AVIS D’EXPERT – La nouvelle réglementation ne requiert pas une refonte radicale des mesures de sécurité. Elle nécessite plutôt un examen approfondi des processus déjà en place, selon Christoph Schuhwerk, RSSI pour la région EMEA chez Zscaler. Ses explications pour les lecteurs de Solutions numériques & cybersécurité.
Les nouvelles réglementations en matière de sécurité, dont NIS 2, entendent renforcer la cybersécurité globale de domaines critiques tels que le secteur public, les télécoms, l’énergie, les transports ou les services financiers. Ces mesures contribueront à réduire les potentielles cyberattaques susceptibles d’avoir des répercussions sur le grand public. La nouvelle directive NIS2 place enfin la sécurité informatique comme un domaine prioritaire dans la gestion de l’entreprise. Les chefs d’entreprises voient en effet leur responsabilité engagée et peuvent être tenus personnellement responsables en cas de non-respect des règles ou de non-conformité de l’entreprise.
Malgré les sanctions sévères, la nouvelle réglementation ne requiert pas une refonte radicale des mesures de sécurité. Elle nécessite plutôt un examen approfondi des processus déjà en place. La directive vise davantage à améliorer le niveau de cyber-hygiène des entreprises moins avancées, plutôt que d’introduire un ensemble de nouvelles politiques censées renforcer la sécurité. C’est un investissement nécessaire pour faire face à la cadence soutenue des cyberattaques.
Comment les entreprises en début de parcours de mise en conformité peuvent-elles démêler les exigences complexes des nouvelles réglementations NIS 2 ? Ce guide en six étapes a pour objectif d’aider les chefs d’entreprise à suivre les progrès et à initier les changements nécessaires pour se conformer avant le mois d’octobre, date butoir à laquelle le règlement NIS 2 entrera en vigueur.
Étape 1 : s’enregistrer
Les entreprises doivent d’abord vérifier si elles sont concernées par le nouveau règlement avant de prendre les mesures qui s’imposent. L’UE estime que plus de 160 000 entreprises et 15 secteurs seront tenus de se conformer à NIS 2 car elles entrent dans les catégories étendues d’organisations. Toutes seront soumises à « des exigences plus rigoureuses en matière de gestion des risques et de déclaration des incidents, une meilleure couverture des secteurs et des sanctions plus sévères en cas de non-respect des règles. » Reprenant les principes établis dans la première directive NIS, NIS 2 ne se contente pas d’élargir le champ des entités couvertes, mais prévoit également des mesures de conformité plus strictes. La nouvelle version de la directive élargit considérablement son champ d’application et impose des exigences strictes pour les entités considérées comme « essentielles » et « importantes ».
Conformément à la directive européenne, toute entreprise soumise à NIS 2 doit s’enregistrer de manière proactive sur un site mis à disposition par les autorités compétentes de son pays. La procédure d’enregistrement sera légèrement différente dans chaque pays. Toutefois à l’heure actuelle, ce site d’enregistrement n’est malheureusement pas encore en place dans la majorité des États membres de l’UE, ce qui n’empêche néanmoins pas les entreprises à d’ores et déjà se familiariser avec la directive européenne. Celle-ci servira de modèle pour toutes les réglementations locales et leur permettra de savoir si elles entrent dans le champ d’application de la directive NIS 2. Les entreprises ayant des filiales dans l’UE doivent s’assurer qu’elles prennent les mesures nécessaires pour chaque pays.
Étape 2 : comprendre le processus de mise en conformité
Lorsqu’une entreprise atteint une certaine taille, il devient indispensable d’expliquer aux actionnaires que la cybersécurité est une priorité. Selon une étude récente de Zscaler, la certification ISO 27001 est la norme la plus utilisée dans tous les secteurs, suivie des procédures obligatoires telles que NIS 2 ou CIS.
Pour les entreprises qui ne sont pas encore certifiées ou qui n’utilisent aucun cadre dans le domaine de la cybersécurité, NIS 2 est un bon point de départ. En revanche, la directive va obliger de nombreuses entreprises à mettre en place certaines activités pour la première fois, ce qui leur demandera beaucoup d’efforts. Dans la mesure où d’autres cadres de cybersécurité sont déjà en place, l’effort supplémentaire requis pour se conformer à NIS 2 devrait être limité, car bon nombre des exigences sont déjà intégrées. Cartographier les cadres est un bon point de départ pour organiser le processus de mise en conformité. Ces cartographies sont désormais accessibles au public ou peuvent être obtenues auprès des fournisseurs de services.
La direction d’une entreprise ne peut pas se limiter à confier la conformité de la région EMEA uniquement à l’équipe de sécurité. Les conséquences financières dues au fait de ne pas respecter la conformité peuvent être graves, tant pour l’entreprise que pour les individus, avec des sanctions potentielles pour les contrevenants les plus virulents. Les chefs d’entreprise doivent prendre les réglementations au sérieux et mobiliser des équipes qui ont les connaissances et l’expérience nécessaires pour analyser leurs actifs et leurs politiques en vigueur avec la rigueur et le niveau de détail requis.
Étape 3 : constituer l’équipe NIS 2
La responsabilité de l’ensemble du processus NIS 2 devrait incomber au RSSI, qui peut à son tour déléguer les étapes pertinentes à une équipe de projet plus large, et s’assurer que des experts sont disponibles au sein de diverses équipes de l’entreprise. Ils doivent s’adresser à des services autres que ceux de la sécurité générale pour répondre à des besoins particuliers, comme la gestion de crise interne décrite au chapitre 4.2 de NIS 2. Avant de constituer les équipes de travail, il est recommandé de nommer un chef de projet capable de diriger l’audit et de décortiquer les documents de NIS 2 pour garantir l’application des meilleures pratiques dans toutes les filiales et chez tous les fournisseurs tiers. En confiant l’examen des documents à une seule personne, l’entreprise assure une interprétation unique du cadre, plutôt qu’à de multiples variations d’une région à l’autre.
