Chaque année, le nombre de cyberattaques ne cesse d’augmenter. Face à ce constat, les Etats européens ont décidé d’adopter la directive NIS 2 (Network and Information Systems Directive).
En élargissant le champ d’application de NIS 1, qui est déjà effective depuis février 2018 en France, cette nouvelle directive a pour objectif d’obliger davantage d’entreprises et de secteurs à prendre des mesures en matière de cybersécurité.
Alors que la directive doit être traduite dans la législation française avant le 17 octobre 2024, la question se pose : comment les entreprises peuvent-elles se conformer à cette nouvelle réglementation ?
Là où la directive NIS 1 concernait six secteurs (énergies, transports, social, santé…) comprenant quelque 500 opérateurs de services dits “essentiels”, NIS 2 élargit le scope et introduit la notion d’entités dites “importantes”. Dès cette année, ce seront donc pas moins de 18 secteurs différents (gestion des déchets, agroalimentaire, fournisseurs numériques…) qui seront impactés par la directive NIS 2.
Dans ces secteurs, la directive s’applique aux entreprises de plus de 50 salariés et faisant plus de 10 millions d’euros de chiffre d’affaires. En France, 10 à 15 000 entreprises sont concernées contre 500 seulement avec NIS 1.
NIS 2 sera donc l’occasion de mobiliser plus largement le tissu économique national, surtout quand on sait que, pour mieux se rapprocher de leur cible, les pirates informatiques n’hésitent plus à attaquer les sous-traitants. NIS 2 vient obliger les entreprises à se protéger et les aide à mettre en place les mesures de protection de base face aux cybermenaces.
Par ailleurs, NIS 2 vient introduire la notion de responsabilité des dirigeants. Là où NIS 1 n’aborde pas forcément la question des sanctions, NIS 2 vient, à l’instar du RGPD, proposer un régime de pénalités plus ou moins élevées selon que l’organisation est une entité essentielle ou importante.
Dans tous les cas, cette nouvelle réglementation vise à améliorer la résilience des infrastructures critiques en matière de cybersécurité.
Aujourd’hui, la question n’est pas de savoir si une entreprise sera attaquée, mais plutôt quand. C’est pourquoi NIS 2 se base sur la gestion des risques cyber. En ce sens, l’ANSSI, responsable de la mise en application de la directive en France, recommande quelques mesures phares qui devront être mises en place par toutes les entités concernées.
Une des premières mesures porte notamment sur la continuité de services avec l’utilisation de solutions de backup. La recommandation qui en découle consiste à mettre en place un plan de continuité d’activité ou un plan de reprise d’activité afin que l’entreprise puisse planifier la manière dont elle veut assurer la poursuite de ses activités après un incident.
Autre mesure : l’obligation de signalements lorsque l’entreprise a subi une cyberattaque. Sur le même principe que pour le RGPD, les entreprises françaises concernées par NIS 2 devront signaler toutes intrusions à l’ANSSI sous 24h ainsi qu’une évaluation des impacts (perte de données, perte financière, réputation, perturbation des opérations, coût de rétablissement…) sous 72h.
Enfin, l’entreprise aura l’obligation d’impliquer sa direction afin de superviser et approuver les mesures prises en matière de cybersécurité. Particulièrement saluée par la DSI, cette règle permettra de mieux impliquer les dirigeants et de mieux les sensibiliser sur le sujet.
Concrètement, pour pouvoir se conformer à NIS 2, les entreprises devront mettre en place des stratégies cybersécurité étape par étape :
> Identifier les espaces collaboratifs utilisés en interne comme en externe afin d’en connaître les usages et les accès. Le but est de s’assurer que les collaborateurs aient conscience de l’importance des données auxquelles ils ont accès.
> Gérer les identités et les accès afin de définir qui aura accès à quelles données. La gestion des authentifications (multi-facteurs, politique de rotation de mot de passe…) devient alors impérative. Le but est également de gérer le cycle de vie des identités afin de désactiver les comptes non utilisés et protéger les infrastructures existantes.
> Mettre en place un plan de continuité d’activité (PCA) afin de maintenir le fonctionnement optimal de l’activité de l’entreprise que ce soit pendant ou après un incident.
> Former les collaborateurs sur la cybersécurité et les bonnes pratiques à mettre en place dans leur quotidien (mot de passe robuste, mail frauduleux…)
Quoi qu’il en soit, la mise en conformité NIS 2 doit être vue par les entreprises comme une véritable opportunité stratégique. Elles ont là l’occasion de renforcer leur résilience et d’anticiper les évolutions réglementaires. Mieux vaut donc l’aborder comme une démarche à long terme afin de se prémunir des cyberattaques et apporter une réponse efficace aux menaces
2024 s’impose comme l’année du changement où les équipes DevSecOps utilisent de plus en plus…
Le concept de Negative Trust ne vise pas à se méfier de ses propres collaborateurs,…
Le respect des réglementations en matière de souveraineté des données exige une gouvernance, une conformité…
Les lignes de code source ouvertes permettent aux utilisateurs de comprendre et de contrôler comment…
Cette directive impose dix mesures de sécurité destinées à renforcer la cyber résilience des infrastructures…
Le concept de "monitoring" s'efface progressivement au profit de celui d'observabilité dans le domaine de…