La Commission Européenne a soumis jusqu’au 25 juillet 2024 un projet d’acte d’exécution de la directive NIS2 pour avis.
Ce projet détaille les exigences techniques et méthodologiques nécessaires à la mise en œuvre des mesures de gestion des risques pour les fournisseurs de services DNS, registres, cloud computing, services d’hébergement, réseaux, services gérés, places de marché, moteurs de recherche, réseaux sociaux et fournisseurs de services de confiance.
Définition des incidents significatifs
Le document définit un incident significatif comme étant tout incident répondant à un ou plusieurs des critères suivants, entre autres :
l’incident a causé ou est susceptible de causer une perte financière pour l’entité concernée dépassant 100 000 € ou 5 % du chiffre d’affaires annuel de l’entité concernée, la valeur la plus faible étant retenue;
-l’incident qui a causé ou est susceptible de causer la mort d’une personne physique;
-l’incident a entraîné ou pourrait entraîner des dommages considérables à la réputation de l’entité concernée.
Le texte précise également les critères pour identifier les incidents récurrents spécifiques à chaque typologie d’acteurs. Par ailleurs, plusieurs exigences spécifiques de niveau de services sont exposées. Par exemple, pour les centres de données, ”un contrat est considéré comme non respecté si le service est indisponible pendant plus d’une heure”.
Le cadre méthodologique pour la gestion des risques
L’annexe du document propose un cadre méthodologique détaillé pour les entités soumises à la directive NIS2. Voici les points clés.
Politiques de sécurité des réseaux et des systèmes d’information :
-définir et documenter des politiques de sécurité claires;
-inclure des engagements à satisfaire aux exigences de sécurité applicables et à l’amélioration continue;
-revoir et mettre à jour les politiques à intervalles réguliers ou suite à des incidents significatifs.
Cadre de gestion des risques :
-établir un cadre de gestion des risques pour identifier, analyser et évaluer les risques;
-documenter les évaluations de risques et établir des plans de traitement des risques basés sur ces évaluations;-effectuer des examens indépendants pour évaluer l’efficacité de la gestion des risques.
Surveillance et journalisation :
-mettre en place des procédures de surveillance continue pour détecter et enregistrer les incidents;
-conserver et protéger les journaux d’activité, et les examiner régulièrement pour détecter des tendances inhabituelles ou indésirables.
Gestion des incidents :
-définir des procédures claires pour la détection, l’analyse, le confinement, la récupération et le rapport des incidents;
-tester et réviser régulièrement les procédures de gestion des incidents.
Continuité des activités et gestion des crises :
-élaborer et maintenir des plans de continuité des activités et de reprise après sinistre;
-réaliser des analyses d’impact pour évaluer les conséquences des perturbations graves sur les opérations;
-tester et mettre à jour régulièrement les plans de continuité.
Sécurité de la chaîne d’approvisionnement :
-mettre en œuvre une politique de sécurité pour la chaîne d’approvisionnement qui régit les relations avec les fournisseurs et prestataires de services;
-inclure des exigences de cybersécurité dans les contrats avec les fournisseurs.
Sécurité lors de l’acquisition et du développement :
-appliquer des règles de développement sécurisé pour les réseaux et systèmes d’information;
-mettre en place des processus de tests de sécurité tout au long du cycle de vie des systèmes.
Protection contre les logiciels malveillants et non autorisés :
-utiliser des logiciels de détection et de réparation de logiciels malveillants;
-implémenter des mesures pour prévenir et détecter les logiciels non autorisés.
Pratiques de cyber hygiène et formation :
-sensibiliser les employés aux risques de cybersécurité et aux pratiques de cyberhygiène;
-proposer des programmes de formation réguliers sur la cybersécurité.
Cryptographie :
-utiliser des méthodes cryptographiques pour protéger la confidentialité, l’authenticité et l’intégrité des informations;
-établir des politiques pour la gestion des clés cryptographiques.
Sécurité des ressources humaines :
-effectuer des vérifications des antécédents pour les employés occupant des rôles critiques;
-définir des procédures de sécurité pour la cessation ou le changement d’emploi.
Contrôle d’accès :
-établir des politiques de contrôle d’accès pour les réseaux et systèmes d’information;
-utiliser l’authentification multifacteur pour accéder aux systèmes critiques.
Gestion des actifs :
-classifier les informations et les actifs en fonction de leur sensibilité et de leur criticité;
-tenir un inventaire complet et à jour des actifs.
Sécurité environnementale et physique :
-protéger les installations contre les menaces physiques et environnementales;
-mettre en place des périmètres de sécurité et des contrôles d’accès physique;
-pour en savoir plus et participer à la consultation visitez le lien suivant :
Patrice Remeur
