NIS2 / SRI2 en France : sûreté des sites et protection des infrastructures

La directive SRI2 (Réseaux et les Systèmes d’Information 2), plus connue sous son acronyme anglophone NIS2 (Network and Information Security 2), est un texte européen qui vient compléter et mettre à niveau la précédente directive NIS. Adoptée par l’UE en décembre 2022, la directive est entrée en vigueur en janvier 2023 et devait être transposée par les États membres au plus tard en octobre 2024. En France, sa mise en œuvre dépend de l’adoption des textes de transposition et des textes d’application, avec une entrée en vigueur effective à partir de leur promulgation.

L’objectif de la directive SRI2/NIS2 est de renforcer et d’harmoniser la cybersécurité dans toute l’Union européenne, dans le cadre de la réglementation NIS2. Elle définit aussi les standards pour assurer la cybersécurité NIS2 au sein des entreprises concernées. Complémentaire au DORA (Digital Operational Resilience Act), NIS2 élargit notamment le champ d’application précédent, et impose de nouvelles obligations strictes aux organisations concernées. En France, cela représente 15 à 18 000 entreprises.

Ce que NIS2 change pour la sûreté des sites

Objectifs de la directive NIS2

La directive NIS2 vise à renforcer la cybersécurité, la sécurité de l’infrastructure et la résilience opérationnelle d’entreprises qui revêtent une importance stratégique, sécuritaire, structurelle ou même vitale dans l’UE. Des organisations dont dépend le mode de vie des Européens, sans se limiter à la sécurité nationale.

Comme tous les actes législatifs européens de ce type, les directives NIS2 ont d’abord été transposées dans le droit national des États membres. La mise en œuvre et la transposition de NIS2 en France est supervisée par l’ANSSI, l’Agence Nationale chargée de la Sécurité des Systèmes d’Information, qui définit des obligations pour deux classes d’entreprises.

Qui est concerné par la directive NIS2 ?

Dans ce contexte, la directive NIS2 élargit de manière significative le nombre d’organisations soumises à des exigences de cybersécurité et de résilience opérationnelle au sein de l’Union européenne. Son champ d’application ne se limite plus à quelques infrastructures critiques : il inclut désormais des entreprises et des entités publiques dont l’activité est essentielle au bon fonctionnement de l’économie et de la société.

NIS2 classe les organisations concernées en entités essentielles et entités importantes, en fonction de l’impact qu’aurait l’interruption de leurs services.

Entités essentielles: Sont considérées comme entités essentielles les organisations dont l’activité est critique pour la continuité de services fondamentaux. Elles incluent notamment les secteurs suivants :

• Énergie
• Transports
• Banques et infrastructures des marchés financiers
• Santé
• Eau potable
• Infrastructures numériques
• Administration publique
• Services spatiaux

Ces entités font l’objet d’une supervision plus stricte et doivent mettre en œuvre des mesures organisationnelles, techniques et de sûreté des sites adaptées.

Entités importantes: La directive NIS2 couvre également des entités considérées comme importantes, dont l’activité contribue à éviter des perturbations économiques ou sociales. Cela inclut notamment des organisations des secteurs suivants :

• Services postaux et de messagerie
• Gestion des déchets
• Alimentation
• Industrie chimique
• Industrie manufacturière
• Fournisseurs de services numériques
• Recherche

Même si le modèle de supervision est généralement moins proactif, ces entités doivent elles aussi déployer des mesures de gestion des risques et respecter les exigences de notification des incidents.

Enfin, NIS2 concerne des entreprises moyennes et grandes, publiques et privées, ainsi que des acteurs clés de la chaîne d’approvisionnement. En pratique, cela signifie que de nombreuses organisations relèvent pour la première fois d’un cadre réglementaire qui exige d’évaluer non seulement la cybersécurité, mais aussi la sûreté des sites et l’environnement dans lequel opèrent des systèmes et services critiques.

Pourquoi NIS2 met l’accent sur la sûreté des sites

La directive NIS2 reconnaît explicitement l’importance fondamentale de la sécurité physique et environnementale dans la résilience des entreprises. Les impératifs de sûreté des sites, comme la protection des systèmes, des infrastructures et des actifs, occupent une place prépondérante dans les obligations NIS2 et dans toute démarche de conformité NIS2.

