Opinions
Directive NIS 2 : 5 conseils pour assurer la conformité et la sécurité des e-mails
Par La rédaction, publié le 20 février 2025
Protéger ses e-mails ne se limite plus à filtrer les spams ! Avec la directive NIS 2, il faut chiffrer, surveiller, et même prévoir un plan B en cas de cyberattaque. Entre IA et forensic avancé, les entreprises doivent muscler leur sécurité pour rester conformes.
De Benoît Tremolet (General Manager France) & Florian Korhammer (CISO), Retarus
La directive NIS 2, actuellement en phase de transposition en droit national par les États membres de l’UE, demande aux entreprises de prendre « des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information […] et pour prévenir ou réduire au minimum l’impact des incidents ».
Comment les entreprises peuvent-elles procéder pour s’assurer que leurs infrastructures de messagerie y soient conformes ?
1 – Chiffrer les e-mails sensibles
L’article 21, section 2d de la directive NIS 2 prévoit des mesures visant à mieux sécuriser la chaîne d’approvisionnement, y compris les relations entre chacune des entités impliquées. Dans le cadre de la communication par e-mail, cela signifie qu’il faut sécuriser l’ensemble des interactions avec les fournisseurs, les prestataires et les partenaires.
Cela peut se faire par le biais du chiffrement. La section 2h de la directive NIS 2 stipule explicitement que les mesures de sécurité doivent inclure des politiques et des procédures d’utilisation du chiffrement. Dans la pratique, cependant, le chiffrement est souvent perçu comme trop compliqué et peu pratique. Il est donc nécessaire d’intégrer des solutions permettant de chiffrer les e-mails sortants directement dans les messageries en un seul clic, sans que l’utilisateur ait besoin de connaître les détails techniques ou la gestion des clés de chiffrement.
2 – Penser aux plans d’urgence pour assurer la continuité des activités
L’article 21, section 2c de la directive NIS 2 exige des mesures pour assurer la continuité des activités et des communications, tandis que la section 2j stipule l’utilisation de « systèmes de communication d’urgence sécurisés ». Il faut donc établir des plans d’urgence au cas où une cyberattaque rendrait la communication par e-mail impossible.
Dans la pratique, la gestion de la continuité de la messagerie électronique peut passer par la mise en place d’un service de webmail externe, indépendant et sécurisé, prêt à fonctionner en coulisses. En cas de problème, il suffit de basculer sur cette solution de secours, qui doit stocker les e-mails récents et les contacts.
3 – Vérifier les e-mails déjà envoyés et reçus
L’article 21, section 2b, prescrit des mesures pour répondre aux incidents. Pour cela, il faut être en mesure de détecter et d’enquêter rapidement sur les cyberattaques. Trouver le point d’entrée utilisé pour pénétrer dans le réseau est d’une importance cruciale. Il faut ici pouvoir identifier rapidement les destinataires de courriels malveillants ayant déjà été envoyés, en utilisant par exemple une technologie de recherche du ‘patient zéro’, qui génère une empreinte numérique pour chaque pièce jointe dès la réception d’un e-mail. Ces empreintes numériques sont stockées dans une base de données et comparées en permanence à la base de connaissance la plus récente et aux résultats de la recherche globale sur les logiciels malveillants. Si un message potentiellement dangereux est découvert dans une boîte de réception, il peut être automatiquement supprimé ou placé en quarantaine.
4 – Améliorer la criminalistique
L’article 23 de la directive NIS 2 définit des obligations strictes en matière de notification. Les entreprises concernées sont tenues d’informer l’autorité de surveillance compétente (ou le CSIRT) dans les 24 heures suivant tout incident ayant un impact significatif. Dans les 72 heures suivant l’incident, l’entreprise doit fournir une notification de suivi, et un rapport final comprenant une description détaillée de l’incident doit être soumis un mois plus tard. Pour répondre à ces exigences, il faut pouvoir accéder rapidement aux informations pertinentes. Il est donc essentiel de rassembler et d’analyser les informations de sécurité provenant de l’infrastructure de messagerie dans un cadre de sécurité global tel que le SIEM. Les données doivent être mises à disposition en temps réel au moyen d’une interface sécurisée.
5 – Prendre des mesures globales de renforcement des messageries
Les mesures de sécurité de base de protection des messageries ne couvrent qu’une partie des menaces. Les cybercriminels développent en permanence de nouvelles variétés de logiciels malveillants que les systèmes de sécurité basés sur des signatures sont incapables de détecter tant qu’il n’y a pas de modèle de correspondance disponible pour les vérifier. En outre, les filtres de phishing classiques ont du mal à distinguer les messages inoffensifs de ceux provenant d’attaques par ingénierie sociale.
Pour minimiser les risques, les entreprises doivent mettre en place une protection plus avancée des e-mails, pouvant par exemple inclure des analyses assistées par l’IA capables de détecter les fausses adresses d’expéditeur ou de domaine. Une autre option est la protection au moment du clic (‘Time-of-Click protection’), une technologie qui vérifie tous les liens contenus dans les e-mails entrants et les bloque s’ils sont dangereux, avant que l’utilisateur n’ait la possibilité de cliquer dessus. Pour détecter les nouveaux logiciels malveillants, l’analyse des ‘sandbox’ est également indispensable pour identifier les e-mails contenant des pièces jointes suspectes et mettre en évidence les comportements menaçants.
Pour que la sécurité du courrier électronique soit conforme à la norme NIS 2, il ne suffit donc pas de vérifier les messages entrants et sortants. Les entreprises doivent examiner de près l’ensemble de leur infrastructure de messagerie, et élaborer des politiques et des procédures pour détecter les menaces et avancer vers l’objectif commun d’optimisation de la cybersécurité en Europe.
À LIRE AUSSI :
