11 Oct RENFORCER LA CYBERSECURITE : COMPRENDRE LA DIRECTIVE NIS 2

Posted at 15:38h in Articles Risques by

RENFORCER LA CYBERSECURITE : COMPRENDRE LA DIRECTIVE NIS 2

La cyber insécurité est considéré comme le 4ième risque mondial.

Selon une étude de Dell Technologies auprès de 1 000 décideurs IT d’entreprises de plus de 250 employés dans 15 pays, 86 % des entreprises ont été touchées en 2022 par des cyberattaques. Depuis 2015, le coût des attaques cyber ne cesse de croître, passant de 3 000 milliards de dollars à 6 000 en 2021, et la prévision pour 2025 dépasse les 10 000 milliards.

Dans un contexte où les menaces et les cyberattaques sont de plus en plus répandues, l’UE a souhaité renforcer la résilience des acteurs économiques en introduisant un concept de sécurité de bout en bout via la nouvelle Directive NIS 2. Cette directive, s’appuyant sur la Directive NIS 1, élargit son périmètre d’application. Les entreprises concernées devront se mettre en conformité dès le 17 octobre 2024, sous peine de lourdes sanctions. Cette réglementation impose des obligations plus strictes que la version précédente.

 

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2 prévoit une coopération renforcée entre les États membres de l’UE, ainsi qu’avec l’Agence de l’UE pour la cybersécurité (ENISA). Cela inclut l’échange d’informations sur les cybermenaces et les incidents, ainsi que la coordination des réponses en cas de crise majeure.

Son objectif est d’offrir une réponse adéquate face à la croissance des cyberattaques.

La norme, qui entrera en vigueur en octobre 2024 en France, vise à augmenter la résilience des infrastructures critiques et des services numériques dans l’UE face à cette menace croissante.

La directive vise également à surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques. Cette différenciation est devenue obsolète et ne reflète plus l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

 

Directive NIS 2, quelles sont les entreprises concernées ?

La directive NIS 2 introduit une nouvelle nomenclature pour définir les obligations des entreprises selon leur niveau de criticité en cas de risques avérés de cybersécurité et les impacts potentiels.

Deux catégories sont définies :

  • les entités essentielles
  • et les entités importantes.

 
Avec la nouvelle version de cette réglementation, ce sont près de 160 000 entreprises et 18 secteurs d’activités qui sont concernés.

Entites NIS 2

Quelles sanctions en cas de non-conformité ?

La directive NIS 2 prévoit un certain nombre de sanctions de base en cas d’infractions liées à la gestion des risques de cybersécurité et aux obligations de signalement. Ces pénalités et sanctions peuvent se présenter sous différentes formes.

La nature des sanctions varie selon la structure.

Pour les entités essentielles : amende de 10 millions d’euros, ou 2% du CA mondial total.

Les sanctions seront prononcées par l’ANSSI pour la France.

De plus, une obligation de notification est imposée en cas de violation ou d’incident cyber, similaire à celle du RGPD.

Pour les entités importantes : une amende 7 millions d’euros, ou 1,4% du CA mondial total.

Comment se conformer à la directive NIS 2 ?

La conformité à la directive NIS 2 ne se limite pas à des vérifications formelles. Il est crucial de comprendre pleinement les exigences pour une mise en œuvre réussie. Ces exigences couvrent divers aspects pour l’application de la réglementation en Europe.

 

1. Gouvernance de la cybersécurité dans la chaîne d’approvisionnement

La gouvernance est la pierre angulaire d’une cybersécurité efficace. La directive NIS 2 impose aux entités de mettre en place des politiques de sécurité robustes couvrant les aspects physiques et numériques. Cela inclut :

  • Établir des politiques de sécurité abordant les menaces émergentes.
  • Sensibiliser les fournisseurs et partenaires aux risques cyber et aux bonnes pratiques, à travers des programmes de formation ciblés.
  • Créer une organisation interne, afin de surveiller, prévenir et monitorer le risque, dédiée à la gestion de la sécurité informatique, avec des ressources et une expertise suffisante pour collaborer avec les parties prenantes externes.

