Chaque jour, des milliers d’organisations sont affectées par des failles et des vulnérabilités. Les gouvernements du monde entier tentent de renforcer les défenses informatiques et d’améliorer la résilience des entités nationales et privées, souvent avec des résultats mitigés. La Directive 2 sur les Systèmes de Réseaux et d’Information (NIS2) de l’Union Européenne est une avancée majeure.
Par Marc Lenoble, Key Account Manager, Public Sector chez Synology
Cette directive se distingue par son champ d’application large et son accent sur la protection des infrastructures critiques. De nombreuses normes ont été adoptées comme le RGPD qui protègent les données personnelles mais ne priorisent pas la résilience opérationnelle des secteurs critiques. NIS2 complète les normes industrielles existantes qui se concentrent uniquement sur la sécurité de l’information pour des industries ou types de données spécifiques. Avec une gamme plus large de secteurs et en mettant en place un cadre de cybersécurité uniforme à travers l’UE, NIS2 comble les lacunes en imposant des normes qui assurent à la fois la protection des données et la résilience face aux menaces cybernétiques.
La nouvelle directive couvre plus d’entités qu’auparavant
NIS2 s’applique désormais à plus de 100 000 entités, élargissant la Directive NIS originale en couvrant plus de secteurs et en introduisant deux catégories d’organisations : les Entités Essentielles, qui incluent des secteurs critiques comme l’énergie, la santé et les infrastructures numériques, et les Entités Importantes, couvrant des industries comme la production alimentaire, les services postaux et la gestion des déchets. Ces entités doivent adhérer à des mesures de cybersécurité plus strictes, améliorant la résilience et les capacités de réponse à travers l’UE. La nouvelle directive assure une protection plus complète des industries clés et renforce la coordination et la supervision des efforts de cybersécurité.
De plus, si l’entreprise est basée en dehors de l’UE mais offre des services critiques au sein de l’UE, la Directive NIS2 s’applique également, car elle étend son champ d’application pour couvrir les entités non-UE qui fournissent des services essentiels ou importants au sein de l’UE. Cela signifie que les entreprises devront se conformer aux mesures de cybersécurité plus strictes suggérées par les nouvelles directives pour assurer la sécurité et la résilience des services fournis sur le marché de l’UE. La première chose que les entreprises doivent vérifier est si elles opèrent dans les régions couvertes par la nouvelle directive.
Les différences entre une directive et un règlement
En plus de NIS2, il en existe d’autres comme le RGPD, le NIST CSF, l’ISO27001, mais quelles sont les distinctions entre les directives, les règlements ou les cadres ? Dans l’Union Européenne, les directives sont des actes juridiques, comme NIS2, qui doivent être transposés en droit national par chaque État membre, permettant des interprétations spécifiques à chaque pays. Les règlements, comme le RGPD, sont contraignants dans tous les États membres sans nécessiter de transposition, assurant une application uniforme. Enfin, les cadres comme le NIST CSF, l’ISO 27001, SOC 2 et PCI DSS sont des meilleures pratiques largement adoptées mais non contraignantes légalement. Dans ce contexte, NIS2, en tant que directive, complète ces cadres en établissant des normes de cybersécurité plus strictes et transposables à travers l’UE.
Comment les organisations peuvent-elles se préparer à NIS2 ?
NIS2 met l’accent sur des approches proactives de la cybersécurité, ce qui rend essentiel pour les organisations de traiter les incidents après leur survenue, mais aussi de prévenir et d’atténuer les risques à l’avance. Elle est construite autour de quatre piliers clés : la responsabilité des entreprises, la gestion des risques, les obligations de reporting et la continuité des activités.
Les dirigeants doivent désormais jouer un rôle plus actif et informé
La responsabilité des entreprises est un aspect fondamental de la cybersécurité sous NIS2. La cybersécurité est la responsabilité des départements informatiques mais aussi une priorité stratégique au niveau du conseil d’administration. Les dirigeants et les cadres doivent assumer directement la responsabilité de la posture de cybersécurité de l’organisation au lieu de déléguer cette responsabilité uniquement à l’équipe informatique.
Des pratiques de gestion des risques plus robustes pour minimiser les cybermenaces
Maintenant que les dirigeants deviennent plus vigilants, il est également important de diriger les organisations pour atténuer les risques potentiels. Une gestion efficace des risques implique l’intégration de protocoles robustes de réponse aux incidents, la sécurisation de la chaîne d’approvisionnement et la protection du réseau et des données par des mesures comme le chiffrement. Un Software Bill of Materials (SBOM) peut aider les organisations à obtenir une visibilité sur les vulnérabilités des logiciels tiers. De plus, l’adoption d’un modèle de sécurité Zero-Trust renforce les défenses en vérifiant chaque utilisateur et chaque appareil avant de leur accorder l’accès au réseau.
Assurer la continuité des Activités et les plans de récupération après sinistre en cas de grand incident
La NIS2 met fortement l’accent sur la planification de la continuité des activités et de la récupération après sinistre (BCDR), soulignant la nécessité de systèmes de sauvegarde robustes et de stratégies pour garantir que même en cas de cyberattaque, les opérations peuvent reprendre rapidement et les perturbations sont minimisées. Des solutions de sauvegarde fiables existent, qui protègent non seulement les charges de travail physiques et virtuelles mais assurent également la récupérabilité rapidement et sont cruciales pour maintenir la résilience dans le paysage actuel des menaces.
Mettre en place des processus pour un reporting rapide des Incidents
La NIS2 met l’accent sur le reporting rapide des incidents, exigeant des organisations de notifier les autorités peu après la détection d’attaques significatives. Un reporting rapide aide à minimiser l’impact plus large des attaques, assurant une réponse coordonnée et une récupération plus rapide. Ce délai strict encourage les organisations à avoir des processus établis pour identifier, documenter et signaler les incidents de manière efficace.
La Directive NIS2 renforce les mesures de cybersécurité à travers les secteurs critiques et importants en imposant des délais de reporting plus stricts, des processus de gestion des risques améliorés et des sanctions plus sévères pour non-conformité. Cependant, malgré le fait que NIS2 soit transposée en lois locales d’ici octobre 2024, il reste encore 1 à 2 ans pour se préparer pleinement. Les organisations sont fortement encouragées à prendre des mesures immédiates en établissant une force opérationnelle dédiée pour adopter les lois dérivées de NIS2 et en révisant leurs infrastructures de cybersécurité et de protection des données.