ou produits TIC tout au long de leur cycle de vie face à des événements perturbateurs ; et (v) pour les services TIC, systèmes TIC ou produits TIC émergents, leur importance future potentielle pour les activités des entités. »
Ces critères sont conçus pour identifier les goulets d’étranglement et les concentrations. Si 80 % des services cloud européens dépendent de matériel de stockage d’un seul fournisseur, et que ce fournisseur fait face à une perturbation, l’impact est systémique. Si des produits alternatifs n’existent pas, le risque est aigu. Si une chaîne d’approvisionnement ne peut pas se remettre d’une catastrophe, par exemple une catastrophe naturelle dans un lieu unique perturbant la production à l’échelle mondiale, la résilience est en péril.
La directive fait également référence au fait qu’« une attention particulière devrait être accordée aux services TIC, systèmes TIC ou produits TIC soumis à des exigences spécifiques émanant de pays tiers ». Il s’agit d’un euphémisme pour désigner le risque géopolitique. Certains pays tiers, notamment la Chine, la Russie et l’Iran, cherchent à intégrer des vulnérabilités cachées dans les produits TIC à des fins d’espionnage ou de sabotage. Certains pays restreignent l’exportation de technologies critiques ou exercent une pression politique par le contrôle de la chaîne d’approvisionnement. Les évaluations coordonnées devraient identifier ces risques.
Comment les évaluations sont menées
Les évaluations coordonnées suivent un processus structuré :
- Cadrage : le Groupe de coopération identifie les secteurs et les chaînes d’approvisionnement dignes d’évaluation. Cela est motivé par les préoccupations des États membres, les priorités de la Commission, les retours de l’industrie et l’analyse continue des menaces par l’ENISA.
- Collecte de données : l’ENISA et les autorités nationales de cybersécurité recueillent des informations sur les chaînes d’approvisionnement. Cela inclut l’identification des principaux fournisseurs, la compréhension des dépendances et le catalogage des vulnérabilités connues.
- Consultation des parties prenantes : le cas échéant, l’équipe d’évaluation consulte les parties prenantes de l’industrie pour comprendre la faisabilité technique, les implications de coût et les dynamiques du marché.
- Analyse des risques : des experts techniques évaluent la probabilité et l’impact de divers risques. Cela inclut l’analyse des vulnérabilités, la modélisation de la chaîne d’approvisionnement et la planification de scénarios.
- Identification des mesures d’atténuation : l’évaluation identifie des mesures pratiques pour réduire les risques. Celles-ci peuvent inclure la diversification des fournisseurs, l’investissement dans des alternatives nationales ou alliées, la définition de normes de sécurité pour les achats, la réalisation d’audits de sécurité des fournisseurs, ou l’intégration de redondance dans les chaînes d’approvisionnement.
- Rapport : les résultats de l’évaluation sont publiés, généralement avec des recommandations pour les États membres et les entités réglementées.
Que deviennent les résultats des évaluations ?
Les évaluations coordonnées n’imposent pas directement d’obligations aux entités individuelles. Elles informent plutôt la politique et influencent les exigences de conformité. Par exemple, si une évaluation identifie qu’un éditeur de logiciel particulier présente un risque pour la chaîne d’approvisionnement, une autorité compétente d’un État membre pourrait émettre des orientations selon lesquelles les entités essentielles et importantes devraient revoir leur dépendance à cet éditeur et élaborer des plans de contingence. Si une évaluation identifie que la diversité des fournisseurs est faible dans une technologie particulière, la Commission pourrait proposer des politiques d’achat qui récompensent ou exigent la diversification des fournisseurs.
Les évaluations influencent également les actes d’exécution. La Commission utilise les conclusions des évaluations pour façonner les exigences techniques et méthodologiques qui s’appliquent aux entités. Si une évaluation identifie qu’une catégorie particulière de produits TIC devrait faire l’objet de tests de sécurité renforcés, cette exigence pourrait apparaître dans les actes d’exécution de la Commission.
Pour les entités réglementées, les évaluations fournissent des renseignements précieux pour la gestion des risques de la chaîne d’approvisionnement. L’Article 21 de la directive NIS2 exige des entités qu’elles « prennent des mesures appropriées pour évaluer et atténuer les risques de la chaîne d’approvisionnement ». Les évaluations coordonnées donnent aux entités des informations fondées sur des preuves concernant les chaînes d’approvisionnement qui présentent le plus grand risque et les mesures d’atténuation les plus efficaces.
