Comment bien se préparer à l'arrivée de NIS 2

La directive européenne NIS2 impose des obligations plus strictes en matière de cybersécurité. Voilà les actions à prendre pour bien s'y préparer.

La directive Network and Information Security 2 (NIS2) de l'Union européenne est une nouvelle législation importante qui impose des obligations plus strictes en matière de cybersécurité aux entités opérant dans des secteurs critiques tels que l'énergie, les transports, la santé et les infrastructures numériques. La directive NIS2 rend également les dirigeants personnellement responsables s'ils négligent de traiter de manière adéquate les risques cybernétiques de leur organisation. Cette approche élargie reconnaît également l'interconnexion des technologies de l'information dans le paysage numérique d'aujourd'hui. Regardons ensemble les décisions clés que les organisations peuvent prendre pour répondre aux exigences de NIS2.   

Le paysage actuel de la cybersécurité  

Officiellement partie de la loi sur les marchés numériques (DMA) et devant être transposée en droit national d'ici le 17 octobre 2024, la directive NIS2 remplace et abroge la directive originale sur la sécurité des réseaux et de l'information (NIS). Elle vise à améliorer la gestion des risques liés à la cybersécurité, la notification des incidents, la sécurité de la chaîne d'approvisionnement et les risques liés aux tiers, ainsi qu'à introduire la responsabilité des dirigeants en cas de cyber incidents, tout en imposant des obligations strictes en matière de notification - pour ne citer qu'un exemple, une alerte rapide obligatoire doit être donnée immédiatement après une cyberattaque et communiquée à l'autorité compétente dans un délai de 24 heures. 

NIS2 comprend également des dispositions visant à améliorer le partage d'informations et la coopération entre les États membres afin de répondre à l'augmentation des cybermenaces transfrontalières. Il s'agit d'un domaine que je considère comme particulièrement important compte tenu de l'augmentation de la collaboration entre les acteurs malveillants.

Dans le cadre de NIS2, l'introduction du nouveau réseau européen d'organisations de liaison en cas de cybercrise (EU-CyCLONe) s'inscrit dans cette optique : il s'agit d'un système de coordination rapide de la gestion des crises qui doit être activé en cas de cyber incidents transfrontaliers de grande ampleur. Compte tenu de l'accélération récente des développements de l'IA, notamment de l'IA générative, et de la double frontière des risques et des nouvelles capacités qu'elle offre, cette priorité nécessaire à la protection des citoyens, étayée par la confiance des citoyens, ne peut que s'accroître. 

Comprendre NIS2 et son rôle

La directive NIS2 est la directive européenne la plus complète à ce jour, élargissant la portée au-delà des systèmes informatiques traditionnels pour inclure l'OT et les fournisseurs de services essentiels, avec des exigences plus strictes pour la gestion des risques et le signalement des incidents, une couverture plus large des secteurs et des sanctions plus sévères en cas de non-conformité. Cela comprend une amende potentielle de 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel des organisations du secteur public et privé concernées, ainsi qu'une variété de pénalités non financières, y compris des ordres de mise en conformité, des instructions obligatoires directes, des mandats pour des audits de sécurité et des alertes aux clients des organisations sur leurs risques potentiels.

La directive définit les "opérateurs de services essentiels" (OES) comme des entreprises et des organisations qui fournissent des services essentiels à la société, tels que l'énergie, la banque, les soins de santé, l'approvisionnement en eau et les services de transport. Cette définition met également en évidence l'impact mondial de NIS2. Par exemple, un fournisseur de produits ou de services opérationnellement critiques qui est basé hors de l'UE mais qui vend à une entreprise classée comme importante ou essentielle serait également dans le champ d'application, et nous pouvons nous attendre à voir des éléments connexes tels que l'évaluation des risques et les procédures de signalement des incidents intégrés dans les contrats futurs.

Dix exigences opérationnelles principales sont introduites dans la nouvelle législation, que toutes les entreprises dans son champ d'application doivent aborder ou mettre en œuvre dans le cadre de leurs mesures de cybersécurité. Ces exigences sont conçues pour remédier aux lacunes des règles précédentes, s'adapter aux besoins actuels et préparer l'avenir de la directive autant que possible compte tenu du paysage dynamique décrit.

