NIS2 : la cybersécurité sous les feux de la rampe
La nouvelle directive sur la sécurité des réseaux et de l’information (NIS) impose de nouvelles exigences strictes et va contraindre les entreprises de l’UE à prendre la cybersécurité au sérieux.
Dans moins d’un an, cette nouvelle directive NIS2 obligera de nombreuses entreprises à assurer la sécurité complète de leurs systèmes internes et à protéger leurs accès externes contre les attaques et le vol de données.
Elle insiste particulièrement sur la gestion des risques, le reporting, la capacité de récupération et prévoit des amendes en cas de non-conformité qui pourront s’élever à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (selon le montant le plus élevé).
Mais ces amendes pourraient n’être que la partie émergée d’un iceberg financier beaucoup plus important.
La directive NIS2 concerne en effet un groupe d’entreprises bien plus important que la précédente. Son influence s’étend aux chaînes d’approvisionnement. La cybersécurité devient une priorité dans les processus d’achat et pourra avoir un impact considérable sur le choix des entreprises lors de l’attribution de nouveaux contrats.
Malheureusement, la plupart des entreprises ne possèdent pas les compétences internes requises pour répondre aux nombreuses exigences de la nouvelle directive, surtout en ce qui concerne leurs systèmes qui s’étendent de plus en plus sur divers environnements cloud et sur le fait qu’un grand nombre d’employés continuent de travailler à distance.
La directive NIS2 exige une visibilité totale
Applicable à toute entreprise de plus de 50 salariés et dont le chiffre d’affaires annuel dépasse 10 millions d’euros, la directive NIS2 s’applique aux secteurs des télécommunications, de l’alimentation, de la gestion des déchets, aux plateformes numériques, aux organismes publics et aux services de livraison. Elle a également un impact majeur sur les services essentiels couverts par la première NIS, à savoir l’énergie, la santé, les services bancaires et les transports.
Lorsque les États membres de l’UE appliqueront la réglementation NIS2, les entreprises concernées devront s’assurer que toutes leurs accès externes seront protégés, tout comme les applications utilisées pour interagir avec les clients et les fournisseurs.
En cas de cyber attaque, ces entreprises devront soumettre un rapport d’alerte dans les 24 heures après avoir eu connaissance d’un incident, puis faire une première évaluation dans les 72 heures et un rapport définitif dans un délai d’un mois.
Il est donc essentiel que les entreprises aient une visibilité totale concernant leurs activités numériques et leurs accès numériques avec les clients, les partenaires et les fournisseurs.
Dans un monde idéal, un cadre réglementaire de ce genre ne serait pas nécessaire car la plupart des transactions commerciales se déroulent déjà en ligne. Les chefs d’entreprise devraient donc déjà exiger ce type de visibilité.
Néanmoins, de nombreuses entreprises de plus petite taille mais concernées par la nouvelle directive n’ont pas toujours le système de sécurité et les outils de reporting et de visibilité nécessaires pour s’y conformer. De plus, il est peu probable qu’elles disposent des compétences et des ressources nécessaires pour créer et développer ces outils en interne.
Il va sans dire qu’il est urgent de mettre en place des mécanismes simples pour respecter les obligations du NIS2. Et ce, sans que cela n’affecte l’expérience des clients et des partenaires.
Les entreprises auront notamment besoin d’une console centralisée d’où elles pourront gérer l’ensemble de leur portefeuille d’applications.
Pour les grandes entreprises, ce n’est pas non plus une promenade de santé. L’intensification de la réglementation de la sécurité présente un défi majeur : sécuriser et surveiller une infrastructure numérique qui s’étend sur plusieurs clouds et centres de données internes reste extrêmement complexe.
Actuellement, la plupart de ces entreprises déploient des applications et leurs composants de microservices dans plusieurs environnements. Le front-end d’une application peut s’exécuter dans un cloud public, tandis que le back-end peut se trouver dans un centre de données interne. D’ailleurs, les employés se connectent de plus en plus souvent à des systèmes et à des applications situés depuis des lieux différents, tels que leur domicile ou des espaces de coworking.
Pour sécuriser cet environnement numérique complexe et se conformer à la norme NIS2, de nombreuses entreprises auront besoin d’un service géré capable de couvrir divers environnements cloud, informatiques et réseau.
Même si le temps passe vite, il est encore temps d’agir.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Les États membres de l’UE doivent intégrer la nouvelle directive dans leur législation nationale d’ici le 18 octobre 2024, la course est donc lancée pour toutes les entreprises concernées. Elles doivent s’assurer que leurs systèmes de sécurité et de surveillance sont suffisamment performants pour éviter de se voir infliger des amendes et, surtout, de préserver leur réputation en cas de non-respect des normes.
Heureusement, la technologie dont elles ont besoin pour prospérer dans ce nouveau cadre réglementaire est à portée de main.
Sur le même thème
Voir tous les articles Cybersécurité