NDR et NIS 2 : les bonnes pratiques pour se mettre en conformité avec NIS 2

Le monde de la cybersécurité est en constante évolution. Sur le plan règlementaire, NIS 2 entend renforcer la cyber-résilience des entreprises. Que prévoit ce nouveau cadre et comment s'y préparer ?

Le monde de la cybersécurité est en constante évolution : talents, produits, technologies mais aussi exigences réglementaires. C’est un milieu avec de nouvelles considérations à prendre en compte presque chaque jour.

À l’heure d’une menace de plus en plus évolutive et avancée, les projecteurs sont braqués sur la Commission Européenne qui doit se positionner sur de nombreux sujets réglementaires cette année: le CRA - Cyber Resilience Act, l’AI Act, DORA (Digital Operational Resilience Act)  et NIS 2 (Network and Information Security).

NIS 2, une nécessaire évolution du cadre réglementaire

Allant bien au-delà des objectifs de NIS 1, NIS 2 entend renforcer la résilience globale des entreprises en matière de cybersécurité en s’adressant à des nouveaux secteurs et entités à présent cibles critiques. Une évolution nécessaire au vu de la menace croissante et perfectionnée, visant des acteurs tels que les collectivités, les établissements publics de santé, les établissements supérieurs d’éducation et l’ensemble des acteurs de la chaîne d’approvisionnement, non compris au sein de NIS 1.

De plus, NIS 2  permettra également de répondre à l’application hétérogène de l’ancienne directive par les Etats Membres, afin de résorber le manque de cohérence et la fragmentation flagrante dans le traitement des cyberattaques pour les secteurs sensibles à l’échelle européenne.

Grâce à ce nouveau cadre réglementaire, de nettes améliorations sont attendues :

-      Une harmonisation de la mise en œuvre de la directive à l’échelle du continent européen avec une réglementation plus précise. 

-      Un renforcement du niveau global de sécurité avec des critères stricts et proportionnels en fonction de la catégorisation de l’organisation donnée, entre entités essentielles ou importantes.

-      Une responsabilité et des capacités accrues de supervision, contrôle et sanction pour les Etats Membres afin d’assurer la bonne mise en place de ces mesures à l’ensemble des périmètres concernés.

-      Une responsabilité également partagée par les entreprises qui se doivent d’assurer la gestion de leurs risques.

Mais en tant qu’entreprise, comment répondre à ces enjeux de conformité rapidement ?

Tout d’abord, aucune mesure concrète et à valeur obligatoire n’a été encore abordée (en dehors de la notification de personnes de contacts, des procédures de déclaration d'incident et de partage d'informations). Les Etats sont aujourd’hui en plein travail de transposition à leur niveau national respectif et les entités concernées devront attendre les précisions au niveau européen et national, notamment en termes de correspondance avec d’autres législations venant s’ajouter à NIS 2.   

On sait cependant que les enjeux pour les entreprises résideront notamment dans :

-      L’identification et la protection des risques. 

-      La protection des données et des informations sensibles.

-      L’investissement ou le renforcement des technologies de cybersécurité.

-      La mise en place de mesures de gestions d’incidents et de notification au CSIRT.

-      La formation et la sensibilisation des employés.  

Par ailleurs, une politique de gouvernance doit être mise en place par les nouvelles entités concernées, afin d’assurer un management adéquat de leurs risques en fonction de leur SI (audit, analyse de risques, indicateurs de sécurité, accréditation, cartographie etc.). Certains éléments clés de protection seront à considérer concernant les politiques de sécurité liées à l’architecture en elle-même, l’administration, les accès (IAM), ou encore la maintenance, (cloisonnement des réseaux, accès à distance, filtrage, authentification sécurisées …). Enfin, des mesures appropriées et renforcées de détection mais également de réponse et de gestion d’incident, doivent être mises en place afin de maintenir la continuité des activités dans une situation de crise si une cyberattaque devait survenir sur les  réseaux de l’entité (MCS, MCO, traitement des alertes, politique de gestion de crise …).

De plus, maintenir une visibilité complète sur le SI est essentielle pour les entreprises et organisations : celle-ci peut être atteinte au moyen des catégories de solutions dites réseau, tel que le NDR (Network Detection and Response), qui offre un inventaire et une cartographie de l’intégralité des  actifs et des comportements utilisateurs sur le réseau.  Contrairement aux systèmes EDR (Endpoint Detection and Response) qui collectent les données de terminaux, les systèmes NDR se concentrent sur le trafic réseau. Si l’EDR reste à ce jour la solution plébiscitée par près de deux tiers de décideurs IT européens, la considération grandissante pour les solutions de détection et de réponse (NDR) illustre le besoin de visibilité sur l’ensemble du réseau informatique et la nécessité pour les organisations de se protéger face aux menaces d’envergure.

Pour les organisations, une fois les risques et enjeux identifiés, il est important de maîtriser son SI et de respecter ses politiques de sécurité en s’adaptant par exemple à ses différents réseaux restreints et confidentiels.  Le NDR, en tant que pilier d’une  stratégie, permet aux organisations de venir renforcer leur position globale de cybersécurité – qu’il s’agisse d’un premier investissement dans une solution de cybersécurité ou d’un renforcement des technologies déjà présentes.

La conformité, un voyage continu plutôt qu’une destination

Aujourd’hui, la conformité doit être perçue comme une opportunité stratégique pour les entreprises, et non pas une contrainte supplémentaire à remplir pour pouvoir être « dans la norme » réglementaire. 

Il faut se positionner dans une logique à long terme. Se mettre en conformité permet aux organisations non seulement de construire une réponse globale et actuelle à l’ensemble des besoins de conformité (NIS, DORA, CRA, ISO 27001 … etc.) mais aussi d’anticiper les futures évolutions réglementaires.

Au-delà de la conformité, les technologies réseau  – tel que le NDR – permettent d’élever le niveau global de cybersécurité et d’optimiser les  investissements pour une détection et réponse face aux menaces des plus efficaces. En effet, bâtir sa stratégie de cybersécurité avec le NDR comme pilier, c’est faire le choix d’une stratégie cyber pérenne, avec comme clé de voûte l’anticipation. Aussi bien pour les cyberattaquants que pour les défenseurs, le temps est la clé. L’objectif est de pouvoir répondre efficacement à des menaces futures certaines et potentielles, grâce à un système de défense adapté et réactif.  

Les organisations ont tout intérêt à penser NIS 2 comme un guide pour identifier et hiérarchiser leurs risques, leurs zones de faiblesses, mais aussi leurs points forts en matière de cybersécurité, afin de dresser une stratégie dynamique de lutte contre les cyberattaques. La conformité, lorsqu'elle est abordée de manière stratégique, se transforme en une réelle opportunité et avantage concurrentiel.


***

[1] Enquête européenne réalisée par Vanson Bourne pour Gatewatcher, Mai 2023 : https://www.gatewatcher.com/wp-content/uploads/2023/10/Gatewatcher_La_menace_APT_en_Europe_Comment_sadAPTer_FR.pdf