Secu
NIS2 : une opportunité de sécurité au-delà de la conformité
Par La rédaction, publié le 16 novembre 2023
Avec l’adoption de NIS2, l’Union européenne franchit un nouveau cap dans la protection de ses infrastructures numériques. Cette nouvelle directive étend considérablement le périmètre de la cybersécurité, englobant désormais une diversité d’entités et mettant l’accent sur la sécurisation de la supply chain. NIS2 ne laisse aucune place à l’improvisation, il faut s’y préparer…
Par Dirk Schrader, Resident CISO (EMEA) and VP of Security Research chez Netwrix
NIS2, une révision de la directive NIS de 2016, a été adoptée en janvier 2023 et entrera en vigueur au sein de l’Union européenne d’ici le 17 octobre 2024.
Comme la première directive, NIS2 vise à harmoniser et à renforcer la cybersécurité à travers l’Europe. Cependant, celle-ci comporte des changements significatifs en termes d’objectifs et de champ d’application, en particulier la sécurisation de la supply chain par le biais d’une responsabilité partagée.
Les points-clés de la directive NIS2
NIS2 introduit de nouvelles règles pour renforcer les exigences et la cybersécurité des entreprises dans tous les États membres de l’UE.
La législation s’applique aux entreprises comptant plus de 50 employés et dont le chiffre d’affaires est supérieur à 10 millions d’euros. Auparavant, seules les entreprises du secteur de l’énergie et des transports, les banques et les institutions financières, les organismes de santé, les réseaux d’eau et certaines infrastructures numériques étaient concernées. Avec la nouvelle directive, environ 600 types d’entités différentes devront désormais se conformer à la directive, des petites et moyennes entreprises aux groupes boursiers du CAC40. En France, elle s’appliquera à des milliers d’organisations dans plus de dix-huit secteurs.
NIS2 s’appliquera à l’ensemble de l’UE. C’est une innovation majeure car elle va permettre d’éliminer les disparités dans la mise en œuvre de NIS entre les États membres. La directive prévoit en effet d’aligner les exigences en matière de rapports sur les incidents de sécurité pour les entreprises couvertes.
En outre, NIS2 met l’accent sur l’amélioration de la connaissance et de la sensibilisation en termes de cybersécurité, en facilitant l’échange d’informations pertinentes entre toutes les entités couvertes et toutes les organisations tierces nécessaires à leur supply chain. Ces informations incluent les menaces, les vulnérabilités, les TTP (tactiques, techniques et procédures) et les signes de compromission (IoC). Les obligations de notification ont également été élargies, notamment pour les incidents entrainant des dommages opérationnels ou financiers importants.
Se préparer pour la mise en conformité avec NIS2
Les articles 21 et 23 de la directive NIS2 définissent les mesures techniques, opérationnelles et organisationnelles nécessaires pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information, ainsi que les obligations en cas d’incident. Afin de répondre à ces exigences, il convient de créer une architecture de sécurité basée sur les cinq axes fondamentaux du cadre de cybersécurité (CSF) du NIST (National Institute of Standards and Technology), à savoir identifier, protéger, détecter, réagir et se remettre.
L’optimisation de la gouvernance des données, des identités et de l’infrastructure est un élément clé de la conformité à NIS2. En effet, les couches d’identité et de données constituent l’essentiel de l’infrastructure informatique et présentent généralement le plus grand nombre de vulnérabilités en matière de sécurité. Pour les organisations, cela signifie qu’il faut donner la priorité à la gestion des identités et des accès (IAM) et à la gouvernance des accès aux données (DAG).
À LIRE AUSSI :
Les solutions IAM aident les organisations à détecter toute tentative d’accès non désirée en mettant en œuvre une forte gouvernance en termes d’identité, et à limiter l’accès aux systèmes, aux données et aux applications selon le principe du moindre privilège. Aussi, les stratégies fondamentales comprennent l’application de politiques strictes en matière de mots de passe et le contrôle rigoureux des comptes privilégiés.
Les solutions DAG permettent quant à elles aux organisations d’identifier les données sensibles dont elles disposent, l’endroit où elles sont stockées et les personnes qui y ont accès, soit directement, soit par des voies d’attaque plus complexes, et de les protéger efficacement. Ces solutions fournissent également un audit continu pour repérer les activités suspectes liées à ces données, les changements d’identité non désirés et les modifications inhabituelles de l’intégrité ou de l’état de sécurité d’un système ; autant d’éléments qui peuvent indiquer une attaque en cours. Des options de réponse automatisées et personnalisables aideront également à répondre de manière proactive aux menaces en les bloquant, en minimisant l’impact des incidents ainsi qu’en aidant les organisations à se rétablir rapidement et soutenir les exigences en matière de rapports dans la directive NIS2.
Les entreprises disposent d’un large éventail de solutions pour les aider à gérer leurs données sensibles. Elles sont à même de gérer à la fois les identités privilégiées et les utilisateurs réguliers, et peuvent également identifier et atténuer les risques liés à l’identité, tels que les voies d’attaque vers les données sensibles. Les solutions de sécurité des données aident les organisations à améliorer leur cyber-hygiène et à protéger leur infrastructure informatique en détectant les vulnérabilités et en y remédiant.
NIS2 : une opportunité au-delà de la conformité
Cette nouvelle directive donne aux entreprises l’occasion de reconsidérer leur approche de la cybersécurité et de passer d’une approche réactive à une approche proactive de la gestion des risques. Elle leur confère également la possibilité d’évaluer leurs capacités et leurs opérations par rapport aux exigences renforcées en matière de cybersécurité.
L’augmentation du nombre d’entreprises couvertes par NIS2 permet aux organisations de s’assurer que leurs partenaires et fournisseurs de taille moyenne prennent les mesures nécessaires pour se protéger contre les cybermenaces. C’est un point particulièrement important à l’heure où la supply chain est une cible prioritaire pour les cybercriminels.
À LIRE AUSSI :
Pour les organisations qui n’ont pas encore mis en place de stratégie de sécurité avec les outils appropriés, il s’agit d’un rappel pour évaluer les cyber-risques et les prendre au sérieux. Les acteurs malveillants et les menaces internes peuvent gravement nuire à une entreprise, à sa santé financière et à sa réputation. C’est pourquoi la mise en œuvre de contrôles appropriés offre des avantages qui vont bien au-delà de la conformité réglementaire.
Alors que les cybermenaces continuent de s’intensifier et de devenir plus sophistiquées, la directive NIS2 apparaît comme un guide destiné à aider les entreprises à prendre conscience des cyber-risques et de la voie vers la cyber-résilience. D’une manière plus générale, les lois relatives à la cybersécurité sont de plus en plus nombreuses et strictes. Les entreprises doivent donc commencer à se conformer dès maintenant afin d’éviter de contracter une dette de conformité qui sera difficile à surmonter à long terme.
Le changement d’attitude évident dans NIS2 est probablement encore plus important. Chaque organisation de moyenne ou grande taille n’est plus seulement responsable d’elle-même, mais aussi des maillons de sa supply chain. La NIS2 représente ainsi une opportunité d’adopter une posture de sécurité optimale qui protège les données, les identités et l’infrastructure.
À LIRE AUSSI :