Comment l'OSINT renforce la conformité à NIS 2

La directive (UE) 2022/2555 dite NIS2 (Network and Information Security 2) constitue la nouvelle pierre angulaire de la stratégie européenne de cybersécurité. Elle vise à élever le niveau de sécurité des réseaux et systèmes d'information des entités opérant dans des secteurs essentiels ou importants pour la société et l’économie.

Adoptée le 10 novembre 2022 par le Parlement européen et publiée au Journal officiel de l’Union européenne le 27 décembre 2022, la directive est entrée en vigueur le 16 janvier 2023. À compter de cette date, les États membres disposent d’un délai légal de transposition fixé à l’article 41 :
la directive doit être transposée dans le droit national au plus tard le 17 octobre 2024.

À l’échelle nationale, les obligations pour les entreprises deviennent effectives dès la date de transposition. Cela signifie que les entités publiques et privées concernées devront, à partir de cette date, se conformer pleinement et immédiatement aux exigences imposées, notamment :

· la gestion des risques de cybersécurité (article 21),

· la détection et notification des incidents majeurs dans des délais stricts (article 23),

· le respect des obligations de coopération et de communication avec les autorités compétentes (articles 26 à 29).

La directive NIS2 marque ainsi un tournant réglementaire majeur : elle étend le périmètre sectoriel, renforce les obligations de gouvernance, et introduit un régime de sanctions dissuasif en cas de non-conformité (cf Annexes). Elle constitue également un levier de convergence vers les bonnes pratiques internationales, notamment les normes ISO/IEC 27001, NIST SP 800-53 ou les exigences du RGPD pour les données personnelles.

1. Obligations de veille sécurité/sûreté (surveillance de la menace)

1.1. Obligations légales – Directive NIS2

La directive impose aux entités essentielles et importantes (articles 21 à 23) les obligations suivantes en matière de sécurité :

· Surveillance continue des menaces : les entités doivent "prendre les mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques" et prévenir ou minimiser les incidents (Article 21).

· Détection des incidents : obligation de mettre en place des capacités de détection d’anomalies ou de menaces en temps réel.

· Veille sur les vulnérabilités connues : suivi actif des vulnérabilités affectant les actifs numériques (logiciels, matériels, services).

· Reporting des incidents : obligation de notifier les incidents significatifs dans un délai de 24 heures à l’autorité nationale compétente (Article 23).

2. Moyens à mettre en place (technologiques, organisationnels et procéduraux)

2.1. Moyens techniques recommandés

Selon le plan d’action et la politique de cybersécurité fournis :

· Systèmes SIEM (Security Information and Event Management) pour collecter, agréger et analyser les logs de sécurité.

· Sondes IDS/IPS pour surveiller et prévenir les intrusions réseau.

· Outils de gestion des vulnérabilités (scanners, bases CVE, outils de patch management).

· Journalisation centralisée avec conservation sécurisée des logs.

· Surveillance du comportement réseau et détection des anomalies via des outils d’analytique ou de machine learning.

2.2. Moyens organisationnels

· Plan de surveillance continue (SOC) intégré à un cadre ISO/IEC 27001 ou NIST SP 800-53.

· Évaluation continue des risques pour adapter les moyens de surveillance aux menaces évolutives.

· Rôles clairement définis pour la surveillance, la détection, la réponse aux incidents, y compris une équipe CSIRT ou un équivalent.

· Plan de réponse aux incidents testé régulièrement.

3. Assets à surveiller (périmètre de veille sécurité)

3.1. Typologie des actifs à surveiller

Selon NIS2, le périmètre couvre tous les systèmes d’information nécessaires à la prestation de services essentiels ou importants :

• Systèmes matériels,

• Logiciels et applications,

• Données critiques,

• Utilisateurs et comptes,

• Fournisseurs tiers (supply chain),

• Infrastructures cloud ou hybrides,

• Capteurs/IoT.

3.2. Obligations de classification et de cartographie

· Chaque entité doit inventorier et classifier ses actifs ICT en fonction de leur criticité.

· Elle doit mettre en place une cartographie des dépendances entre services critiques et systèmes d’information support.

4. Types de sociétés soumises à la directive NIS2

4.1 Base juridique : Champ d'application de la directive NIS2

La directive (UE) 2022/2555 (NIS2) s’applique aux entités publiques ou privées qui :

· fournissent des services essentiels ou importants à l’économie et à la société,

· et dépendent de systèmes d'information et de réseaux pour la continuité de ces services.

Elle remplace la directive NIS de 2016 en élargissant considérablement son champ d'application.

4.2 Typologie des entités couvertes

NIS2 classe les entités concernées en deux catégories juridiques :

4.2.1. Entités essentielles (Essential entities) – Annexe I

Sont considérées comme essentielles les sociétés opérant dans des secteurs critiques tels que :

Ø Énergie : électricité, gaz, pétrole, hydrogène, production et distribution

Ø Transports : aérien, ferroviaire, maritime, route

Ø Banques

Ø Infrastructures des marchés financiers

Ø Santé : hôpitaux, laboratoires, prestataires de soins de santé numérique

Ø Eau potable et eaux usées

Ø Infrastructure numérique : points d’échange internet, DNS, datacenters

Ø Administration publique : en cas d'importance nationale

Ø Espace : services de surveillance et de contrôle spatiaux

4.2.2. Entités importantes (Important entities) – Annexe II

Sont considérées comme importantes celles qui opèrent dans des secteurs stratégiques mais non critiques :

