Réunion du 28 août 2023

Étaient présentes les personnes suivantes :

• Dorian ;
• Lafeychine ;
• Jeltz.

La réunion débute à 21 h 08 et s’achève à 23 h 56.

Après discussions, l’ordre du jour suivant est proposé :

• Présentation succincte du groupe de travail ;
• Adoption du règlement intérieur du groupe de travail (comprenant les 2 amendements) ;
• Désignation des « touillettes » ;
• Étude des résultats du questionnaire transmis aux membres de FedeRez et de la FFDN ;
• Détermination des modalités de mise à disposition des comptes rendus et relevés de décisions ;
• Collaboration avec FedeRez ;
• Discussion sur les projets de textes de transposition par la République tchèque ;
• Détermination des modalités d’organisation du suivi de la transposition dans les autres États membres ;
• Établissement de délégations ;
• Discussion sur les demandes d’accès à des documents ;
• Détermination des futures demandes à effectuer ;
• Détermination du plan de discussions avec l’ANSSI : points prioritaires, stratégie, etc. ;
• Questions diverses.

Créé par décision de l’assemblée des bénévoles lors de la réunion du 10 août, il a pour objet de représenter les intérêts des fournisseurs associatifs dans le cadre de la transposition en droit national de la directive (UE) n° 2022/2555, dite « NIS 2 ».

Afin d’organiser le fonctionnement du groupe de travail, il est proposé d’adopter un règlement intérieur, dont le texte a été transmis avec la convocation, et accessible ici.

Deux amendements ont par ailleurs été transmis :

• Compléter l’article 2 par une phrase ainsi rédigée : « Il peut être modifié par décision du groupe de travail » ;
• À l’article 8, remplacer le mot : « duex » par : « deux ».

Il est proposé d’adopter le règlement intérieur, après application des deux amendements ci-dessus, avec prise d’effet immédiate.

Les futures décisions sont dès lors prises conformément au règlement intérieur.

Jeltz et Dorian se proposent afin d’être désignés touillettes.

Total de 16 réponses, dont :

• FFDN : 7 ;
• FedeRez : 8 ;
• aucun : 3.

Un seul répondant a des employés (8).

Le chiffre d’affaire total des répondants 1,54 m€, et en moyenne de 96 k€.

Les répondants se répartissent comme suit :

• associations de loi 1901 : 13 ;
• associations de droit local d’Alsace-Moselle : 1 ;
• SCOP : 1 ;
• « club » (rattaché à un BDE) : 1.

14 répondants fournissent un service d’accès à Internet.

N'en fournissent pas :

• AEECL-ECLAIR ;
• DGNum.

Wi-Fi gratuit dans un établissement d’ESR pour un répondant ; le reste payant.

Contraintes d’accès au service de FAI :

• uniquement une adhésion (laquelle est libre) : 6 ;
• l’accès est possible à toute personne : 1 (incertain) ;
• contraintes : 7.

Parmi les contraintes : la nécessité de loger dans une résidence couverte, ou être étudiant d’un certain établissement ; uniquement fourni avec la location d’un VPS.

13 répondants fournissent du DNS récursif ; pour 4 d’entre eux, le service est accessible sur Internet.

Seuls 2 répondants installent les récursifs sur les équipements finals.

8 répondants fournissent de l’hébergement de zones : 6 en principal et 6 en secondaire. Le service est fourni :

• à quelques associations amies : 6 ;
• aux adhérents : 6.

D’autres services :

• VPN ;
• hébergement de VM ;
• visioconférence ;
• serveurs mail ;
• messagerie instantanée.

Cas netlib.re : pas registrar au sens de NIS 2, car pas de premier niveau.

Le MOOC SecNumacadémie n’a été suivi que par 2 répondants.

Organisent des conférences ou formations sur la sécurité :

• jamais : 9 ;
• ponctuellement : 6 ;
• régulièrement : 1.

Certification : proche du néant.

Aucun répondant ne dispose d’une PSSI formalisée.

2 répondants ont réalisé (eux-même) des audits.

12 répondants ont déjà traité des incidents de sécurité ; aucun ne dispose de processus formalisé pour le traitement des incidents.

