La directive NIS 2 vise à améliorer la résilience des infrastructures critiques en matière de cybersécurité et à renforcer leur capacité de réponse à l’échelle de l’Union européenne.
Face à la menace croissante des cyberattaques et à l’essor de la numérisation, NIS2, la dernière directive européenne sur la cybersécurité, impose des exigences strictes aux infrastructures critiques (IC). Adoptée en janvier 2023, elle entrera en vigueur d’ici 6 mois.
Si les entreprises concernées se sont longuement renseignées sur les implications de NIS2, qu’elles soient budgétaires, technologiques ou organisationnelles et que certaines ont parfois engagé les démarches, d’autres sont encore à la recherche des méthodologies et solutions adéquates pour être conformes d’ici octobre 2024.
Que faut-il garder, faire évoluer ou changer ? Les entreprises doivent passer de la réflexion à la mise en œuvre car le compte à rebours est déjà lancé.
NIS 2 : Les 10 mesures de sécurité indispensables
La directive NIS 2 vise à améliorer la résilience des infrastructures critiques en matière de cybersécurité (opérateurs d’énergie, de transport, de la banque, des marchés financiers, de la santé et des services publics) et à renforcer leur capacité de réponse à l’échelle de l’Union européenne. Ces mesures visent notamment à prévenir les interruptions d’activités et à garantir que les services et les produits sont conformes afin de protéger l’ensemble de la supply chain.
D’ici octobre 2024, les infrastructures critiques doivent donc adopter un large éventail de pratiques, dont les 10 mesures minimums de sécurité obligatoires stipulées dans l’article 21.2 qui exigent :
1. Des politiques relatives à l’analyse des risques et à la sécurité des SI
2. La gestion des incidents (notification et reporting)
3. La continuité des activités (sauvegarde, stockage et reprise et la gestion de crise)
4. La sécurité de la chaîne d’approvisionnement
5. La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI
6. Des politiques et procédures évaluant l’efficacité des mesures de gestion des risques liés à la cybersécurité
7. Des pratiques fondamentales en matière de cyber hygiène et la formation à la cybersécurité
8. Les politiques et procédures relatives à l’utilisation de la cryptographie et du chiffrement
9. La sécurité des RH, les politiques de contrôle d’accès et la gestion des actifs
L’utilisation de solutions d’authentification multi facteurs ou continue, de communication vocales, vidéos et textuelles sécurisées, et de systèmes de communication d’urgence sécurisés Pour ce faire, ces infrastructures devront évaluer leurs propres capacités en matière de cybersécurité.
Et le cas échéant, elles seront amenées à poursuivre l’intégration de technologies permettant de les améliorer, telles que l’intelligence artificielle (IA), les systèmes de machine learning, des solutions de PKI (Public Key Infrastructure), de CLM (Contract Lifecycle Management), de signature électronique, …
Mise en conformité : rien ne sera possible sans une politique cryptographique robuste et moderne
Répondre aux exigences de gouvernance centralisée et d’auditabilité de NIS 2, nécessite de mettre en place des solutions modernes qui ne pourront être déployées que sur les fondements d’une politique cryptographique ad hoc. En effet, sans certificats rien ne peut fonctionner.
Les entreprises ne peuvent donc pas engager de transition technologique si les bases ne sont pas solides. Le nombre de machines et de certificats augmentant de façon exponentielle, leur gestion est, en effet, de plus en plus difficile. Selon une étude1 de 2023, 60% des personnes interrogées ne savaient pas exactement combien de clés et de certificats étaient utilisés dans leur entreprise.
Or s’ils ne sont pas correctement mis à jour, renouvelés et gérés, ils peuvent entraîner des pannes coûteuses, dans certains cas très dommageables pour les entreprises, leurs partenaires et leurs clients. 77% des répondants ont même indiqué avoir connu au moins deux pannes conséquentes liées à l’expiration de certificats entre 2022 et 2023.
Les entreprises doivent donc procéder étape par étape, en fonction de l’infrastructure IT en place :
Étape 1 : auditer l’existant
Les entreprises doivent commencer par inventorier en temps réel et de façon exhaustive la globalité de leurs assets cryptographiques (nombre, validité, emplacement, usage…). Cet inventaire, qui peut être réalisé à l’aide d’un outil de CLM, permet de s’assurer que tout est identifié, conforme et suffisamment moderne pour supporter le déploiement des solutions technologiques nécessaires à la mise en conformité avec NIS 2.
La directive exige, en effet, de connaître, maîtriser et contrôler tous les certificats que l’entreprise possède au sein de ses systèmes afin d’être à même de faire un reporting clair et détaillé en cas de cyberattaque.
Étape 2 : s’assurer que la PKI est adaptée
Le recours à des technologies modernes de PKI – qui garantissent une politique de cryptographie forte basée sur des certificats – est indispensable afin d’assurer l’authentification systématique des personnes et des machines et s’inscrire ainsi dans une approche multi-facteurs.
La PKI étant le cœur du dispositif, il est essentiel d’en implémenter une ou de vérifier que celle déjà en place n’est pas obsolète ou inadéquat pour assurer un cadre de gouvernance cryptographique centralisée sur des systèmes hétérogènes.
Étape 3 : déployer une politique de signature
Lors des cyberattaques actuelles, les hackers sont à la recherche de clés de signature mal sécurisées qui leur permettent de signer des malwares parfaitement authentiques (une cyberattaque a récemment été lancée grâce à une clé d’authentification Microsoft, dérobée par un groupe de hackers, pour pirater des agences gouvernementale).
Pour éviter l’utilisation non autorisés des clés de signature, il est essentiel d’automatiser l’application des politiques en définissant les autorisations d’utilisation des clés en fonction d’utilisateurs, de groupes, d’appareils, de l’heure et du lieu, ou de l’outil de signature.
NIS2 encourage les entreprises à introduire une approche zero-trust, des mises à jour logicielles régulières, la gestion des risques, la gestion de l’identité et de l’accès, la signature de code, l’authenticité des logs d’audits, etc…, des mesures qui reposent toutes sur une PKI et une gestion appropriée des certificats. La mise en place d’une politique cryptographique forte est donc une étape obligatoire pour être en conformité avec cette directive.