Ø Prestataires de services numériques : plateformes en ligne, moteurs de recherche, cloud

Ø Services postaux et de messagerie

Ø Gestion des déchets

Ø Industrie manufacturière critique :

Ø Fabrication de dispositifs médicaux

Ø Produits chimiques, électroniques, machines

Ø Recherche : organismes de recherche à forte sensibilité technologique

4.3. Critères d’éligibilité quantitatifs (taille et impact)

En principe, sont soumis à NIS2 :

Ø Les entités de plus de 50 employés, ou

Ø Celles réalisant un chiffre d'affaires annuel > 10 millions d’euros,

À l’exception de certains cas où même les petites entreprises peuvent être couvertes si elles :

Ø sont les seuls fournisseurs d’un service essentiel à l’échelle nationale,

Ø exercent dans un secteur à haut risque (ex. : infrastructures critiques, défense, santé).

5. Exemples concrets par secteur d'entités soumises à NIS 2

• Énergie : Opérateurs de réseaux, producteurs, distributeurs

• Santé : Centres hospitaliers, laboratoires, prestataires de télémédecine

• Banque : Banques nationales, régionales, néo-banques

• Numérique : Fournisseurs cloud, registraires DNS, plateformes SaaS

• Transport : Aéroports, compagnies ferroviaires, exploitants de routes

• Eau : Distributeurs d’eau potable ou d’eaux usées

• Industrie : Fabricants d'équipements critiques (chimie, pharma, électronique)

6. Obligations spécifiques selon la catégorie

• Notification d’incidents :

Obligatoire pour entités essentielles et importantes

• Évaluation de la conformité

Renforcée pour entités essentielles

Allégée pour entités importantes

• Plan de gestion des risques

Requis pour entités essentielles et importantes

7. L’apport de l’OSINT dans la conformité NIS 2

7.1 Surveillance proactive des menaces (Threat intelligence)

Conformité aux articles 21 et 23 de NIS2 – Mise en place de mesures proactives de gestion des risques et de détection rapide des incidents.

L'OSINT peut fournir :

· Veille continue des réseaux sociaux pour détecter :

o Activités suspectes ciblant votre marque, vos collaborateurs ou vos clients

o Fuites ou divulgations anticipées d’informations sensibles

o Préparations de campagnes d’ingénierie sociale

· Monitoring du dark web et des forums clandestins :

o Identification de données compromises (comptes, accès RDP, identifiants VPN)

o Précurseurs d’attaques : ventes d’exploits ou menaces revendiquées

· Détection de fuites de données (data leaks) :

o Suivi de la publication ou du commerce illégal de données issues de votre organisation ou de vos partenaires

Alignement NIS2 :

Ø Capacité de détection d’anomalies

Ø Identification rapide des incidents de sécurité

Ø Surveillance de la surface d’attaque externe

7.2 Analyse des risques liés à la chaîne d’approvisionnement numérique

Conformité à l'article 21.2 (d) et 21.2 (g) de NIS2 – Sécurité des relations avec les fournisseurs et connaissance des vulnérabilités.

L'OSINT permet de :

· Analyser la réputation numérique de vos prestataires et partenaires IT : détection de fuites ou de failles exposant vos dépendances.

· Surveiller les compromissions affectant vos sous-traitants dans le cloud, l’hébergement ou les services critiques.

· Recevoir des alertes en temps réel sur toute exposition publique de données internes ou partenaires.

Alignement NIS2 :

Ø Veille sécurité étendue à la chaîne d'approvisionnement

Ø Surveillance des fournisseurs à haut risque

Ø Contribution à l'évaluation des risques globaux

7.3 Alerte, documentation et réponse rapide aux incidents

Conformité aux articles 23 à 25 – Détection, notification et gestion des incidents.

L'OSINT peut :

· Réduire votre temps de détection et de notification (< 24h) grâce à des alertes contextualisées sur des incidents émergents

· Documenter automatiquement les incidents détectés via des rapports exploitables pour les équipes sécurité

· Intégrer notre flux d’alerte à votre système de gestion d’incidents (SIEM, SOAR, IRP)

Alignement NIS2 :

Ø Amélioration des capacités de notification réglementaire

Ø Base documentaire pour les audits

Ø Réduction du délai moyen de réponse

7.4 Formation et sensibilisation (phishing, désinformation)

Conformité à l’article 20 et 21.2 (f) – Promotion d’une culture de cybersécurité.

o campagnes de phishing en cours

o nouvelles techniques de spear phishing

o menaces d’usurpation d’identité en ligne

· Bulletins de désinformation ciblant vos secteurs d’activité

Alignement NIS2 :

Ø Renforcement de la résilience humaine

Ø Intégration de la menace informationnelle dans la gestion des risques

7.5 Valeur ajoutée de l'OSINT pour la conformité NIS2 - Exemple sur la gestion des tiers :

L’article 21(2) de la directive NIS2 impose aux entités de mettre en œuvre des mesures de sécurité proportionnées, y compris : « la sécurité de la chaîne d'approvisionnement, y compris les relations entre chaque entité et ses fournisseurs ou prestataires de services ».

Cela implique notamment :

· la connaissance des risques de cybersécurité provenant de tiers,

· la capacité à anticiper ou détecter une compromission indirecte via un partenaire,

· l’intégration de la sécurité dans les contrats et audits fournisseurs.