Les points sur lesquels les répondants se considèrent les plus matures sont le contrôle d’accès physique et les mises à jour. Pour le plus faible, c’est la cartographie du SI.

1 répondant utilise des IDS/IPS (Snort et Suricata).

10 répondants font du Wireguard (kernel Linux) ; 8 font du OpenVPN ; 1 utilise du strongSwan.

Concernant les logiciels open source utilisés, susceptibles de faire l’objet de restrictions, on retrouve principalement les hyperviseurs : KVM bare, Proxmox VE et OpenStack.

Sur les mesures technique, en général, c’est assez moyennement déployé.

En particulier, pour la centralisation des journaux, à peu près la moitié des répondants en dispose. Pour l’analyse automatique, seuls 2 répondants pratiquent.

Pour les associations, les audits par un tiers qualifié sont jugés « difficiles » (4) ou « impossibles » (11).

Les formations par un prestataire qualifié ou l’utilisation obligatoire de produits certifiés sont les deux autres mesures les plus difficilement envisageables.

Seuls 2 répondants considèrent les formations internes comme « difficiles » à mettre en œuvre.

Il est proposé de mettre à disposition en principe les comptes rendus sur le wiki de la fédération, dans une rubrique dédiée : Groupe de travail NIS 2.

Il est proposé de mentionner dans les comptes rendus l’ensemble des décisions adoptées par le groupe de travail durant la réunion, afin qu’ils fassent office de relevés de décisions.

Il est proposé de réaliser la transmission du relevé de décision à l’assemblée des bénévoles en insérant les liens vers les comptes rendus des réunions du groupe dans la section « nouvelles des groupes de travail » des comptes rendus de l’assemblée.

L’association FedeRez est intéressée pour participer et être tenue informée des actions du groupe de travail.

Il est proposé de collaborer avec elle, notamment :

• En informant ses dirigeants des actions entreprises, et en leur proposant d’y participer ;
• En transmettant à ses membres, avec l’accord de ses dirigeants, les documents d’information établis par le groupe de travail ;
• En recueillant des informations auprès de ses membres.

Plus en avance que la France, 2 projets de lois sont disponibles, accompagnés d’études d’impact et de plusieurs projets de décrets d’application :

• https://odok.cz/portal/veklep/material/ALBSCSSFKU7S/ ;
• https://odok.cz/portal/veklep/material/ALBSCSSG44YX/.

Une version automatiquement traduite du projet de loi « principal » et des décrets associés est disponible ici : https://perso.crans.org/jeltz/documents/nis2_cz/.

Concernant le projet de loi « principal » :

• Lorsqu’une entité fournit des services « importants » et « essentiels », tous les services sont soumis au régime des « entités essentielles » (§7) ;
• Périmètre des assets : uniquement ceux liés aux services couverts par NIS 2 (§13) ;
• L’entité dispose d’un an pour mettre en œuvre les mesures de sécurité à partir de son enregistrement (§14) ;
• Une situation intéressante est mentionnée, où des documents peuvent être demandés à l’entité par l’autorité compétente, mais où ceux-ci sont en possession seulement d’un tiers (sous-traitant, fournisseur, etc.) ; dans ce cas, il peut être intéressant que l’autorité puisse aller voir directement ce tiers, ou a minima que l’entité puisse imposer au tiers de lui fournir les informations ;
• Un screening des sous-traitants est prévu (§28 s.), organisé par de nombreux acteurs étatiques, avec possibilité d’enjoindre les entités à ne pas faire appel à certains d’entre eux (le champ des entités concernées par ces mesures n’est pas clair à première vue, peut-être est-ce applicable aux seules entités d’importance stratégique).

Concernant le projet de décret « services régulés » :

• [TODO]

Concernant le projet de décret « entités essentielles » :

• [TODO]

Concernant le projet de décret « entités importantes » :

• [TODO]

Une carte de suivi mise à disposition par Bird & Bird : https://www.twobirds.com/en/trending-topics/cybersecurity/nisd-tracker.

En Italie, l’équivalent d’une habilitation à légiférer par ordonnance semble prévue.

