Les entreprises européennes sont-elles prêtes pour la directive NIS2 ?

Alors que les acteurs malveillants sont toujours plus nombreux, la directive NIS 2 a pour ambition de renforcer la protection des entités et d'amener davantage de coopération entre les Etats membres.

Alors que l’entrée en vigueur de la directive NIS2 approche, les organisations et les responsables de la gestion des risques à travers l'Europe sont focalisés sur la préparation des États membres. La nouvelle législation, qui entrera en vigueur en octobre 2024, doit renforcer la résilience collective des infrastructures critiques européennes en appliquant des exigences de sécurité plus importantes et harmonisées entre les différents Etats. La directive couvrira notamment les opérateurs de service essentiels, dont l’interruption d’activité pourrait avoir des conséquences économiques et sociales graves, comme l’énergie, les transports, l’infrastructure digitale ou encore le traitement des eaux usées. Si la directive NIS2 ne mentionne pas explicitement les équipements et réseaux OT et IoT, elle les inclut implicitement dans ses nombreuses exigences.

Il est nécessaire d'accorder une attention particulière à la gestion des risques au-delà de l'IT, afin d'inclure les technologies opérationnelles (OT). La directive NIS2 met l'accent sur la révision et l'amélioration des politiques et des procédures pour les mesures de gestion des risques liés à la cybersécurité. Les exigences portent notamment sur l'adoption de politiques d'analyse des risques et de sécurité de l'information, de mécanismes de traitement des incidents, de continuité des activités et de gestion des crises. Plus particulièrement, les normes de sécurité imposées par NIS2 incluent la sécurité de la chaîne d'approvisionnement, des réseaux et des systèmes d'information, ainsi que l'utilisation de la cryptographie et du chiffrement. Les États membres sont actuellement en train de définir les exigences fonctionnelles afin d’expliquer comment chaque pays doit prévoir de se conformer à la législation.

Des entreprises à la peine

Une récente étude interrogeant des responsables IT européens sur l’avancée de leur entreprise pour répondre aux critères de sécurité OT et IoT de la directive NIS2, montre que cette nouvelle législation est un défi conséquent pour les entreprises et industries d’infrastructure critiques. 29 % des responsables IT français interrogés déclarent que leur entreprise ne mène actuellement aucune analyse des risques, contre seulement 4% en Allemagne.

Selon le rapport 2023 de Fortinet sur l’OT Security, plus d’une organisation interrogée sur deux a subi une intrusion au cours de l’année précédente, avec des logiciels malveillants, du phishing ou encore des ransomwares qui visent à la fois l’IT et l’OT. Et lorsque l’on sait qu’encore de nombreuses entreprises ne mènent pas d’analyse des risques, peinent à identifier leurs équipements et donc sont dans l’impossibilité de les protéger efficacement, il est probable que les professionnels de la sécurité ne soient pas en mesure de détecter puis de résoudre les failles de sécurité qui pourraient mener à de lourds incidents sur les infrastructures critiques.

Qui est responsable de la cybersécurité OT et IoT

Les responsables IT sont toujours plus sollicités pour évaluer les exigences de connectivité et de sécurité OT et IoT. L’objectif est de protéger leurs entreprises contre les accès non autorisés, les manipulations et les temps d'arrêt involontaires dus à des attaques visant à atteindre ou à contourner les équipements OT et IoT. Toutefois, selon une étude récente, seuls 35% des organisations interrogées ont confié la responsabilité de la cybersécurité OT au CISOs (Responsable de la sécurité des Systèmes d’information). Beaucoup d’autres s’appuient encore sur le département IT dans son ensemble (24%) voir uniquement sur la technologie opérationnelle (18%). Pourtant, transférer cette responsabilité aux CISOs est cruciale car les appareils OT et IoT subissent désormais des attaques similaires à celles qui touchent l’IT.

Il est impératif d’investir dans la sécurité OT même si sa mise en œuvre est complexe. La clé de la gestion des risques réside dans l’utilisation des informations à disposition des entreprises pour pouvoir recenser ces risques. C’est pourquoi la surveillance de l’activité du réseau en temps réel est primordiale afin de connaître l’état des équipements qui le compose, qu’ils présentent ou non des vulnérabilités, et d’être en mesure de maîtriser leurs comportements quotidiens.

L'adoption d'une double approche (comprenant à la fois des éléments descendants et ascendants) pour évaluer la cybersécurité OT permet aux organisations d'identifier rapidement les risques critiques pour les environnements et les opérations OT. C'est un point de départ essentiel pour les organisations industrielles dans leur parcours pour assurer la protection contre les cyberattaques qui présentent un risque pour leurs opérations. Elles devront adopter des outils capables de détecter de manière fiable les incidents de sécurité, les violations de politiques et les anomalies de processus qui pourraient affecter la fourniture de produits, de ressources et de services essentiels.