Les points essentiels de NIS2 que chaque organisation devrait connaitre

Une échéance importante approche pour la directive sur la sécurité des réseaux et de l'information (NIS2), la dernière réglementation en matière de cybersécurité dans l'Union européenne. D'ici le 17 octobre, tous les États membres de l'UE auront adopté une législation transposant la directive NIS2 dans leur droit national, ce qui en fera le cadre de cybersécurité le plus important pour les entreprises exerçant leurs activités en Europe.

Lors d'une récente discussion avec Raphaël Peyret, Director of Product Management, Cloud Security, chez Bitdefender, nous avons discuté de l'impact de la directive NIS2 sur les entreprises et des mesures clés qu'elles doivent prendre pour assurer leur conformité en 2024. Voici les questions clés auxquelles vous devez répondre :

Quel est l’objectif de NIS2 ?

NIS2 est un acte législatif adopté par l'UE qui s'efforce de définir et d'appliquer un niveau commun élevé de cybersécurité dans les pays membres. Si la majeure partie de la loi s'applique aux pays de l'UE et à leurs entités nationales chargées de la cybersécurité, NIS2 comporte deux exigences majeures pour les organisations privées : la mise en œuvre d'une stratégie de gestion des risques (article 21) et la notification des incidents de cybersécurité importants susceptibles d'entraîner des temps d'arrêt - que l'intention soit malveillante ou accidentelle (article 23). L'article 21 de la directive énumère les domaines et les technologies spécifiques qui doivent être couverts par les organisations, notamment l'analyse des risques, le traitement des incidents, la continuité des activités, la sécurité des réseaux, le chiffrement, le contrôle d'accès, la gestion des actifs, l'authentification multifactorielle (MFA) et d'autres encore.

Qui est impacté par NIS2?

NIS2 s'applique aux moyennes et grandes entreprises et décrit 18 secteurs d'activité soumis à la directive. Il s'agit notamment de 11 secteurs de haute criticité, à savoir l'énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, les fournisseurs de services gérés (y compris les fournisseurs de services de sécurité gérés), l'administration publique et l'espace. Bien que le NIS2 s'applique à toute organisation opérant dans ces secteurs, certaines industries peuvent être soumises à des exigences de conformité plus strictes par le biais d'une législation supplémentaire, comme la loi sur la résilience opérationnelle numérique (DORA) qui s'applique au secteur financier. Chaque État membre de l'UE publiera une liste des entités soumises à NIS2 et à la législation complémentaire. Ces listes sont attendues pour le 17 avril 2025 et les organisations peuvent être amenées à s'auto-enregistrer, ce qui oblige les responsables de la conformité à faire preuve de diligence raisonnable pour déterminer dans quelle mesure elles seront affectées.

Quel est le lien entre NIS2 et RGPD (règlement général sur la protection des données) ?

NIS2 est un texte législatif supplémentaire qui s'applique en plus du RGPD et séparément de celui-ci. Le RGPD se concentre sur la protection de la vie privée des clients, en décrivant les garanties de base que les entreprises doivent mettre en œuvre pour protéger leurs données. NIS2 concerne l'infrastructure de cybersécurité proprement dite, en veillant à ce que les entreprises emploient des stratégies de cybersécurité robustes qui ont fait leurs preuves pour empêcher les cybercriminels de pénétrer dans les endpoints et les réseaux.

Quels sont les défis auxquels les organisations seront confrontées lorsqu'elles devront répondre aux exigences de NIS2 ?

NIS2 a été rédigé spécifiquement pour donner aux pays membres la possibilité de s'appuyer sur la base de NIS2 pour réglementer les entreprises locales, soit en fournissant des orientations plus spécifiques, soit en ajoutant des exigences. C'est une bonne chose, mais l'absence de lignes directrices spécifiques introduit beaucoup de flou et d'incertitude dans les efforts de mise en conformité. La gestion des risques peut signifier beaucoup de choses différentes à divers degrés d'efficacité. Il en va de même pour les rapports d'incidents. Faut-il divulguer toutes les alertes ou seulement les violations réussies ?

La notification doit-elle être faite uniquement à l'entité nationale chargée de la notification ou les utilisateurs ou clients concernés doivent-ils également être informés ? Et qu'est-ce qui est considéré comme une réussite ou un événement important ? Il y a beaucoup d'ambiguïté à laquelle les entreprises vont devoir répondre.

Comment les organisations peuvent-elles s'assurer qu'elles sont conformes ?

L'article 21 de NIS2 décrit les processus et technologies spécifiques qui doivent être mis en œuvre. Ces processus et technologies sont les suivants :

• Politiques en matière d'analyse des risques et de sécurité des systèmes d'information : Les organisations doivent élaborer et maintenir des politiques globales qui traitent de l'analyse des risques et de la sécurité globale des systèmes d'information. Cela garantit une approche systématique de la gestion des risques et de la sécurité, de sorte que les menaces potentielles soient identifiées et atténuées rapidement.
  
  
• Gestion des incidents : Établir des procédures claires pour gérer les incidents de cybersécurité et y répondre. Il s'agit notamment d'actions de réponse immédiate, de mesures de confinement, de communication et d'analyse post-incident afin d'éviter que de tels incidents ne se reproduisent.
  
  
• Continuité des activités, comme la gestion des sauvegardes, la reprise après sinistre et la gestion de crise : Les organisations doivent mettre en œuvre des stratégies de reprise ou de maintien rapide des activités en cas de perturbation, y compris une solide gestion des sauvegardes, des plans de reprise après sinistre et des protocoles de gestion de crise pour garantir la résilience.
  
