Le SDBIO, via son vice-président Bruno Gauthier, a participé activement aux réunions et consultations menées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans le cadre de l’application prochaine de la directive NIS.2. Seuls représentants des biologistes sur ce chantier, nous avons pu faire remonter les contraintes des laboratoires en matière de cybersécurité. Globalement, l’application de NIS.2 vise à mettre en place le cadre légal et les obligations de chacun pour renforcer les capacités à lutter contre les cyberattaques. Explications.
NIS.2 fait suite à la directive NIS.1. La directive NIS.1, pour « Sécurité des réseaux et de l’information » (Network and Information System Security en anglais) a été adoptée en 2016 et transposée en France le 26 février 2018.
C’est l’ANSSI qui a pour mission en France d’accompagner les Opérateurs de services essentiels (OSE) dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect des règles de sécurité.
L’ANSSI a la même mission dans le cadre de la directive NIS.2. Celle-ci change de paradigme en raison de la présence d’acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées. Les organismes de services essentiels disparaissent pour faire place aux « Entités essentielles et importantes ». Les règles de sécurité applicables vont s’étendre aux entreprises qui font plus de 10 millions de CA ou qui ont plus de 50 salariés avec un niveau d’exigences proportionnel à la taille de l’entreprise.
La directive NIS.2 at été adoptée en décembre 2022. La France doit avoir terminé sa transposition au plus tard en octobre 2024. Les entités concernées (dont les laboratoires de biologie médicale qui disposent des données de santé personnelles de leurs patients) devront être conformes à compter de sa mise en application. Il est recommandé aux laboratoires d’entamer dès maintenant cette mise en conformité qui s’appuie sur le tryptique suivant :
- notification des incidents de sécurité (déjà opposables au laboratoire);
- mise en œuvre d’un PCA/PRA ;
- mise en oeuvre de règles de sécurité de base telles que l’authentification à plusieurs facteurs, le cloisonnement réseau, les sondes de détection d’intrusion, la formation des utilisateurs.
En attendant d’avoir un cadre officiel concernant les obligations que devront respecter les LBM (c’est dans ce cadre que le SDBIO a été consulté), nous vous incitons à vous acculturer à la directive NIS.2 grâce au site d’information mis en place par l’ANSSI : https://monespacenis2.cyber.gouv.fr/