L’application de la norme NIS 2 est imminente et il est temps d’agir ! Les entreprises ne doivent pas prendre sa mise en conformité à la légère.
La cybersécurité est aujourd’hui une priorité absolue pour toutes les entreprises. La digitalisation croissante des processus de travail a entraîné une surexposition des entreprises aux cyberattaques – rendant la conformité aux règles de sécurité plus cruciale que jamais.
Dans ce contexte, les entreprises doivent commencer à se préparer à la directive NIS 2 – qui vise à harmoniser et à renforcer la cybersécurité des infrastructures critiques sur le marché européen – dont l’entrée en vigueur en octobre 2024, approche rapidement.
Comment NIS 2 améliore-t-elle le NIS 1 ?
Depuis NIS 1, entrée en vigueur en 2018, des événements mondiaux tels que le COVID, les perturbations de la supply chain et les changements géopolitiques ont mis en évidence des vulnérabilités en matière de sécurité.
En outre, les grandes divergences sur l’application de NIS1 dans les États membres de l’UE, en raison notamment d’un manque de clarté sur la mise en conformité, a semé une certaine confusion.
Adoptée en janvier 2023, NIS 2 vise à remédier à ces problèmes. Non seulement, la directive permet une plus grande collaboration entre les États membres, mais elle couvre également davantage de secteurs (20 fois plus d’entreprises que le NIS 1) et introduit des mesures plus coercitives en cas de non-conformité.
À qui s’adresse NIS 2 ?
NIS 2 concerne toutes les entités publiques ou privées, qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne ou dans l’un des secteurs visés par la directive. Elles seront divisées entre entités essentielles (EE) ou importantes (EI) en fonction de leur impact sur l’économie et le fonctionnement d’un pays.
Les EE incluent les services de santé, d’énergie et de transport, pour lesquelles une interruption des services pourrait avoir de graves conséquences. Les EI se répartissent entre les industries, les services postaux, la gestion des déchets et les fournisseurs numériques tels que les moteurs de recherche, les réseaux sociaux et les marketplaces en ligne.
Bien que NIS 2 couvre les deux types d’entités, les exigences de conformité diffèrent pour chacune d’entre elles. Par exemple, les entités essentielles doivent effectuer des audits plus régulièrement. Les petites entreprises ne sont pas nécessairement exclues, car les États membres peuvent mettre à jour certaines exigences relevant de leur compétence, par exemple en imposant davantage d’audits de la part de tout fournisseur de services gouvernementaux.
Qu’en est-il des solutions open-source ?
NIS 2 reconnaît la valeur des outils et des normes de cybersécurité open-source, en particulier lorsqu’il s’agit de réduire les coûts pour les PME. Cela dit, la directive exige des entreprises, qui utilisent ces solutions libres, qu’elles les appliquent de manière durable.
Ainsi, l’article 52 stipule : « les outils et applications de cybersécurité open-source peuvent offrir une nouvelle vision et avoir de fait un impact positif sur l’efficacité de l’innovation industrielle. L’open source facilite l’interopérabilité entre les outils de sécurité, au bénéfice de la protection des acteurs industriels.
Comment la directive NIS 2 s’inscrit-elle dans le cadre de la cybersécurité ?
NIS 2 est l’une des nombreuses directives, normes et réglementations utilisées mondialement et très souvent associée à d’autres. Les normes exactes qui s’appliquent à chaque entreprise dépendent du secteur d’activité et du pays, entre autres, mais il est important de connaître chacune de ces exigences mondiales.
Désormais, les entreprises doivent avoir une plus grande conscience et une meilleure mise en œuvre des politiques de cybersécurité et de gestion des risques.
Comment les entités doivent-elle se préparer à la directive NIS 2 ?
Il est important de commencer dès à présent à planifier et à budgétiser NIS2, car la mise en conformité avec cette nouvelle directive pourrait entraîner une augmentation du budget de 10 à 20 % en fonction du secteur, du pays et de la conformité avec d’autres normes, notamment NIS 1.
