Article Ligne directrice NIS2 : Quelles sont les conséquences pour vous ?

Qu’est-ce que NIS2 ?

Fin 2024, une nouvelle directive sur la sécurité des réseaux et de l’information entrera en vigueur en Europe : NIS2. En raison de l’augmentation des cybermenaces et de la grande dépendance sociale à l’égard de l’informatique, il est devenu évident que les lignes directrices actuelles ne suffisent plus, ce qui nécessite des exigences plus strictes de la part de l’UE. NIS2 suit donc la directive NIS qui existe depuis 2018, qui « obligera » davantage d'organisations à mettre de l'ordre dans leur cybersécurité. Oui, probablement le vôtre aussi.

Du NIS au NIS2

NIS, pour Network & Information Systems, est une directive européenne ayant pour objectif d’améliorer la résilience et la sécurité des réseaux et des systèmes d’information au sein de l’UE. La ligne directrice NIS se concentre sur des secteurs essentiels tels que l’eau, l’énergie et les télécommunications. Lorsque les entreprises de ces secteurs font faillite, elles ont souvent un impact perturbateur sur l’économie et la société. La première directive NIS visait à garantir que les entreprises de ces secteurs mettent en œuvre des mesures appropriées pour assurer la sécurité et la continuité de leur réseau et de leurs systèmes d'information. Par exemple, les violations de données devaient être signalées aux autorités de contrôle et des amendes étaient imposées en cas de problème.

Désormais, chaque pays de l’UE pourrait déterminer lui-même la mise en œuvre et le respect de ces règles. La directive NIS2 a donc été publiée à la fin de l'année dernière et donne aux États membres jusqu'au 18 octobre 2024 pour mettre en œuvre les changements et adapter la législation et la réglementation. Il s'assure que :

1. Les pays de l’UE seront beaucoup plus alignés dans le domaine de la cybersécurité et notamment de son application par les autorités de contrôle.
2. La liste des secteurs s’allonge et on distingue les entreprises essentielles et importantes :
   
           - Les entreprises essentielles sont les entreprises de 250 salariés ou ayant un chiffre d'affaires net supérieur à 50 millions d'euros et un total de bilan de 43 millions d'euros. Ces entreprises seront surveillées de manière proactive par les autorités de régulation.
           - Les grandes entreprises emploient plus de 50 personnes et réalisent un chiffre d'affaires annuel supérieur à 50 millions d'euros. Ces entreprises peuvent s’attendre à un audit de temps en temps.
           - Exception : Moins de 50 salariés et 50 millions d'euros, mais êtes-vous un fournisseur de services de confiance (services numériques garantissant la confidentialité, l'intégrité et l'authenticité des transactions, communications et documents électroniques) ? Ensuite, votre organisation doit également se conformer à NIS2.

Surveillance active

Si votre entreprise relève de la directive NIS2, cela aura les conséquences suivantes :

1. Conformité : Vous êtes tenu de respecter les mesures de sécurité et les obligations de reporting. Pensez à avoir les certifications appropriées et à signaler les incidents graves aux autorités compétentes.
2. Responsabilité accrue : les entreprises qui ne respectent pas la directive NIS2 et perdent ainsi des informations sensibles peuvent être tenues responsables des conséquences. Cela inclut les pertes financières, les atteintes à la réputation et la responsabilité juridique.
3. Coûts : Vous devrez probablement engager des coûts supplémentaires pour vous conformer à la directive. Envisagez d'adapter les systèmes et processus existants, mais également de former de nouvelles personnes, de mettre en œuvre de nouveaux outils et de surveiller les menaces potentielles.

Signaler ces menaces potentielles est, à mon avis, une mesure très drastique. Alors que la première directive NIS vous obligeait à signaler les incidents dans les 24 heures, NIS2 s'applique également aux menaces potentielles. Cela signifie que votre service informatique devra être très actif en matière de surveillance et de reporting.

Liste de choses à faire

La manière dont vous rendrez compte à l'avenir n'est pas encore complètement déterminée et le quatrième trimestre 2024 semble encore assez loin, mais je sais par expérience que la surveillance active prendra énormément de temps, sans parler de la structuration optimale de votre sécurité. Vous avez déjà la main sur ces dernières, alors n'attendez pas la fin de l'année prochaine pour vérifier votre sécurité et vos procédures et commencez par vérifier les aspects suivants :

1. Analyse des risques : découvrez quels systèmes et services de votre organisation sont les plus importants et donc les plus menacés en cas de piratage.
2. Continuité des activités : existe-t-il une bonne sauvegarde, mais également pour la reprise après sinistre et la gestion de crise ?
3. Sécurité de la chaîne d'approvisionnement : à quels risques potentiels votre organisation est-elle confrontée par le biais de fournisseurs et de prestataires de services externes ?
4. Sécurité des réseaux et des systèmes d'information : Comment sont-elles mises en place et comment sont traitées les vulnérabilités ?
5. Gestion des incidents : Comment les incidents sont-ils traités et éventuellement enregistrés ?
6. Efficacité : Quelles sont les politiques et procédures permettant de tester l’efficacité de la cybersécurité ?
7. Formation : Dans quelle mesure tout le monde est-il conscient de la politique informatique au sein de l'organisation et est-elle respectée ?
8. Cryptographie et chiffrement : qu'en est-il des politiques et procédures entourant l'utilisation de la cryptographie et du chiffrement ?
9. Sécurité physique : du personnel, des politiques de contrôle d'accès et de la gestion des actifs.
10. Authentification multifacteur : appliquez-la aux comptes accessibles depuis Internet, disposant de droits d'administration et aux comptes des systèmes essentiels.

Comme vous pouvez le constater, la mise en place et le respect d’une sécurité solide impliquent beaucoup de choses. Cela ne concerne pas seulement la technologie, mais aussi les processus au sein de l'entreprise et les personnes qui y travaillent. La liste ci-dessus vous aidera à déterminer les mesures que vous devez encore mettre en œuvre ou renforcer pour être aussi prêt que possible pour NIS2.

Si vous souhaitez en savoir plus sur ce sujet ou échanger des idées, n'hésitez pas à contacter.

Ottman Azaar
Spécialiste des solutions de sécurité Insight
Tél. : +33130672542
e-mail :  ottman.azaar@insight.com