2. Cartographie et analyse des écosystèmes numériques

Pour protéger un système, il est essentiel de comprendre ses composants et interconnexions en encourageant la réalisation d’une cartographie détaillée des écosystèmes numériques afin de :

  • Identifier les interdépendances, vulnérabilités et risques potentiels au sein de la chaîne d’approvisionnement.
  • Identifier les parties prenantes clés, telles que les fournisseurs, clients et partenaires, souvent visés comme vecteurs d’attaque.
  • Anticiper les risques liés à la chaîne d’approvisionnement et améliorer la qualité des services en collaborant étroitement avec les partenaires.

3. Gestion des risques et audits de sécurité

Pour protéger un système, il est essentiel de comprendre ses composants et interconnexions en encourageant la réalisation d’une cartographie détaillée des écosystèmes numériques afin de :

  • Identifier les interdépendances, vulnérabilités et risques potentiels au sein de la chaîne d’approvisionnement.
  • Identifier les parties prenantes clés, telles que les fournisseurs, clients et partenaires, souvent visés comme vecteurs d’attaque.
  • Anticiper les risques liés à la chaîne d’approvisionnement et améliorer la qualité des services en collaborant étroitement avec les partenaires.

4. Mesures de sécurité pour les accès et les données

La directive NIS 2 exige des mesures strictes pour protéger l’accès aux informations, aux données sensibles et aux systèmes critiques :

  • Implémenter l’authentification multi facteur (MFA) pour vérifier l’identité des utilisateurs à travers plusieurs vecteurs indépendants.
  • Durcir les configurations des systèmes en cloisonnant les SI réglementés et en appliquant des configurations administratives solides pour tous les acteurs de la chaîne de valeur.
  • Renforcez la sécurité de vos systèmes et réseaux en mettant en place des pare-feux et des systèmes de détection d’intrusions.
  • Utilisez des solutions de chiffrement pour protéger les données en transit et au repos.
  • Assurez-vous également d’appliquer régulièrement les mises à jour de sécurité et les correctifs.

5. Gestion des alertes et réponse aux incidents

Un système robuste de gestion des alertes et des incidents est essentiel pour assurer une réaction rapide 
et coordonnée :

  • Mettre en place des systèmes de réception des alertes et de suivi des incidents tout au long de la chaîne d’approvisionnement.
  • Conduire des simulations régulières de crises impliquant les fournisseurs et partenaires pour tester et améliorer la réactivité et la résilience organisationnelle.

6. Continuité des opérations

Assurer la continuité des opérations est primordial. La directive NIS 2 insiste sur l’élaboration de plans de reprise d’activité (PRA) et de continuité d’activité (PCA) :

  • Élaborer des plans de reprise et de continuité pour garantir que les fonctions essentielles de la chaîne d’approvisionnement sont préservées ou promptement restaurées après un incident de cybersécurité.
  • Mettre en œuvre des solutions de sauvegarde éprouvées et régulièrement testées en collaboration avec les fournisseurs.

Comment JICAP vous accompagne :

Pour renforcer la sécurité informatique et se conformer aux exigences de la directive NIS 2, plusieurs mesures et bonnes pratiques peuvent être adoptées :

  1. Cartographier et identifier vos risques
  2. Etablir une matrice de criticité/occurrence des risques
  3. Elaborer et mettre en œuvre un plan de continuité d’activité
  4. Ancrer la stratégie de pilotage des risques au sein de votre dispositif achats
  5. Définir et identifier les outils et processus adaptés pour protéger votre système et ceux de vos partenaires.
  6. Former et sensibiliser vos équipes afin qu’ils sachent réagir correctement.

La directive NIS 2 est essentielle pour renforcer la cybersécurité en Europe. La nouvelle classification des entités essentielles et importantes cible mieux les exigences selon le niveau de criticité.

La mise en œuvre nécessite une gouvernance renforcée de la cybersécurité. Elle implique également une cartographie précise des écosystèmes numériques et une gestion proactive des risques. Grâce à ces mesures, vous pourrez assurer la continuité de vos opérations. Vous renforcerez ainsi votre capacité à résister aux incidents cyber et à protéger durablement vos activités.

Ces autres articles peuvent vous intéresser

Un besoin, un projet, des questions ?

Contactez-nous !


Top