Cela implique que les entreprises doivent, tout d’abord, prendre des mesures techniques et opérationnelles appropriées et proportionnelles au risque, notamment pour éviter qu’un incident touchant certaines entreprises entraine des répercussions importantes pour d’autres.
Par conséquent, les entreprises – en particulier celles qui sont considérées comme des entités essentielles – doivent anticiper leurs mesures de sécurité en gardant à l’esprit ces potentiels impacts.
Pour commencer, les entreprises doivent prendre deux mesures essentielles :
L’auto-évaluation
> Une auto-évaluation est importante pour tout type de conformité en matière de sécurité. Elle doit passer en revue les risques potentiels et les mesures d’intervention, afin que les équipes puissent prendre des dispositions pour atténuer les risques de manière proactive et s’assurer que les protocoles de réponse appropriés sont en place.
Ces mesures permettent de mieux anticiper, de réduire les risques et d’assurer la continuité des activités en cas d’incident.
Les rapports
> Les exigences en matière de rapports de NIS 2 sont beaucoup plus strictes que celles de NIS1, exigeant des entreprises qu’elles soient en permanence en conformité. Une simple feuille excel ne suffira plus. Une connaissance approfondie des pratiques en matière de rapports d’incidents et de continuité des activités, ainsi qu’une grande visibilité au sein de l’entreprise sont désormais nécessaires.
En outre, il est important de noter que la direction et le conseil d’administration sont directement responsables de ces rapports, ce qui rend la formation aux protocoles tout aussi essentielle.
D’une manière générale, la préparation à la conformité NIS 2 est une excellente occasion de mettre à jour les technologies existantes, car les infrastructures fragiles n’assureront probablement pas le niveau nécessaire de continuité des activités.
Dans de nombreux cas, les entreprises peuvent constater que l’externalisation de certains services de support leur apportera plus d’expertise et de supervision qu’elles ne peuvent assurer en interne.
La place de la PKI et de la gestion des certificats dans la conformité NIS 2
La gestion de la PKI et des certificats devient particulièrement importante pour les entreprises lorsqu’il s’agit d’être en conformité avec la norme NIS 2. En effet, la nouvelle directive exige des entreprises qu’elles introduisent une approche zero-trust (via l’authentification multifactorielle par exemple), des mises à jour logicielles régulières, la segmentation du réseau, la gestion de l’identité et de l’accès, la signature de code et bien d’autres choses encore, qui reposent toutes sur une PKI et nécessitent une gestion appropriée des certificats.
Il est important que les entreprises anticipent en investissant dans une infrastructure à clé publique appropriée plutôt que d’attendre qu’un problème ne survienne. Cette infrastructure doit être résiliente et évolutive afin d’assurer le niveau nécessaire de continuité des activités. Elle doit également offrir un haut niveau de visibilité et d’agilité pour comprendre l’ensemble du paysage des identités et émettre de nouveaux certificats si nécessaire. En premier lieu, les entreprises doivent se concentrer sur trois actions clés :
– Faire l’inventaire de tous les services et de toutes les identités pour s’assurer que tout est identifié et conforme. Prendre des mesures pour améliorer la visibilité et la conformité si nécessaire.
– Examiner les services pour s’assurer qu’ils ne sont pas surchargés. Souvent, les entreprises utilisent la même infrastructure à deux fins différentes (externes et internes), mais à long terme cela crée davantage de risques.
– Introduire une automatisation adéquate du cycle de vie des certificats pour éviter les pannes et assurer la continuité des activités. Les équipes peuvent conserver une visibilité sur les certificats une fois émis et les remplacer facilement s’ils arrivent à expiration ou s’ils ne sont plus fiables.
L’application de la norme NIS 2 est imminente et il est temps d’agir ! Les entreprises ne doivent pas prendre sa mise en conformité à la légère. S’entourer des bons partenaires tout au long du processus, peut faire toute la différence en matière de réduction des risques et éviter des sanctions.