Dans un monde toujours plus digital, il ne faut pas oublier que les systèmes d’entreprises, qui assurent des fonctions aussi essentielles qu’immatérielles, reposent sur des infrastructures bien physiques., notamment :

• Centres de données et salles serveurs ;
• Fermes de serveurs et nœuds de distribution ;
• Terminaisons réseau et espaces techniques ;
• Une multitude d’autres points névralgiques matériels et sensibles.

Une vision qui déconnecte les systèmes d’information et les infrastructures physiques sera nécessairement faillible.

Quand la sécurité numérique devient trop efficace, les acteurs malveillants ou hostiles peuvent adopter une voie plus simple. On pointe souvent du doigt l’humain et sa vulnérabilité à l’ingénierie sociale ou à l’hameçonnage. Toutefois, un accès direct aux machines permet tout aussi bien, sinon mieux, de contourner les pare-feux, les IAM, la segmentation et autres mesures de sécurité devenues trop performantes pour être attaquées numériquement.

La compromission physique permet à ces acteurs hostiles d’invalider les contrôles de cybersécurité en désactivant les pares-feux ou en installant un dispositif d’espionnage ou d’intrusion et de menacer la continuité des opérations, ce qui souligne l’importance d’une sécurité à la fois globale et unifiée.

La résilience d’une entreprise ne dépasse jamais celle de son maillon le plus faible. En confiant cette mission exclusivement au RSSI ou au service informatique, sans coordination avec les équipes chargées des infrastructures et de la sécurité des sites, les entreprises risquent de négliger l’importance du périmètre et des risques associés aux accès à l’infrastructure matérielle et aux sites opérationnels. Cela reviendrait à laisser béantes autant de vulnérabilités critiques.

Vulnérabilités fréquentes sur les sites et installations

Périmètre, zones extérieures et sites isolés

Les entrées secondaires sont des cibles privilégiées. Elles peuvent être :

• Officielles (sur le côté ou l’arrière des bâtiments, donnant sur des axes moins fréquentés) ;
• Officieuses (comme une issue de secours détournée de sa fonction première).

Elles représentent des faiblesses en matière de sécurité périmétrique. Il en va de même pour :

• Les parkings ;
• Les zones logistiques (dont l’activité pourrait masquer une intrusion) ;
• Les portails sans vigiles ;
• Toute autre infrastructure technique où la présence humaine n’est pas permanente (placards d’équipements, central téléphonique, stations de pompage, etc.).

L’importance des gares routières et ferroviaires, des ports et des centrales de production ou de distribution d’énergie est aussi évidente, de même que la connexion entre votre entreprise et ces services. 

Un grand nombre d’EE et d’EI exploitent un réseau d’actifs distribué sur l’ensemble du territoire national, voire dans plusieurs pays. Ces actifs peuvent à la fois être très éloignés des centres de contrôle opérationnels et dénués de personnel sur site. L’absence de couverture visuelle continue accentue leur vulnérabilité, contraignant au recours à des inspections et à des patrouilles périodiques pour protéger des ressources particulièrement importantes. 

Des solutions existent, notamment les systèmes de caméras de surveillance et les systèmes de contrôle d’accès. Ces solutions permettent de centraliser la sécurité et de pallier les vulnérabilités grâce à une visibilité étendue au-delà des bâtiments tout en assurant une mise en œuvre homogène des stratégies de sécurité.

Salles serveurs, centres de contrôle et espaces techniques

Les cœurs technologiques de l’entreprise sont tout aussi cruciaux – et sensibles. Les centres de données, les nœuds de distribution, les espaces de stockage et de contrôle opérationnels sont des zones à haut risque. Onduleurs, racks réseau et panneaux électriques offrent autant de cibles aux saboteurs et exigent une protection à la hauteur.

Dans la pratique, cependant, les salles techniques sont souvent partagées, utilisées par plusieurs équipes ou départements. Les zones de connexion comme les quais logistiques doivent être accessibles aux prestataires et aux fournisseurs. Plus l’activité est intense, plus il est difficile de contrôler les accès et de maintenir la traçabilité. Sans une gestion centralisée des clés ou des badges d’accès, impossible de prouver qui était présent à quel moment.

