La directive NIS2 marque un tournant, un changement d’attitude en matière de cybersécurité. En deux heures, Cyber Security Management propose d’en découvrir -gratuitement- l’essence et de comprendre comment en tirer parti (*).

Avec NIS2, l’Union européenne passe à l’étape supérieure dans l’harmonisation de ses règles en matière de cybersécurité. Révision de la directive NIS de 2016, elle a été adoptée en janvier dernier et entrera en vigueur au sein de l’Union européenne d’ici le 17 octobre 2024. Elle comporte des changements significatifs en termes d’objectifs et de champ d’application, en particulier la sécurisation de la supply chain par le biais d’une responsabilité partagée. Au-delà de la conformité, NIS2 est une opportunité.

Avec NIS2, l’Union européenne entre dans une « nouvelle phase » et passe d’« une position passive à une position active et proactive pour arrêter, contrecarrer et empêcher les attaques de se produire », résume Christophe Hohl, Technical Advisor, Cyber Security Management, qui animera la deuxième édition de la All Cyber School sur le thème de NIS2 à Waterloo le 6 décembre prochain. A l’entendre, la nouvelle directive marque clairement un élargissement de périmètre. De nouveaux secteurs seront désormais concernées. Outre les acteurs de l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques étaient concernés, NIS2 embrassera les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques.

Un champ d’applications plus large

« Il y avait tout lieu de revoir le dispositif de 2016 pour y intégrer de nouveaux secteurs, note Stanislas Van Oost, Founder & MD, Be Agile, partenaire de Cyber Security Management. Qui plus est, NIS2 s’appliquera à l’ensemble de l’Union. » C’est une innovation majeure, qui va permettre d’éliminer les disparités dans la mise en œuvre de NIS entre les États membres. La directive prévoit en effet d’aligner les exigences en matière de rapports sur les incidents de sécurité pour les entreprises couvertes.

La nouvelle directive ne fait pas qu’agrandir la liste des secteurs concernés, elle met aussi en place une nouvelle nomenclature. Les entités seront divisées entre celles dites « essentielles » et celles dites « importantes », en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement aurait. Le texte introduit également un seuil au-delà duquel ces entreprises et organisations devront se conformer aux nouvelles règles.

Reconsidérer les couches d’identité

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information ». Cela devra passer, par exemple, par l’analyse des risques encourus, des mesures garantissant la continuité de leurs activités comme la gestion des sauvegardes, la sécurisation de leurs réseaux, des procédures d’audit des mesures mises en place, de la formation à une bonne hygiène cyber, l’utilisation de techniques de cryptographie, un bon contrôle des accès ou encore l’utilisation de solutions d’authentification à plusieurs facteurs.

L’optimisation de la gouvernance des données, des identités et de l’infrastructure est un élément clé de la conformité à NIS2. En effet, les couches d’identité et de données constituent l’essentiel de l’infrastructure informatique et présentent généralement le plus grand nombre de vulnérabilités en matière de sécurité. Pour les organisations, cela signifie qu’il faut donner la priorité à la gestion des identités et des accès, en clair l’IAM, et à la gouvernance des accès aux données.

IAM et gouvernance des accès aux données

Les solutions IAM aident les organisations à détecter toute tentative d’accès non désirée en mettant en œuvre une forte gouvernance en termes d’identité, et à limiter l’accès aux systèmes, aux données et aux applications selon le principe du moindre privilège. Aussi, les stratégies fondamentales comprennent l’application de politiques strictes en matière de mots de passe et le contrôle rigoureux des comptes privilégiés.

Quant à elles, les solutions de gouvernance des accès aux données permettent aux organisations d’identifier les données sensibles dont elles disposent, l’endroit où elles sont stockées et les personnes qui y ont accès, soit directement, soit par des voies d’attaque plus complexes, et de les protéger efficacement. Ces solutions fournissent également un audit continu pour repérer les activités suspectes liées à ces données, les changements d’identité non désirés et les modifications inhabituelles de l’intégrité ou de l’état de sécurité d’un système… autant d’éléments qui peuvent indiquer une attaque en cours. Des options de réponse automatisées et personnalisables aideront également à répondre de manière proactive aux menaces en les bloquant, en minimisant l’impact des incidents ainsi qu’en aidant les organisations à se rétablir rapidement et soutenir les exigences en matière de rapports dans la directive NIS2.

NIS2, plus seulement responsable de soi

« Cette nouvelle directive donne aux entreprises l’occasion de reconsidérer leur approche de la cybersécurité et de passer d’une approche réactive à une approche proactive de la gestion des risques, estime Christophe Hohl. Elle leur confère également la possibilité d’évaluer leurs capacités et leurs opérations par rapport aux exigences renforcées en matière de cybersécurité. »

L’augmentation du nombre d’entreprises couvertes par NIS2 permet aux organisations de s’assurer que leurs partenaires et fournisseurs de taille moyenne prennent les mesures nécessaires pour se protéger contre les cybermenaces. C’est un point particulièrement important à l’heure où la supply chain est une cible prioritaire pour les cybercriminels.

« Pour les organisations qui n’ont pas encore mis en place de stratégie de sécurité avec les outils appropriés, il s’agit d’un rappel pour évaluer les cyber-risques et les prendre au sérieux, insiste Stanislas Van Oost. Les acteurs malveillants et les menaces internes peuvent gravement nuire à une entreprise, à sa santé financière et à sa réputation. C’est pourquoi la mise en œuvre de contrôles appropriés offre des avantages qui vont bien au-delà de la conformité réglementaire. »

Pour les deux spécialistes, NIS2 apparaît comme un guide destiné à aider les entreprises à prendre conscience des cyber-risques et de la voie vers la cyber-résilience. La directive marque un tournant, un changement d’attitude. Chaque organisation de moyenne ou grande taille n’est plus seulement responsable d’elle-même, mais aussi des maillons de sa supply chain.

(*) Pour plus d’information sur la formation : anita.pint@cs-m.be Inscriptions avant le 30 novembre, en indiquant vos coordonnées, votre fonction et votre entreprise. Attention, les places sont limitées !