Étaient présentes les personnes suivantes :
La réunion débute à 21 h 08 et s’achève à 23 h 56.
Après discussions, l’ordre du jour suivant est proposé :
Créé par décision de l’assemblée des bénévoles lors de la réunion du 10 août, il a pour objet de représenter les intérêts des fournisseurs associatifs dans le cadre de la transposition en droit national de la directive (UE) n° 2022/2555, dite « NIS 2 ».
Afin d’organiser le fonctionnement du groupe de travail, il est proposé d’adopter un règlement intérieur, dont le texte a été transmis avec la convocation, et accessible ici.
Deux amendements ont par ailleurs été transmis :
Il est proposé d’adopter le règlement intérieur, après application des deux amendements ci-dessus, avec prise d’effet immédiate.
Les futures décisions sont dès lors prises conformément au règlement intérieur.
Jeltz et Dorian se proposent afin d’être désignés touillettes.
Total de 16 réponses, dont :
Un seul répondant a des employés (8).
Le chiffre d’affaire total des répondants 1,54 m€, et en moyenne de 96 k€.
Les répondants se répartissent comme suit :
14 répondants fournissent un service d’accès à Internet.
N'en fournissent pas :
Wi-Fi gratuit dans un établissement d’ESR pour un répondant ; le reste payant.
Contraintes d’accès au service de FAI :
Parmi les contraintes : la nécessité de loger dans une résidence couverte, ou être étudiant d’un certain établissement ; uniquement fourni avec la location d’un VPS.
13 répondants fournissent du DNS récursif ; pour 4 d’entre eux, le service est accessible sur Internet.
Seuls 2 répondants installent les récursifs sur les équipements finals.
8 répondants fournissent de l’hébergement de zones : 6 en principal et 6 en secondaire. Le service est fourni :
D’autres services :
Cas netlib.re : pas registrar au sens de NIS 2, car pas de premier niveau.
Le MOOC SecNumacadémie n’a été suivi que par 2 répondants.
Organisent des conférences ou formations sur la sécurité :
Certification : proche du néant.
Aucun répondant ne dispose d’une PSSI formalisée.
2 répondants ont réalisé (eux-même) des audits.
12 répondants ont déjà traité des incidents de sécurité ; aucun ne dispose de processus formalisé pour le traitement des incidents.
Les points sur lesquels les répondants se considèrent les plus matures sont le contrôle d’accès physique et les mises à jour. Pour le plus faible, c’est la cartographie du SI.
1 répondant utilise des IDS/IPS (Snort et Suricata).
10 répondants font du Wireguard (kernel Linux) ; 8 font du OpenVPN ; 1 utilise du strongSwan.
Concernant les logiciels open source utilisés, susceptibles de faire l’objet de restrictions, on retrouve principalement les hyperviseurs : KVM bare, Proxmox VE et OpenStack.
Sur les mesures technique, en général, c’est assez moyennement déployé.
En particulier, pour la centralisation des journaux, à peu près la moitié des répondants en dispose. Pour l’analyse automatique, seuls 2 répondants pratiquent.
Pour les associations, les audits par un tiers qualifié sont jugés « difficiles » (4) ou « impossibles » (11).
Les formations par un prestataire qualifié ou l’utilisation obligatoire de produits certifiés sont les deux autres mesures les plus difficilement envisageables.
Seuls 2 répondants considèrent les formations internes comme « difficiles » à mettre en œuvre.
Il est proposé de mettre à disposition en principe les comptes rendus sur le wiki de la fédération, dans une rubrique dédiée : Groupe de travail NIS 2.
Il est proposé de mentionner dans les comptes rendus l’ensemble des décisions adoptées par le groupe de travail durant la réunion, afin qu’ils fassent office de relevés de décisions.
Il est proposé de réaliser la transmission du relevé de décision à l’assemblée des bénévoles en insérant les liens vers les comptes rendus des réunions du groupe dans la section « nouvelles des groupes de travail » des comptes rendus de l’assemblée.
Les propositions sont adoptées par le groupe de travail.
L’association FedeRez est intéressée pour participer et être tenue informée des actions du groupe de travail.
Il est proposé de collaborer avec elle, notamment :
Les propositions sont adoptées par le groupe de travail.
Plus en avance que la France, 2 projets de lois sont disponibles, accompagnés d’études d’impact et de plusieurs projets de décrets d’application :
Une version automatiquement traduite du projet de loi « principal » et des décrets associés est disponible ici : https://perso.crans.org/jeltz/documents/nis2_cz/.
Concernant le projet de loi « principal » :
Concernant le projet de décret « services régulés » :
Concernant le projet de décret « entités essentielles » :
Concernant le projet de décret « entités importantes » :
Une carte de suivi mise à disposition par Bird & Bird : https://www.twobirds.com/en/trending-topics/cybersecurity/nisd-tracker.
En Italie, l’équivalent d’une habilitation à légiférer par ordonnance semble prévue.
En Allemagne, une version de travail d’un projet de loi circule : https://ag.kritis.info/2023/07/19/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/. Suivre aussi les publications telles que celle du VDA et autres (par exemple https://www.vda.de/dam/jcr:2a4b554b-0012-422c-b7bc-4c7a1fdc8e96/VDA%20Position%20-%20NIS-2-Richtlinie%20EN%20(002).pdf?mode=view).
Il pourrait être utile de faire de la veille concernant la transposition dans d’autres EM.
Il est proposé de se concentrer sur les États suivants :
Le groupe de travail délègue aux personnes mentionnées ci-après l'exécution de ses décisions en son nom :
Le groupe de travail délègue aux personnes mentionnées ci-après la tâche de communiquer, avec les autres instances de la FFDN ainsi que les tiers, sur les positions du groupe de travail :
Cette délégation comprend notamment la possibilité de mener au nom du groupe de travail des discussions avec l’ANSSI et son personnel, en accord avec les décisions du groupe.
Les délégations n^os^ 1 et 2 sont approuvées par le groupe de travail.
Plusieurs demandes d’accès ont été effectuées — à titre personnel — par Jeltz :
Aucun document n’a pour l’instant été transmis, et une saisine CADA a été effectuée concernant la demande formulée auprès du SGDSN.
Concernant la demande auprès de la Commission, une partie des documents n’existe sans doute pas encore.
Demande au SG du Conseil par Jeltz (à titre personnel) des différents documents (procès-verbaux du HWPCI, non papers…) concernant la négociation de NIS 2.
Une autre demande (à préciser fortement avant envoi) : échanges entre la Commission et la France au sujet de la transposition.
Entité essentielle :
Équipements certifiés :
Formations :
Audits :
En général : ne pas tomber dans la proposition allemande, où les associations de représentation d’intérêt des secteurs régulés peuvent imposer à tout leur secteur certaines normes.
Les thèmes à aborder, nos positions sur ceux-ci ainsi que le plan des discussions sont adoptés.
Envoi d'une demande à l'AOTA concernant la fourniture de services DNS et la qualification en tant qu'entité essentielle.