Ces organes vitaux nécessitent un contrôle d’accès stratifié, couche après couche, avec une gestion des rôles, des zones et des créneaux horaires, et une trace vidéo permettant d’établir les corrélations pour les vérifications et les audits.

Exigences NIS2 pour le contrôle d’accès et la prévention des intrusions

Zoning de sécurité et modèles d’accès

La directive NIS2 impose d’établir un zonage qui découpe la surface de l’entreprise en trois catégories :

• Espaces publics ;
• Espaces restreints ;
• Espaces critiques.

L’accès à ces espaces devra suivre le principe du moindre privilège : seuls ceux qui ont besoin d’accéder aux zones sensibles doivent être autorisés à le faire. Le zonage doit distinguer les fonctions plutôt que les niveaux hiérarchiques et établir un contrôle d’accès basé sur les fonctions, telles que :

• Techniciens ;
• Visiteurs ;
• Partenaires externes ;
• Personnel de maintenance.

Si le principe est relativement simple à comprendre, il n’est pas nécessairement aisé de l’appliquer. Les anciens systèmes n’offrent pas les capacités de traçabilité numérique nécessaires, les privilèges programmés dans les badges peuvent être obsolètes, les badges eux-mêmes peuvent être égarés, les membres du personnel peuvent être promus ou mutés, et ainsi de suite.

Ici encore, la solution passe par un contrôle numérique et centralisé des accès, avec la prise en charge d’une gestion précise des rôles et des journaux auditables.

Traçabilité des accès et auditabilité

En termes simples, la réglementation NIS2 impose aux entreprises de pouvoir répondre à la question : qui a pénétré dans telle zone avant tel incident ? 

La conservation d’un historique d’événements fiable, avec des journaux et un contexte vidéo, offre une réponse efficace à ces exigences. C’est aussi un bon moyen pour les entreprises de gérer les risques en interne.

L’existence de systèmes parallèles et distincts, pour gérer les badges d’une part et la vidéosurveillance de l’autre, complique et freine les investigations. De plus, les registres papier et les tableurs édités à la main font de piètres arguments en cas d’incident grave ou d’action en justice.

À l’inverse, une solution de sécurité avancée, avec enregistrement des événements, horodatage et extraits vidéos contextualisés, offre une trace complète et compatible avec les critères d’audit NIS2, ce qui facilite aussi la mise en conformité NIS2.

Le rôle de las caméras de sécurité dans les incidents NIS2

Les systèmes de caméras de surveillance modernes ne se contentent pas d’offrir de la visibilité et des images. Certaines solutions, comme les caméras de surveillance avec IA, embarquent des fonctionnalités de détection avancée qui aident à identifier, vérifier et enquêter sur les incidents plus rapidement et plus efficacement.

La vidéosurveillance a fait ses preuves dans la lutte contre les intrusions, le vandalisme et le sabotage, tandis que les systèmes actuels permettent d’alerter les opérateurs en identifiant automatiquement le talonnage, ou tailgating, quand une personne profite de l’ouverture légitime d’un point d’accès par quelqu’un d’autre.

Bien sûr, la notion de vidéosurveillance s’est considérablement élargie avec les années, et un ancien système de caméras basse résolution, avec des angles morts et des réseaux cloisonnés n’offre pas la cohérence et l’utilisabilité des traces capturées par les systèmes de caméras avancés dédiés aux entreprises.

Plateforme vidéo de niveau entreprise

Les VMS, Video Management Systems, sont des logiciels de gestion vidéo conçus pour gérer, stocker, analyser et visualiser des flux vidéo issus de caméras de surveillance ou d’autres sources. Ils sont largement utilisés pour la sûreté des sites, la vidéosurveillance intelligente, la gestion des infrastructures critiques ou l’analyse vidéo avancée (reconnaissance d’objets ou de comportements).

