Périmètre NIS2
On confond encore fréquemment le champ d’application de la directive NIS2 avec celui de la directive NIS (ancienne version).
Sous NIS, le raisonnement était centré sur la notion de systèmes essentiels : une entité était désignée OSE (Opérateur de Services Essentiels) pour un ou plusieurs systèmes précis, et les obligations de sécurité s’appliquaient principalement à ces systèmes identifiés comme critiques.
Avec NIS2, le changement de paradigme est majeur. Le périmètre d’application ne se limite plus à un système particulier pour lequel l’entité est désignée EE (Entité Essentielle) ou EI (Entité Importante). Il s’étend désormais à l’ensemble du système d’information de l’entité.
Cette évolution est logique et cohérente avec le retour d’expérience des incidents de cybersécurité observés ces dernières années. Les attaquants ciblent très souvent des systèmes bureautiques ou périphériques, considérés comme non critiques, afin de rebondir vers les systèmes de production ou sensibles. Ces attaques exploitent généralement :
des défauts de cloisonnement,
des interconnexions excessives,
des relations de confiance mal maîtrisées,
ou des faiblesses d’architecture du système d’information.
Dans ce contexte, protéger uniquement les systèmes sensibles n’est plus suffisant. Pour assurer un niveau de sécurité adéquat, il est indispensable de sécuriser l’écosystème dans son ensemble, ce qui justifie l’approche globale adoptée par NIS2.
Néanmoins, NIS2 n’impose pas une application aveugle et uniforme. Il reste possible d’exclure certains périmètres du système d’information, à condition de pouvoir démontrer, au travers d’une analyse de risques, que la compromission de ces systèmes n’aurait aucun impact sur la sécurité ou la disponibilité des systèmes sensibles et des services couverts.
Cela est précisé sur l'article suivant : https://aide.monespacenis2.cyber.gouv.fr/fr/article/quel-est-le-perimetre-des-systemes-dinformation-sur-lequel-les-entites-regulees-devront-apporter-des-mesures-de-cybersecurite-112hf4z/
Last updated