NIS2 : les conseils de l'ENISA pour la gestion du risque cyber

En matière de sécurité des réseaux et des SI, la définition des responsabilités, ça commence dès l'offre d'emploi ?

L'ENISA l'affirme dans une série de recommandations qu'elle vient de soumettre à consultation publique.

Ces recommandations doivent aider à implémenter les exigences techniques et méthodologiques associées aux mesures de gestion du rissque cyber que la directive NIS2 établit en son article 21.2.

Les exigences en question figurent dans un règlement d'exécution qui concerne officiellement les entités suivantes :

• Fournisseurs de services DNS
• Registres de noms de domaines de premier niveau
• Fournisseurs de services cloud
• Fournisseurs de services de datacenters
• Fournisseurs de CDN
• MSP
• MSSP
• Fournisseurs de places de marché, de moteurs de recherche et de réseaux sociaux
• Prestataires de services de confiance

Les recommandations de l'ENISA vont de la gestion des incidents à celle des actifs en passant, entre autres, par la formation du personnel sécurité, les politiques de cryptographie et l'encadrement de la supply chain. L'agence européenne estime qu'elles sont susceptibles de toucher un public plus large que les seules entités susvisées.

En complément à la définition claire des responsabilités dans les offres d'emploi, l'ENISA conseille d'inclure, dans les contrats de travail, les responsabilités des employés après leur départ ou tout changement de fonction. Aux petites entités qui ont peu de pouvoir de négociation avec les fournisseurs, elle suggère les discussions collectives, la représentation par des associations ou des accords sur des clauses spécifiques. Ainsi que, dans un autre registre, l'implémentation d'une alternative "allégée" aux politiques SDLC, en l'objet, par exemple, d'une stratégie de sécurité dès la conception.

Sur le volet authentification, l'ENISA est de ceux qui recommandent de ne pas afficher les mots de passe lors de leur saisie. Et de ne pas permettre d'en réutiliser d'anciens. Quant à la longueur conseillée, c'est minimum 8 caractères pour les comptes avec MFA ; 14 pour les autres.

Des politiques à réévaluer... à quels intervalles ?

Parmi les éléments qu'on révisera au moins une fois par an :

• Politique de sécurité des réseaux et des SI
• Stress test des différentes composantes du processus de gestion de crise (+ test global semestriel)
• Politique de sécurité de la supply chain
• SDLC
• Configurations
• Procédure de gestion du changement
• Politique de tests de sécurité
• Programmes de sensibilisation et de formation
• Politique de cryptographie
• Politique de contrôle d'accès

L'ENISA conseille au moins deux mises à jour par an pour le répertoire de fournisseurs comme pour les canaux d'information sur les vulnérabilités. Elle recommande de réviser les politiques d'évaluation des mesures de gestion du risque cyber au moins une fois tous les deux ans. Les règles de pare-feu seront actualisées a minima mensuellement. Et un scan de vulnérabilités réseau, effectué à fréquence hebdo.

Illustration principale © Eisenhans - Adobe Stock