Conformité au NIS2 pour le secteur de la gestion des services TIC (B2B)

Les fournisseurs de gestion des services TIC jouent un rôle central dans le soutien des activités numériques des entreprises à travers l'Union européenne. Les managed service providers (MSPs), managed security service providers (MSSPs) et les opérateurs informatiques externalisés ont souvent un accès privilégié aux réseaux, aux infrastructures et aux données des clients. En conséquence, ils représentent à la fois des vecteurs critiques et des points de concentration potentiels du risque cyber.

La Directive NIS2 établit des obligations de cybersécurité applicables dans l'ensemble de l'UE pour les entités Essential et Important et élargit considérablement le périmètre du cadre NIS initial. La conformité au NIS2 pour la gestion des services TIC (B2B) vise à réduire le risque systémique créé par des fournisseurs TIC tiers desservant plusieurs secteurs.

La Directive s'applique aux organisations de taille moyenne et grande opérant dans les secteurs désignés, y compris la gestion des services TIC. De nombreux fournisseurs TIC B2B peuvent être concernés en fonction des seuils de taille.

Si votre organisation fournit des services de gestion des services TIC sur une base B2B, vous pouvez relever du NIS2 en tant qu'entité Important.

Le secteur de la gestion des services TIC (B2B) est classé comme :

Annexe pertinente : Annexe II (Important Entities)

Ces entités fournissent des services liés aux TIC aux clients professionnels, incluant souvent la surveillance des systèmes, la gestion des infrastructures, les services de cybersécurité, la gestion du cloud et l'externalisation informatique.

Les organisations répondant aux seuils de taille applicables sont considérées comme des entités Important en vertu du NIS2.

• Entité Important en vertu de l'Annexe II

• Fournisseurs de services gérés (Managed service providers - MSPs)
• Fournisseurs de services de sécurité gérés (Managed security service providers - MSSPs)

Couverture du sous-secteur (Annexe II – Gestion des services TIC (B2B)) :

La conformité au NIS2 pour la gestion des services TIC (B2B) s'applique à :

Cela inclut les MSPs et MSSPs qui fournissent des services continus de gestion, de surveillance ou de sécurité aux organisations clientes.

Les règles d'applicabilité du NIS2 aux PME sont particulièrement pertinentes dans ce secteur, car de nombreux fournisseurs de services TIC opèrent à l'échelle de moyennes entreprises. Même les fournisseurs desservant principalement des PME peuvent être concernés s'ils atteignent les seuils de taille de l'UE.

Comme les fournisseurs de gestion des services TIC servent souvent des entités Essential dans plusieurs secteurs, leur posture de cybersécurité présente un intérêt réglementaire accru.

• Entreprises de taille moyenne (≥50 employés et/ou €10 millions de chiffre d'affaires annuel ou total du bilan)
• Grandes entreprises dépassant ces seuils

En vertu de l'Article 21 de la Directive NIS2, les fournisseurs de gestion des services TIC doivent mettre en œuvre des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité.

Les mesures obligatoires comprennent :

Pour les fournisseurs de gestion des services TIC, ces mesures de sécurité NIS2 doivent couvrir les contrôles d'accès à distance, la gestion des comptes à privilèges, les outils de surveillance des systèmes clients et les plateformes de livraison de services sécurisées.

La conformité au NIS2 pour la gestion des services TIC (B2B) exige une gouvernance interne solide des identifiants administratifs, une segmentation entre les environnements clients et des capacités robustes de journalisation et de surveillance. Étant donné que ces fournisseurs peuvent agir comme des portes d'entrée vers les systèmes clients, leurs contrôles doivent être particulièrement stricts.

