Projets

Pour NIS 2, la région Ile-de-France ouvre un service mutualisé d'évaluation des fournisseurs

Bernard Giry, DGA en charge de la transformation numérique à la région : « Nous amorçons la pompe avec 500 premiers fournisseurs évalués. »

La région met en place un service d'évaluation des fournisseurs ouvert aux plus de 200 collectivités du territoire concernées par NIS 2. Une mutualisation qui apparaît inéluctable tant pour les donneurs d'ordre que pour les fournisseurs eux-mêmes.

PublicitéMutualiser pour accompagner la montée en compétences des collectivités sur NIS 2. C'est le pari que fait la région Ile-de-France qui vient de passer un contrat d'évaluation du risque fournisseur ouvert aux plus de 200 collectivités franciliennes concernées par la législation européenne. La prestation est confiée à la start-up française Board of Cyber. « Dans le cadre de la création du CSIRT (Computer Security Incident Response Team) régional, la région propose déjà depuis deux ans et demi un service gratuit d'évaluation de la maturité cyber des collectivités », souligne Bernard Giry, directeur général adjoint en charge de la transformation numérique à la Région Ile-de-France.

C'est sur cette base que Board of Cyber, qui fournit déjà ce premier service, a proposé à la région d'entrer dans cette même logique de mutualisation pour les fournisseurs, la prise en compte de ce risque étant une des pierres angulaires de NIS 2. « Nous amorçons la pompe avec 500 premiers fournisseurs évalués et faisons le pari de voir d'autres collectivités régionales nous rejoindre », reprend Bernard Giry. « Pour les fournisseurs, ce mécanisme présente aussi un intérêt ; celui d'être évalué une seule fois, souligne Luc Declerck, le directeur général de Board of Cyber. Et, au niveau de la région, cette mutualisation permet de mettre en évidence les risques systématiques qui seraient liés à tel ou tel fournisseur. » Par exemple, un éditeur mal noté qui serait présent dans une part significative des collectivités entrant dans le champ de la réforme.

Evaluation de la surface d'attaque et, demain, cahier des charges dédié

Pour l'instant, la solution sera basée sur l'évaluation, via une note sur 1000 points, de la surface d'attaque externe (messagerie, DNS, patching de vulnérabilités, fuites de mot de passe...), soit le socle du service de Board of Cyber. Elle doit s'enrichir, l'an prochain, des résultats des réponses à un cahier des charges portant sur quelque 200 points de contrôle. « Nous l'avons décalé d'un an pour nous aligner sur les exigences NIS 2 de l'Anssi », indique Luc Declerck, qui précise que ce cahier des charges pourra aussi servir à des évaluations de maturité selon d'autres référentiels de cyber.

La première année, 500 fournisseurs - dont bon nombre d'éditeurs de solutions numériques - seront évalués régulièrement, un premier effort financé intégralement par la région (pour un coût annuel de moins de 250 000 euros intégrant aussi l'évaluation des collectivités). « Jusqu'alors ces évaluations avaient lieu à l'occasion de la passation de marchés, via des clauses et quelques audits. Cette fois, on parle d'une évaluation d'une toute autre ampleur », dit Bernard Giry, qui envisage également d'associer les métiers de la région à cette initiative, en particulier pour les fournisseurs impliqués dans la gestion des lycées. Pour l'instant, la démarche se veut incitative, le DGA envisageant de prendre contact avec les fournisseurs les moins bien notés. Mais, un fois les contrôles de conformité NIS 2 en place - soit probablement en 2028, selon Bernard Giry -, celle-ci pourrait devenir plus directive.