Les systèmes tels que les DVR, Digital Video Recorder, ou NVR, Network Video Recorder, euvent être limités en termes d’évolutivité, contraints par des architectures rigides, une faible résolution, un stockage exclusivement local ou un manque de bande passante. Ils étaient également dépourvus des fonctions d’analyse avancée qu’offrent les systèmes plus récents. Ces limitations les rendent peu compatibles avec les obligations NIS2.

Pour répondre tant aux besoins des entreprises qu’aux exigences de la directive, les plateformes vidéo modernes doivent cocher de nombreuses cases :

• Gestion centralisée ;
• Visibilité multisite ;
• Autorisations basées sur les rôles ;
• Alertes automatiques basées sur des règles programmées ;
• Connexion entre événements et incidents ;
• Exportation des journaux.

Protection des données, conservation et gouvernance

Le droit français intégrait déjà certaines des obligations NIS2, notamment en rapport avec la sécurité des données. Les exigences de la nouvelle directive ne remplacent pas et ne suppriment pas celles prévues par la CNIL, Commission Nationale de l’Informatique et des Libertés, ou le RGPD, Règlement Général sur la Protection des Données.

Bien que la CNIL et l’ANSSI collaborent pour harmoniser leurs recommandations, afin d’éviter les chevauchements, la convergence ne fait que souligner l’importance, pour toute démarche de conformité NIS2, de cartographier les risques, de former les équipes et d’adopter des mesures techniques conformes aux deux cadres.

Le système doit être basé sur des « politiques », c’est-à-dire des règles et des stratégies programmées de sorte à déterminer qui peut consulter les enregistrements, qui peut les exporter ou les télécharger, quels événements sont journalisés pour les audits et combien de temps les enregistrements vidéo et les journaux sont conservés. 

Pour répondre aux exigences de la nouvelle directive, il est impératif que ces politiques soient harmonisées dans l’ensemble des sites et des départements de l’entreprise. Il faut donc choisir une plateforme offrant des capacités de gouvernance centralisée afin d’établir, mais aussi de mettre en œuvre, cette harmonisation. 

Le simple fait de conserver des vidéos et des journaux va impacter les besoins en stockage de données. Qui dit stockage de données, dit sécurisation du stockage numérique, et donc sécurisation de l’espace physique où sont conservés les dispositifs de stockage numérique, et ainsi de suite. Cette chaîne de causalité ne fait que souligner l’importance d’une approche globale et unifiée de la sécurité.

Sécurité unifiée : vidéo et contrôle des accès

Avantages d’une solution intégrée

Les solutions intégrées permettent à plusieurs systèmes de fonctionner en synergie. Par exemple, dans le cadre de la protection intelligente des sites, le système de détection d’événements peut déclencher l’annotation d’un signet vidéo ou une routine d’enregistrement.Lorsqu’un badge est présenté au lecteur, la caméra peut s’activer pour une durée définie, suffisante pour enregistrer le passage et détecter un éventuel talonnage, et journaliser l’événement. 

L’intégration élimine la friction. La synergie entre les systèmes permet d’établir le lien entre un événement spécifique et l’extrait vidéo correspondant, sans que l’équipe de sécurité ou les enquêteurs n’aient à manuellement corréler les éléments de preuve.

Intégration dans les environnements IT, OT et SIEM

La directive NIS2 encourage les entreprises à mettre leur sécurité physique sur un pied d’égalité avec leur sécurité numérique. L’intégration permet d’aller plus loin, en reliant les systèmes et en abattant le cloisonnement physique/​numérique. Cela corrige les angles morts qui persistent dans certains SOC, Security Operations Center, ou Centre des opérations de sécurité.

Avec une solution intégrée, les données d’incident physique peuvent être exportées ou partagées avec les systèmes IT/SI, OT (technologies opérationnelles) et SIEM (Security Information and Event Management) afin que l’équipe de sécurité puisse évaluer aussi facilement les événements sur les sites que dans les réseaux, et identifier les relations.

Architectures cloud et hybrides pour sites distribués

À l’image des collectivités, des réseaux de transport ou des services publics, de nombreuses EE et EI sont multisites et ont besoin de pouvoir administrer tous leurs actifs de façon centralisée.