  
• Sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services : Cette exigence souligne l'importance de sécuriser l'ensemble de la chaîne d'approvisionnement, en veillant à ce que les pratiques de sécurité soient appliquées de manière cohérente par tous les fournisseurs et prestataires de services afin de prévenir les vulnérabilités.
  
  
• Sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités : Les organisations doivent intégrer des pratiques de sécurité tout au long du cycle de vie des réseaux et des systèmes d'information, de l'acquisition à la maintenance, et prévoir des procédures de gestion et de divulgation des vulnérabilités. Les organisations qui développent des logiciels doivent également intégrer la sécurité dans leur cycle de développement.
  
  
• Politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques liés à la cybersécurité : Des évaluations régulières de l'efficacité des mesures de cybersécurité sont nécessaires pour s'assurer que les stratégies de gestion des risques fonctionnent comme prévu et s'adaptent aux nouvelles menaces.
  
  
• Pratiques de base en matière de cyber hygiène et formation à la cybersécurité : Les organisations doivent mettre en œuvre des pratiques fondamentales en matière de cybersécurité et assurer une formation continue pour veiller à ce que tous les employés comprennent et suivent les meilleures pratiques.
  
  
• Politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, du chiffrement : Des politiques strictes en matière de cryptographie doivent être mises en place, y compris l'utilisation du chiffrement si nécessaire, afin de protéger les informations et les communications sensibles.
  
  
• Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs : Cela englobe tous les aspects de la gestion des identités et des accès (IAM), en veillant à ce que seul le personnel autorisé ait accès aux systèmes critiques et que tous les actifs soient comptabilisés et sécurisés.
  
  
• L'utilisation d'une authentification multifactorielle ou de solutions d'authentification continue, de communications vocales, vidéo et textuelles sécurisées, et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant : La mise en œuvre de mécanismes d'authentification robustes et la sécurisation de toutes les formes de communication au sein de l'organisation sont essentielles pour empêcher les accès non autorisés et garantir la sécurité des opérations en cas d'urgence.

La bonne nouvelle, c'est que la plupart des organisations font déjà quelque chose autour de la gestion des risques et du signalement des incidents - soit comme meilleure pratique, soit dans le cadre d'un autre effort de mise en conformité. Les normes ISO 27001 et SOC 2 couvrent en grande partie les mêmes exigences en matière de gestion des risques que NIS2, et je me risquerais à dire que si vous vous conformez à l'une ou l'autre de ces normes, vous n'aurez aucun problème à vous conformer aux exigences énoncées dans NIS2 ou dans la législation nationale qui l'accompagne. En ce qui concerne les rapports d'incidents, la plupart des organisations constateront que les exigences de NIS2 - en particulier l'exigence d'une notification d'alerte rapide dans les 24 heures - sont plus rigoureuses que leurs capacités existantes, ce qui pourrait nécessiter un réexamen. Quoi qu'il en soit, il serait extrêmement utile de contacter votre agence nationale de cybersécurité pour obtenir des informations sur les lois spécifiques à votre pays.

Pendant ce temps, que peuvent faire les organisations ?

Alors que vous vous préparez à NIS2 et à d'autres réglementations émergentes, il est essentiel de réfléchir à la manière dont vos partenaires en cybersécurité peuvent vous aider à vous mettre en conformité et à renforcer votre posture de sécurité globale. Le bon partenaire ne se contente pas de vous équiper de capacités avancées telles que la détection et la réponse en temps réel sur les terminaux et les environnements cloud, mais propose également des mesures proactives telles que les tests de pénétration (Pen Test) et le Red Teaming afin d'identifier les vulnérabilités avant qu'elles ne soient exploitées. En outre, la gestion et la sécurisation de votre posture dans le cloud et l'extension de la détection et de la réponse à l'ensemble de votre infrastructure sont des éléments essentiels d'une stratégie de sécurité complète. En choisissant un partenaire disposant d'une expertise approfondie et d'un ensemble de services robustes adaptés à vos besoins, vous pouvez vous assurer que votre organisation est bien préparée à la conformité et protégée contre les menaces émergentes.

Cependant, il ne s'agit pas seulement des opérations internes. Le niveau de sécurité de l'ensemble de votre chaîne d'approvisionnement est tout aussi essentiel. Dans le paysage commercial interconnecté actuel, il est essentiel de s'assurer que vos fournisseurs, distributeurs et autres partenaires maintiennent des contrôles de sécurité appropriés. Cela peut impliquer des conversations difficiles et une évaluation approfondie des mesures de sécurité en place tout au long du cycle de vie du produit, mais il s'agit d'une étape vitale pour empêcher les vulnérabilités potentielles d'affecter votre organisation.

Pour relever ces défis, réfléchissez à la manière dont vos partenaires en cybersécurité peuvent vous aider à atteindre ces objectifs. Qu'il s'agisse d'améliorer votre visibilité, de renforcer la sécurité de votre chaîne d'approvisionnement ou de vous préparer à de futures réglementations telles que NIS2, le choix d'un partenaire disposant d'une expertise approfondie et d'une approche globale peut faire toute la différence.

En fin de compte, la conformité à la norme NIS2 résultera d'un partenariat étroit entre votre organisation, l'autorité locale et vos partenaires et fournisseurs en matière de cybersécurité.