Étapes clés pour répondre aux exigences de NIS2

Pour satisfaire aux exigences de NIS2, il faut examiner de près l'efficacité de vos mesures de défense contre les cybermenaces, la robustesse de vos protocoles censés arrêter les attaques et l'agilité de vos mécanismes de réponse pour contrer les dangers émergents. Et comme certains rapports récents indiquent que le coût de la mise en conformité pourrait augmenter de 22 % pour les organisations qui n'étaient pas soumises à NIS auparavant, il est impératif de bien se préparer, d'avoir accès à des connaissances fiables et à un soutien de confiance pour bien mettre en œuvre cette transition.

Aborder chaque exigence détaillée de NIS2 prend du temps et de l'engagement, mais les exigences tournent largement autour des thèmes clés suivants :

1/ Vérifier et maintenir la posture de sécurité : Il s'agit d'examiner dans quelle mesure votre entreprise est prête à lutter contre les cyberattaques. Il s'agit de savoir comment empêcher les attaques de se produire, à quelle vitesse votre entreprise peut réagir aux nouvelles menaces et quel type de technologie de sécurité vous utilisez, notamment des pare-feu ou des programmes antivirus. C'est un peu comme l'hygiène personnelle, mais pour la cybersécurité de votre entreprise.

2/ Protections spéciales des accès privilégiés : Dans le cadre de NIS2, la protection des accès spéciaux implique de se concentrer sur la gestion des accès et des identités (IAM), la gestion des accès à privilèges (PAM) et l'authentification multifactorielle (MFA). La gestion des accès consiste à s'assurer que les bonnes personnes ont le bon accès aux ressources numériques adéquates au bon moment. Il ne s'agit pas seulement de votre équipe, mais de tout l'écosystème de toutes les personnes avec lesquelles vous travaillez, comme les fournisseurs. 

3/ Renforcer les défenses contre les ransomwares : Les ransomwares restent un énorme casse-tête à l'échelle mondiale, avec des attaques notables telles que le Colonial Pipeline au Texas et le Health Service Executive en Irlande, qui ont perturbé des services critiques. Même si NIS2 ne cite pas nommément les ransomwares, il s'agit de s'attaquer à ce type de menaces cyber, les cybercriminels privilégiant désormais le vol de données et l'extorsion plutôt que le déploiement de ransomwares proprement dit.  Commencez par former votre équipe à la détection et à la gestion des risques liés aux ransomwares. Maintenez vos logiciels et vos systèmes à jour afin de combler les lacunes que les attaquants pourraient utiliser. Une gestion rigoureuse des accès est également essentielle pour réduire les voies d'accès aux logiciels malveillants.

4/Adopter une architecture Zero Trust : Dans le paysage actuel des cybermenaces, la combinaison d'un risque accru, d’une multitude de types de terminaux, de la flexibilité des modes de travail et de l'accès aux applications signifie que les frontières de la zone de confiance traditionnelle, qui se basait sur la sécurité périmétrique n'existent tout simplement plus. Les terminaux ne sont plus "les vôtres". C'est pourquoi la directive NIS2 incite les organisations à adopter une approche Zero Trust. Cela semble simple : s'assurer que chaque appareil et chaque utilisateur soit validé avant d'accorder l'accès - ne faire confiance à personne et à rien, que ce soit à l'intérieur ou à l'extérieur de votre réseau.

Bien qu'il s'agisse de thèmes généraux, certains aspects spécifiques de NIS2 peuvent revêtir une importance particulière pour votre organisation et votre secteur d'activité - et il peut être très utile de travailler avec un expert en conformité pour s'assurer que votre organisation respecte à la fois les thèmes généraux de NIS2 et la législation spécifique applicable. Il est également important d'agir rapidement et de commencer dès maintenant - alors que NIS2 représente un nouveau défi majeur pour les organisations de toutes tailles, il représente également une opportunité d'améliorer votre position globale en matière de cybersécurité et de protéger vos actifs critiques.