Dans la pratique, en revanche, la pile technique est rarement homogène. Les sites n’ont pas été déployés en même temps, ni avec le même budget, et la géographie de l’activité peut fluctuer. Il en résulte des inégalités dans les niveaux de sécurité et des incohérences tant dans la gestion que l’auditabilité.

C’est pourquoi l’approche hybride est généralement vue comme le meilleur des deux mondes, permettant à la fois de centraliser la supervision grâce au cloud et d’adapter la résilience au niveau local grâce au matériel. Les solutions choisies pour la norme ISO 27001 NIS2 devront prendre en charge et activement soutenir cette approche.

Les solutions Avigilon

Avigilon propose des technologies et des solutions intégrées qui soutiennent la mise en œuvre de mesures essentielles de sûreté des sites, avec des capacités techniques conformes aux exigences NIS2 et facilitant la supervision, la détection et la gestion opérationnelle.

Solutions de contrôle d’accès

Les systèmes de contrôle d’accès Avigilon permettent de gérer les accès par identités, rôles et autorisations via une interface centralisée pour les portes, les lecteurs et les zones. Que votre organisation ait besoin d’un contrôle complet des données sur site ou d’une approche flexible et cloud native, Avigilon propose les deux plateformes, conçues pour répondre aux exigences de conformité NIS2.

Pour garantir l’intégrité des données et restreindre les accès, ces solutions reposent sur des protocoles de chiffrement avancés et proposent des mécanismes d’authentification multifacteur (MFA). Cela inclut une approche de sécurité en couches, combinant badges et codes PIN traditionnels avec la biométrie et des identifiants mobiles sécurisés, afin de réduire le risque d’accès non autorisé.

Matériel vidéo avancé et capteurs environnementaux

Pour répondre à différents besoins de sécurité, Avigilon propose une large gamme de caméras de sécurité, incluant des caméras haute résolution pour une surveillance détaillée, des modèles performants en faible luminosité pour les parkings, et des caméras thermiques pour les scénarios exigeants de protection des abords. La gamme comprend également des caméras de sécurité avec IA, qui ajoutent une couche d’analyse intelligente au système.

L’écosystème peut être renforcé par des capteurs intelligents capables de détecter des menaces atmosphériques et environnementales. L’intégration de ces capteurs au réseau de caméras permet d’obtenir une vision globale de la situation sur l’ensemble du site.

Analyse vidéo et automatisation alimentées par l’IA

L’analyse vidéo basée sur l’IA met en évidence des schémas critiques comme les mouvements inhabituels dans des zones restreintes, le stationnement prolongé (loitering) et les accès non autorisés. Les fonctions d’analyse IA d’Avigilon sont conçues pour assister les opérateurs en évaluant automatiquement les flux vidéo et en signalant de manière proactive les événements suspects à l’équipe de sécurité. En pratique, cela réduit la charge de supervision manuelle et permet de concentrer l’attention sur une réponse priorisée aux incidents à haut risque.

Ces fonctions intelligentes sont essentielles pour accélérer la levée de doute et améliorer les capacités globales de réponse. Les alertes automatisées et l’activation de protocoles fluidifient la gestion des incidents, tandis que les notifications contextualisées fournissent au personnel de sécurité les informations précises nécessaires à une prise de décision rapide et éclairée.

Conclusion

La sûreté des sites joue un rôle essentiel dans la résilience exigée par NIS2. Le contrôle d’accès, la vidéosurveillance, la traçabilité des événements et la gouvernance des autorisations sont des éléments qui contribuent directement à la capacité d’enquêter sur les incidents et d’y répondre lorsqu’ils peuvent affecter des infrastructures critiques. L’intégration de ces composantes avec les environnements IT, OT et les processus du SOC permet d’obtenir une vision complète du risque et de renforcer la capacité opérationnelle de l’organisation.

Chaque entité doit adapter ces mesures à sa réalité, à son infrastructure et à son niveau de maturité. C’est pourquoi une évaluation ou un diagnostic de sûreté des sites peut aider à identifier les écarts, à prioriser les actions et à définir une feuille de route cohérente, toujours dans le respect du cadre réglementaire applicable, afin de structurer une démarche de conformité NIS2 et de mise en conformité NIS2 cohérente.