La directive Network and Information Security 2 (NIS2), réforme de l’édition de 2016 adoptée début 2023, est une pièce maîtresse de la législation européenne sur la cybersécurité qui prévoit des mesures juridiques en vue du renforcement du niveau global de cybersécurité dans l’Union européenne (UE). Elle établit un cadre normatif exigeant, commun aux entreprises et aux organisations quant à leur posture de cybersécurité et aux obligations qui leur incombent. Par Elie El Hayek, Solutions Engineer de BeyondTrust
Les États membres ont jusqu’au 17 octobre 2024 pour adopter des mesures en conformité avec NIS2 et les rendre publiques, sans quoi elles s’exposeront à de lourdes conséquences, sanctions financières et préjudice. Il ne reste donc que quelques mois aux entreprises concernées pour se conformer à ces nouvelles obligations. Afin de les aider à se préparer au mieux pour la date butoir, voici quelques réponses aux principales questions posées par nos clients concernant NIS2.
À qui la directive NIS2 s’applique-t-elle ?
La directive s’applique aux entreprises que les États membres désignent comme des opérateurs de services jugés « importants » ou « essentiels ». Il s’agit surtout d’opérateurs d’infrastructures critiques nationales (ICN) qui pilotent des technologies d’exploitation (OT) et des systèmes industriels en réseaux. Cependant, les réglementations NIS2 ne concernent pas uniquement les services importants ou essentiels ; tous les risques de compromission d’un bout à l’autre de leur chaîne d’approvisionnement sont concernés. Il en découle que les sous-traitants et les fournisseurs de ces entreprises doivent eux aussi observer les obligations de sécurité préconisées par NIS2, peu importe où ils exercent leur activité.
NIS vs NIS2, quelles différences ?
Voici quelques-unes des différences majeures avec l’édition de 2016 :
- Élargissement à de nouveaux secteurs d’industrie, notamment à la fabrication industrielle et à d’autres industries OT.
- Renforcement des obligations déclaratives quant aux gestions de crise et réponses aux incidents.
- Renforcement des obligations et contrôles de sécurité et procédures
- Des sanctions plus lourdes en cas de défaut de conformité.
- Responsabilisation accrue des membres de la direction en charge de la gestion des risques et de la gouvernance de l’infrastructure de l’entreprise.
Les prochaines étapes pour les entreprises concernées
Cela relève de la responsabilité de l’équipe Gouvernance, Risque et Conformité de l’entreprise, qui a tout intérêt à comparer les contrôles existants aux nouvelles obligations pour identifier les éventuels écarts ou à faire appel à des auditeurs indépendants qui vérifieront si l’ensemble des contrôles sont bien en place et s’ils sont conformes.
Les fondamentaux (sécurité des terminaux, EDR, antivirus, etc.) doivent normalement être déjà validés au regard de la directive NIS et des autres cadres de réglementation déjà existants, si bien que la principale faille qu’il reste à combler concerne le phishing. Pour la plupart des entreprises, il s’agira alors d’instaurer le principe de moindre privilège et une meilleure gestion des identités.
L’inclusion de tiers dans la stratégie de sécurité
On considère souvent que les tierces parties sont le maillon faible de la chaîne de cyberdéfense, or toute entreprise a recours à des tiers venant en soutien de ses services. Les nouvelles préconisations de la directive NIS2 obligent à inclure les tierces parties dans la stratégie de sécurité des entreprises, qui devront imposer à leurs fournisseurs un degré de maturité minimum en matière de cybersécurité et seront responsables de les évaluer.
Contrôler l’accès de tiers aux systèmes internes est un impératif de toute stratégie de sécurité de la chaîne d’approvisionnement. Toutefois, il faut se rendre à l’évidence que la technologie d’accès à distance utilisée par nombre d’entreprises est obsolète à présent et dépourvue des contrôles devenus indispensables pour garantir l’accès sécurisé de tiers. Les VPN sont sujets aux vulnérabilités, il suffit de consulter n’importe quelle base de données CVE pour s’en rendre compte.
Gérer les accès des sous-traitants et de leurs employés
Bien gérer les accès de tiers passe par une combinaison de règles, de procédures et de technologies, sans oublier aucun élément de l’équation. Cependant, ce sont surtout les employés du sous-traitant qui sont difficilement maîtrisables : où leurs comptes sont-ils créés ? Comment savoir si un employé qui a quitté l’entreprise n’a pas communiqué ses identifiants à son remplaçant ou même à plusieurs personnes qui ont désormais accès à l’infrastructure ? Les solutions modernes d’administration et d’autorisation d’accès des tiers doivent permettre l’accès sans client, avec des méthodes d’authentification flexibles, des workflows d’approbation, des fenêtres d’accès juste-à-temps, et suffisamment de visibilité et de facilité d’audit. La facilité d’audit est très importante, pour la sécurité, mais aussi pour inciter les sous-traitants à adhérer aux modalités contractuelles et aux processus convenus. De plus, il paraît judicieux d’intégrer des procédures de changement et de pouvoir utiliser le numéro du changement comme vérification supplémentaire.
Coût de la mise en conformité vs coût de la sanction
Certains se demandent s’il ne vaudrait pas mieux assumer le risque juridique si le coût de mise en conformité est supérieur au coût des sanctions encourues. Pourquoi se plier aux contraintes financières de la conformité à la directive NIS2 s’il revient moins cher de fonctionner malgré les écarts ? A cela, une seule réponse possible : les dirigeants qui pensent ne jamais faire les frais de cybercriminels ignorent qu’ils mettent possiblement leur entreprise en péril. Le montant des sanctions réglementaires n’est qu’une composante des pertes financières encourues, c’est bien ce que l’on retient des attaques récentes des environnements OT/IT. À titre d’exemple, en 2021, aux Etats Unis, Colonial Pipeline a été victime d’une attaque de ransomware qui lui a coûté 4,4 milliards de dollars en rançon versée au collectif de cybercriminels Darkside. Cependant, cette attaque a aussi provoqué 6 jours de pénurie de carburant à destination des stations-service et des aéroports, ce qui a conduit à déclarer l’État d’urgence. Sans oublier le préjudice de réputation pour l’entreprise et les personnes mises en cause. Si l’attaque s’était produite dans l’UE, se seraient ajoutées les sanctions prévues par la directive NIS2. En effet, outre les risques financiers et de préjudice, la directive NIS2 prévoit que les dirigeants concernés, en charge des risques et de la gouvernance de l’infrastructure, soient tenus personnellement responsables et qu’ils puissent être démis de leurs fonctions, un risque qu’ils ne devraient pas être prêts à accepter.
Elie El Hayek, Solutions Engineer de BeyondTrust