Implications pratiques pour les entités réglementées
Si vous êtes une entité essentielle ou importante, les évaluations coordonnées devraient informer vos processus d’achat et de gestion des fournisseurs :
- Surveiller les résultats des évaluations. Abonnez-vous aux notifications de l’ENISA et de la Commission concernant les évaluations coordonnées. Lorsqu’une évaluation est publiée pour une chaîne d’approvisionnement pertinente à votre secteur, lisez-la attentivement.
- Ajuster la stratégie fournisseurs. Si une évaluation identifie un risque de concentration ou des préoccupations géopolitiques, ajustez votre stratégie d’achat. Cela peut signifier diversifier les fournisseurs, négocier des accords de dépôt pour le code source, ou investir dans des alternatives nationales.
- Définir des normes fournisseurs. Intégrez les conclusions des évaluations dans vos exigences de sécurité fournisseurs. Si une évaluation identifie des menaces particulières, assurez-vous que vos fournisseurs disposent de contrôles pour y répondre.
- Planifier des alternatives. Si une évaluation identifie qu’un fournisseur pourrait faire face à une perturbation, élaborez des plans de contingence. Pouvez-vous passer à un fournisseur alternatif ? Pouvez-vous maintenir une réserve d’inventaire critique ? Pouvez-vous mettre en œuvre des contrôles compensatoires si le produit du fournisseur devient indisponible ?
- Partager l’information. Si vous avez des insights sur les risques de la chaîne d’approvisionnement, par exemple si vous avez découvert des vulnérabilités dans un produit largement utilisé, partagez-les avec votre autorité compétente ou l’ENISA. Les évaluations bénéficient du renseignement de l’industrie.
Évaluations émergentes et priorités futures
La directive ne précise pas quelles chaînes d’approvisionnement seront évaluées en premier. Cependant, les candidats probables incluent :
- Services et infrastructure d’informatique en nuage : les fournisseurs cloud sont utilisés par presque tous les secteurs critiques. La concentration parmi les grands fournisseurs (Amazon, Microsoft, Google) crée un risque systémique.
- Semi-conducteurs et composants : la fabrication de semi-conducteurs est concentrée dans quelques pays et installations. Une perturbation a des effets en cascade sur tous les secteurs dépendants des TIC.
- Chaînes d’approvisionnement logicielles : la vulnérabilité Log4j de 2021 a démontré qu’une faille dans une seule bibliothèque open source peut affecter des millions de systèmes. Les chaînes d’approvisionnement logicielles ont besoin de meilleures pratiques de visibilité et de sécurité.
- 5G et télécommunications : en s’appuyant sur l’évaluation 5G existante, NIS2 approfondira probablement l’analyse des chaînes d’approvisionnement des télécoms, en particulier à la lumière des préoccupations géopolitiques concernant les fournisseurs d’équipements.
- Fournisseurs de services managés et externalisation : à mesure que les entités externalisent davantage la cybersécurité, les fournisseurs de services de sécurité managés deviennent eux-mêmes partie intégrante des chaînes d’approvisionnement critiques.
Points clés à retenir
- L’Article 22 de NIS2 établit un mécanisme d’évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques, menées par le Groupe de coopération, la Commission et l’ENISA.
- Les évaluations coordonnées examinent à la fois les risques techniques (vulnérabilités, réactivité aux correctifs) et les risques non techniques (dépendances géopolitiques, concentration, résilience).
- Les évaluations identifient les services, systèmes et produits TIC critiques qui présentent un risque systémique, ainsi que les mesures d’atténuation et les bonnes pratiques.
- Les résultats des évaluations informent la politique des États membres, les actes d’exécution de la Commission et les décisions de gestion des risques de la chaîne d’approvisionnement des entités individuelles.
- Les entités réglementées devraient surveiller les évaluations pertinentes à leur secteur, ajuster les stratégies fournisseurs en fonction des conclusions, et utiliser les résultats des évaluations pour définir les exigences de sécurité des fournisseurs.
- L’accent initial devrait être mis sur les services cloud, les semi-conducteurs, les chaînes d’approvisionnement logicielles, les télécommunications et les fournisseurs de services managés.