Par Thierry Fabre, Senior Manager, Sales Engineering Southern Europe
Le compte à rebours est lancé jusqu'à Octobre 2024, moment où la directive de l'UE sur la sécurité des réseaux entrera en vigueur. Si le respect des exigences de conformité prendra du temps et nécessitera une stratégie organisationnelle solide, il contribuera à atténuer les risques liés à la cybercriminalité au sein d'une organisation ou entreprise. Cette directive NIS2 vise à répondre à une vague d’attaque cyber au niveau mondial. C’est l'un des domaines d'activité criminelle qui connaît la croissance la plus rapide au monde. Les campagnes de ransomware font de plus en plus souvent la une des médias. Selon l'Agence de cybersécurité de l'Union européenne (ENISA), en 2022, la grande majorité de ces attaques en Europe visaient les administrations publiques et les gouvernements, les fournisseurs de services numériques et les infrastructures critiques - les mêmes secteurs que ceux couverts par la directive NIS2.
NIS2 place la barre très haut en matière de conformité
La mise en conformité avec cette nouvelle directive implique de prendre des mesures pour minimiser les cyber-risques, en mettant sur pieds des processus de signalement des cyber-incidents et d'instaurer une responsabilité et une formation à la cybersécurité pour les employés. Elle exige également la mise en place d'un plan de continuité des activités en cas de cyber incidents majeurs. Ce plan doit décrire les politiques et procédures essentielles, ainsi que les contacts clés - y compris les agents tiers - afin de contenir et de contrôler rapidement les potentielles violations.
De plus, cette directive inclut les moyens nécessaires pour garantir sa mise en œuvre être respectée. Le non-respect de cette directive peut entraîner des sanctions allant jusqu'à 10 M€ ou 2% du chiffre d'affaires total de l'entité au niveau mondial, le montant le plus élevé étant retenu.
Penser la sécurité dès la conception est plus important que jamais
La sécurité, la confiance et la qualité sont des principes profondément ancrés dans NIS2. La directive reconnaît l'importance d'un niveau élevé de gestion des risques de cybersécurité et des principes de « sécurité dès la conception » dans l'ensemble des infrastructures critiques de l’entreprise. Elle met également l'accent sur la sécurité des chaînes d'approvisionnement logiciels pour les infrastructures critiques, ce qui est devenu d'une importance vitale de par les risques liés au nombre important d’intervenants et de leurs adhérences en cas de découverte de vulnérabilité. NIS2 rendra les organisations responsables de la suppression de ce type de vulnérabilités. Elle exigera également des entités d'infrastructures critiques qu'elles prennent en compte la sécurité, la résilience et la qualité globales des produits et services qu'elles utilisent. En conséquence, une organisation doit comprendre les pratiques de cybersécurité et les procédures de développement de logiciels adoptées par ses fournisseurs et prestataires de services. Pour beaucoup, la granularité et l'étendue de la cyber protection dans toutes les facettes du fonctionnement de l’organisation impliqueront d’établir des partenariats de confiance avec des fournisseurs de logiciels et de services experts en cybersécurité afin de renforcer les connaissances et les capacités qu’exige la mise en conformité.
Recommandations : sept mesures que les organisations doivent prendre pour se préparer à l'échéance d'octobre 2024
- Adopter des mesures pour prédire et prévenir les cyberattaques avant qu'elles ne se produisent. Cela signifie mettre en œuvre des cyber outils pilotés par l'IA pour détecter et prévenir les menaces avant qu'elles ne causent des dommages.
- Adopter une approche Zero Trust pour gérer l'accès des utilisateurs aux applications et aux données, à la fois en continu et par défaut. Cela réduira le risque de brèches, fournira un contrôle d'accès unifié granulaire et permettra de travailler en toute sécurité depuis n'importe où.
- Signaler les cyber incidents et y répondre rapidement. Dans un monde où la concurrence pour attirer les talents en cybersécurité est féroce, une approche rapide et rentable pour accéder à l'expertise en cybersécurité est de souscrire à des services MDR (détection et réponse gérées).
- Rester au fait des dernières informations sur les cybermenaces. Le paysage des cybermenaces évolue en permanence. L'accès à des informations exploitables sur les menaces aidera les organisations à s'assurer que leurs évaluations des cyber risques et leurs politiques de sécurité sont adaptées à leur objectif.
- Sécuriser les données sur les appareils personnels et appartenant à l'entreprise utilisés par les employés. Les environnements de travail à distance et hybrides étant désormais la norme, il est essentiel que les organisations adoptent des contrôles de politique et la visibilité nécessaire pour sécuriser tous les terminaux.
- Chiffrer les communications vocales et la messagerie. NIS 2 exige l'utilisation d'une authentification multifactorielle et d'un chiffrement sécurisé pour la voix, la vidéo et le texte. Cela signifie que les organisations doivent adopter des applications de messagerie et de téléphonie sécurisées qui sont certifiées pour répondre aux exigences de sécurité les plus élevées et protéger contre les menaces les plus sophistiquées.
- Mettre en place un plan de continuité des activités, à utiliser en cas de cyber incident majeur. Les organisations devront être en mesure de déployer rapidement des équipes d'intervention et de communiquer avec les employés et les autres parties prenantes clés lorsque les canaux de communication habituels sont compromis. Cela signifie qu'il faut adopter des plateformes de communication sécurisées et multicanaux pour s'assurer que les bonnes personnes disposent des bonnes informations pour réagir à des événements critiques et s'en remettre.
Les entreprises d’infrastructures critiques et leurs chaînes d’approvisionnement étant devenues des cibles privilégiées pour les acteurs de la cybermenace, le respect des exigences devrait être une priorité immédiate pour toutes les organisations concernées. Le mois d'octobre 2024 est demain, compte tenu du temps considérable qu'il faudra pour mettre en œuvre correctement les processus, pratiques et technologies de grande envergure nécessaires à la mise en conformité.