Selon les différentes sections de la directive NIS 2, le chef de projet doit faire appel à des experts du domaine pour épauler l’équipe de cybersécurité au sens large. Il peut s’agir d’experts en risques et conformité et d’experts CERT, de l’équipe chargée de l’architecture informatique, de l’équipe chargée du cloud et de l’hébergement (par exemple pour couvrir le chapitre 2.1 de NIS 2), de l’équipe chargée de la gestion des identités et des accès (chapitre 2.3 de NIS 2), de l’équipe chargée du réseau, de l’équipe chargée des installations pour la sécurité physique (requise au chapitre 2.5 de NIS 2), ainsi que des responsabilités en matière de résilience de l’entreprise, tant du point de vue informatique que du point de vue de l’entreprise.
La plupart des grandes entreprises disposent déjà dans leur équipe juridique ou sécurité d’un service spécifique chargé des certifications et des audits. C’est cette approche des meilleures pratiques qu’il convient d’adopter pour la conformité à NIS 2. Les membres de cette équipe ont une compréhension détaillée du domaine technologique et sont à même d’identifier beaucoup plus rapidement les secteurs de l’entreprise qui ne sont pas suffisamment rigoureux sur le plan de la sécurité.
Pour les petites entreprises ne disposant pas de telles équipes ou du budget nécessaire pour en constituer une, la meilleure approche consiste à créer un groupe de travail interdisciplinaire chargé de rassembler les connaissances nécessaires pour déterminer les points à vérifier au cours de l’audit.
Étape 4 : analyser la gestion des stocks pour confirmer le profil de risque
Les équipes qui manquent de visibilité sur les technologies et les actifs de l’environnement organisationnel du fait d’une gestion des stocks défaillante représentent l’un des principaux obstacles à la réussite de l’audit de conformité. Plus l’infrastructure informatique est complexe, plus il est difficile de cartographier le profil de risque. Si les entreprises ne savent pas ce qu’elles doivent protéger, comment vont-elles le faire ? Les chefs de projet devront s’attacher en priorité à comprendre les zones d’ombre de l’infrastructure de sécurité avant de s’attaquer aux problèmes de conformité. L’examen des actifs disponibles est donc une condition préalable au processus.
La complexité organisationnelle peut rendre le processus de mise en conformité encore plus difficile, surtout lorsque les départements de l’entreprise ont leurs propres processus de gouvernance informatique. C’est souvent le cas lorsque les entreprises ont des priorités différentes concernant les charges de travail IT et OT, qui relèvent toutes deux de la gouvernance NIS 2. L’équipe de projet NIS 2 doit harmoniser et comprendre l’ensemble des technologies pour pouvoir déterminer le profil de risque complet de l’entreprise.
Dans la mesure où la croissance de nombreuses entreprises dépend d’acquisitions régulières, les nouvelles piles technologiques devront être intégrées au processus d’audit et de conformité en cours de route.
Étape 5 : gagner du temps en transférant les résultats d’audit existants vers NIS 2
Comme mentionné précédemment, de nombreuses entreprises doivent déjà aligner certains aspects de leurs activités sur divers règlements et directives pour assurer leur conformité. Ces résultats peuvent être réutilisés et appliqués aux domaines spécifiques de NIS 2. Dans le meilleur des cas, ils correspondront parfaitement aux exigences locales de NIS 2, sinon ils devront être ajustés pour se conformer à la directive actualisée.
Si les entreprises identifient un écart important entre les cadres, l’équipe de projet devra déterminer la voie la plus efficace et rapide pour se mettre en conformité dans les mois qui lui restent à disposition. Il serait peut-être utile de réfléchir avec des partenaires compétents quelles technologies doivent être modifiées et comment satisfaire les exigences en perturbant le moins possible les activités quotidiennes de l’entreprise et en réduisant au minimum la complexité de l’opération.
Étape 6 : supprimer la complexité de l’infrastructure
Auparavant, le processus de réflexion en matière de conformité consistait à investir dans de nouvelles technologies pour cocher les cases, ce qui a souvent conduit les entreprises à accumuler une dette technologique considérable. C’est ce qui rendra difficile la mise en conformité à NIS 2 pour la plupart des équipes sécurité. Pour simplifier la complexité de leur technologie, de nombreuses entreprises se tournent désormais vers les principales plateformes de sécurité hébergées dans le cloud. Cela leur permet de créer un point de connexion commun pour tous les services et d’établir une couche générale d’hygiène en matière de sécurité pour faciliter l’audit.
Bien que le processus d’audit puisse sembler long et fastidieux, c’est ce sur quoi l’ensemble des entreprises devraient se pencher afin de mieux comprendre leur profil de risque et avoir une vue d’ensemble de leur infrastructure technologique actuelle. La plupart des entreprises seront surprises de découvrir le nombre de piles technologiques qu’elles utilisent et s’inquiéteront inévitablement de la complexité de leurs systèmes internes. À quelques mois de l’entrée en vigueur de la directive NIS 2, le moment est venu de se retrousser les manches et de ne pas se précipiter afin de ne rien négliger. Tous ces efforts en valent la peine car obtenir une visibilité complète sur tous les flux de données pourrait constituer la base des ambitions futures d’une entreprise, qu’il s’agisse d’OT/IoT, de 5G ou de tout autre technologie capable de sécuriser l’infrastructure et de la préparer pour l’avenir.
Christoph Schuhwerk