En Allemagne, une version de travail d’un projet de loi circule : https://ag.kritis.info/2023/07/19/referentenentwurf-des-bmi-nis-2-umsetzungs-und-cybersicherheitsstaerkungsgesetz-nis2umsucg/. Suivre aussi les publications telles que celle du VDA et autres (par exemple https://www.vda.de/dam/jcr:2a4b554b-0012-422c-b7bc-4c7a1fdc8e96/VDA%20Position%20-%20NIS-2-Richtlinie%20EN%20(002).pdf?mode=view).

Il pourrait être utile de faire de la veille concernant la transposition dans d’autres EM.

Il est proposé de se concentrer sur les États suivants :

• Belgique ;
• Irlande ;
• Espagne ;
• Luxembourg.

Le groupe de travail délègue aux personnes mentionnées ci-après l'exécution de ses décisions en son nom :

• Tom Barthe ;
• Dorian Bourgeoisat ;
• Vincent Lafeychine.

Le groupe de travail délègue aux personnes mentionnées ci-après la tâche de communiquer, avec les autres instances de la FFDN ainsi que les tiers, sur les positions du groupe de travail :

• Tom Barthe ;
• Dorian Bourgeoisat ;
• Vincent Lafeychine.

Cette délégation comprend notamment la possibilité de mener au nom du groupe de travail des discussions avec l’ANSSI et son personnel, en accord avec les décisions du groupe.

Plusieurs demandes d’accès ont été effectuées — à titre personnel — par Jeltz :

• Auprès du SGDSN le 21 juillet 2023, portant sur le DCE du marché PA 10-13 (v. https://www.ssi.gouv.fr/uploads/IMG/cspn/anssi-cspn-cible_2010-07fr.pdf) ;
• Auprès du SG de la Commission européenne le 25 juillet 2023, portant sur :
  • les ordres du jour, procès-verbaux et comptes rendus du groupe de coopération prévu à l’article 14 de la directive NIS 2 ;
  • les lignes directrices prévues à l’article 4, paragraphe 3, de la directive et le cas échéant, les observations du groupe de coopération et de l’ENISA y afférentes ;
  • les lignes directrices mentionnées au considérant 20 de la directive ;
  • les orientations mentionnées au considérant 21 de la directive ;
• Auprès du SGAE le 24 août 2023, portant sur les notes de veille, les FIS 1 et 2, les documents établis par le GHN et le plan de transposition de la directive.

Aucun document n’a pour l’instant été transmis, et une saisine CADA a été effectuée concernant la demande formulée auprès du SGDSN.

Concernant la demande auprès de la Commission, une partie des documents n’existe sans doute pas encore.

Demande au SG du Conseil par Jeltz (à titre personnel) des différents documents (procès-verbaux du HWPCI, non papers…) concernant la négociation de NIS 2.

Une autre demande (à préciser fortement avant envoi) : échanges entre la Commission et la France au sujet de la transposition.

Entité essentielle :

• Essayer de ne pas être considérés comme tels : public (notamment si fourni uniquement sur les box) ? payant ?
• Obligations fortement simplifiées pour les entités petites ou EE uniquement à cause des services DNS.

Équipements certifiés :

• Ne pas les imposer, au moins aux petits acteurs ;
• Certification par l’ANSSI elle-même des systèmes open source les plus utilisés (en axant sur l’intérêt général).

Formations :

• Ne surtout pas imposer des formations via des prestataires ;
• Formations internes à privilégier (aucune contrainte de diplôme pour les formateurs), ou MOOC gratuits.

Audits :

• Surtout pas par un tiers ;
• En interne à privilégier (de nouveau, aucune contrainte de diplôme) ;
• Pas de suivre une méthodologie trop précise.

En général : ne pas tomber dans la proposition allemande, où les associations de représentation d’intérêt des secteurs régulés peuvent imposer à tout leur secteur certaines normes.

• Réponse aux consultations :

  • Relecture par le GT et par FedeRez
  • Rédaction les 2 premières semaines, relecture les 2 dernières
• Demande de rendez-vous avec Noblins :
  • On sollicite un entretien dès maintenant
  • On essaie de faire venir Benjamin (FedeRez)
• Essayer d'être suffisament associés pour être consultés sur le texte en lui-même, et pas seulement répondre à des questions générales

Envoi d'une demande à l'AOTA concernant la fourniture de services DNS et la qualification en tant qu'entité essentielle.