• Cadre de gestion des risques
• Procédures de gestion des incidents
• Continuité des activités et reprise après sinistre
• Sécurité de la chaîne d'approvisionnement
• Développement et maintenance sécurisés
• Politiques sur le chiffrement et la cryptographie
• Contrôle d'accès et authentification multifacteur (MFA)
• Gestion des vulnérabilités et des correctifs
• Formation à l'hygiène cyber
• Utilisation de communications sécurisées

Les fournisseurs de gestion des services TIC doivent respecter les délais de signalement des incidents prévus par le NIS2 lorsqu'un incident majeur se produit.

Les obligations de signalement comprennent :

Les rapports doivent être soumis au CSIRT national compétent ou à l'autorité compétente.

La règle de signalement sous 24 heures du NIS2 est particulièrement importante pour les fournisseurs TIC dont les systèmes peuvent affecter plusieurs clients simultanément. Les incidents impliquant un accès à distance non autorisé, des attaques par ransomware ou la compromission d'une plateforme de service peuvent être considérés comme des incidents significatifs.

Le non-respect des délais prescrits peut entraîner des mesures d'exécution et des amendes administratives.

La conformité au NIS2 pour la gestion des services TIC (B2B) impose une responsabilité directe à l'organe de direction.

Les exigences clés en matière de gouvernance comprennent :

L'Article 21 de la Directive NIS2 précise que la cybersécurité n'est pas uniquement une question technique. La haute direction des MSPs et MSSPs doit garantir une gestion des risques, une documentation et une supervision de la conformité adéquates.

Étant donné que les fournisseurs de services TIC soutiennent plusieurs clients réglementés, des défaillances de gouvernance peuvent engendrer un risque en aval amplifié.

• Approbation des mesures de gestion des risques de cybersécurité par l'organe de direction
• Surveillance continue de la mise en œuvre
• Formation obligatoire à la cybersécurité pour la direction
• Exposition potentielle à une responsabilité personnelle en vertu du droit national

En tant qu'entités de l'Annexe II, les fournisseurs de gestion des services TIC classés comme entités Important sont soumis à une supervision réactive. Les autorités compétentes initient généralement des mesures de supervision à la suite de preuves, d'indications ou d'une notification de non-conformité.

Les amendes administratives pour non-conformité sont :

Les lois de transposition nationales peuvent préciser davantage les mécanismes de supervision, mais la Directive fixe des seuils minimaux d'amende harmonisés entre les États membres.

Compte tenu du risque de concentration associé aux fournisseurs TIC, des actions coercitives peuvent suivre des incidents transversaux importants.

• Entités Important : Jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total (selon le montant le plus élevé)

Les PME de gestion des services TIC devraient adopter une approche structurée pour la conformité au NIS2 :

Une préparation précoce réduit le risque de sanctions et renforce la confiance des clients.

1. Réaliser une évaluation des écarts NIS2
2. Cartographier les systèmes critiques exposés aux clients et les privilèges administratifs
3. Formaliser un cadre documenté de gestion des risques cybersécurité
4. Mettre à jour et tester les procédures de réponse aux incidents et de notification des violations
5. Examiner les contrats avec les sous-traitants et fournisseurs technologiques tiers
6. Former la direction exécutive et les responsables de la prestation de services
7. Établir un flux de signalement 24h/72h/1 mois

Les fournisseurs de gestion des services TIC font face à des risques spécifiques au secteur dans le cadre du NIS2 :

La conformité au NIS2 pour la gestion des services TIC (B2B) est donc à la fois une obligation réglementaire et un facteur différenciant sur le marché des services B2B.

• Risque de concentration : Un seul incident peut affecter plusieurs clients simultanément.
• Exposition aux accès privilégiés : La compromission des identifiants administratifs peut avoir un impact étendu.
• Compromission de la chaîne d'approvisionnement : Les sous-traitants ou fournisseurs d'outils peuvent introduire des vulnérabilités.
• Amendes réglementaires : La non-conformité expose les fournisseurs à des pénalités financières significatives.
• Responsabilité contractuelle : Les clients peuvent engager des recours contractuels suite à des perturbations de service.