Protéger l’Union Européenne des menaces technologiques : La directive NIS2
L’évolution rapide des technologies a entraîné de nouveaux défis en matière de cybersécurité. Les cyberattaques, le vol de données et d’autres menaces peuvent mettre en péril non seulement la vie privée des individus, mais aussi la sécurité nationale. Dans ce contexte, l’Union européenne a adopté une série de directives visant à mieux se protéger contre tous ces dangers.
La directive sur la sécurité des réseaux et de l’information (NIS) a été adoptée en 2016 pour renforcer la sécurité des systèmes informatiques dans l’UE. Elle impose des obligations de sécurité à tous les opérateurs de services essentiels tels que l’énergie, les transports, la santé et les services bancaires ainsi que les fournisseurs de services numériques.
En France, ces grands acteurs ont été soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et de mettre en œuvre les mesures de sécurité nécessaires pour réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cyber.
Bien que la directive NIS ait constitué un pas en avant pour la cybersécurité en Europe, l’évolution rapide des technologies a rendu nécessaire une mise à jour de la législation. C’est pourquoi la directive NIS a été révisée en 2021 et est devenue la directive NIS2 en décembre 2022.
Bien que s’appuyant sur les bases de NIS1, la directive NIS2 élargit grandement son périmètre d’applicabilité ainsi que ses objectifs pour contraindre les organisations à mieux se protéger tant à l’échelle européenne que nationale.
Dans cet article nous présenterons les acteurs concernés par la nouvelle directive, les différents domaines couverts ainsi que les processus à prendre en compte pour assurer sa conformité d’ici octobre 2024.
Qui est concerné ?
NIS2 étend le champ d’application de la directive initiale qui s’adressait aux opérateurs de services essentiels. La nouvelle directive s’applique maintenant aux fournisseurs de services numériques, tels que les plateformes e-commerce, les moteurs de recherche, les réseaux sociaux et les services Cloud. « A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. » déclare Yves VERHOEVEN, Sous-Directeur Stratégie de l’ANSSI.
Seront ainsi concernées les organisations qui opèrent dans les secteurs d’activité listés dans le tableau ci-dessous, qui emploient plus de 250 salariés et qui réalisent un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros.
NIS2 s’applique également à toute entité fournissant des services critiques au sein d’un pays membre de l’UE, quel que soit son emplacement. En d’autres termes, toute entreprise basée en dehors de l’UE pourrait y être soumise même si elle n’a pas de présence physique dans l’UE.
Une directive plus stricte
La nouvelle directive introduit des obligations plus strictes en matière de déclaration d’incidents, les entités critiques doivent désormais :
– Notifier un incident de sécurité important dans les 24 heures suivant sa détection.
– Fournir une évaluation initiale de l’incident dans les 72 heures suivant sa détection.
– Déposer un rapport final détaillé dans un délai d’un mois à compter de la détection de l’incident.
NIS2 prévoit également des sanctions et des mesures correctives pour les opérateurs de services essentiels et les fournisseurs de services numériques qui ne respectent pas les obligations en matière de sécurité : Pour les entités essentielles une amende de 10 millions d’euros, ou 2% du CA mondial total.[1] Les sanctions seront prononcées par l’autorité compétente à l’échelle nationale, soit l’ANSSI pour la France.
Par ailleurs, la possibilité pour les États membres de personnaliser les exigences dans certains cas particuliers (qui avait entraîné une grande fragmentation dans la mise en œuvre du NIS1) a été supprimée.
Les trois domaines clé de NIS2
Pour atteindre ces objectifs, NIS2 se concentre sur trois domaines clés : l’amélioration de la cyber-résilience des entreprises dans tous les secteurs concernés, la réduction des incohérences dans la résilience entre les pays de l’UE, et l’augmentation du niveau de connaissance de la situation et de la capacité collective à se préparer et à répondre aux cybermenaces.
L’approche de NIS2, pour améliorer la cyber-résilience des entreprises, est basée sur l’extension du champ d’application de la directive aux nouveaux secteurs mentionnés précédemment. Elle stipule également que toutes les moyennes et grandes entités opérant dans les secteurs couverts par NIS2 doivent se conformer aux règles de sécurité proposées, en supprimant la distinction entre les OES[2] et les DSP[3] numériques qui se répartissent actuellement en trois catégories : les marchés en ligne, les moteurs de recherche et les fournisseurs de services Cloud.
Afin de réduire les incohérences en matière de résilience entre les pays de l’UE, NIS2 prévoit l’alignement des exigences en matière de sécurité et de signalement des incidents, ainsi que des dispositions relatives à la supervision et à l’application au niveau national. L’objectif est de faire en sorte que toutes les entreprises soient tenues de gérer les risques cyber et de signaler les incidents aux autorités compétentes.
Enfin, NIS2 vise à améliorer le niveau de connaissance de la situation et la capacité collective à se préparer et à réagir aux cybermenaces. La directive prévoit la mise en place d’un cadre européen de gestion des crises, qui exige que les États membres adoptent un plan et désignent les autorités nationales compétentes chargées de participer à la réponse aux incidents et aux crises cybernétiques au niveau de l’UE. La directive proposée établit également un réseau de liaison de l’UE pour la gestion des crises cyber (EU-CyCLONe) afin de soutenir la gestion coordonnée des incidents cyber au niveau de l’UE et d’assurer l’échange régulier d’informations entre les pays membres.
Se préparer à l’entrée en vigueur de la directive NIS2
L’abrogation de la directive NIS et la transposition de la nouvelle directive ne seront effectives qu’à partir du 18 octobre 2024, laissant ainsi une marge de planification de 21 mois. Il est cependant essentiel que les acteurs concernés par la directive NIS2 (d’autant plus s’ils sont également concernés par les autres règlements européens récents) investissent dès à présent du temps et des ressources pour préparer le changement dans leurs processus opérationnels.
D’ores et déjà, il est indispensable pour toutes ces entreprises d’évaluer et d’harmoniser :
- Leurs systèmes internes et leurs politiques de sécurité de l’information
Afin de se protéger il est nécessaire d’avoir une vue exhaustive de ses systèmes tant informatique qu’opérationnel dans les environnements industriels et de définir avec précision l’impact d’une interruption de processus. La définition d’une politique de sécurité de l’information aidera ainsi les organisations à mieux protéger la confidentialité, l’intégrité et la disponibilité des données. L’ANSSI a d’ailleurs publié un guide d’élaboration de politiques de sécurité des systèmes d’information pour aider les responsables SSI dans l’élaboration d’une politique de sécurité du ou des systèmes d’information (PSSI) au sein de leur organisme.
- Le contrôle des accès
Les organisations doivent être en mesure d’identifier et surveiller les accès à ses systèmes et données (d’autant plus quand elle ouvre des accès externes à des partenaires). Il est recommandé de mettre en place des solutions de sécurisation des accès telles que CyberArk (leader sur la gestion des comptes à privilèges) afin de réduire les risques. Forbes a ainsi relevé que 74% des fuites de données impliquaient l’utilisation illicite d’un compte à privilèges. Sans compter les nombreux utilisateurs qui vont utiliser des mots de passe au faible niveau de sécurité où dont les accès vont perdurer même après avoir quitté l’entreprise… Le risque que cette faille soit exploitée par les hackers est d’ailleurs devenu plus fort avec l’augmentation du télétravail et l’accès aux applications dans le cloud. La mise en place d’une politique globale de gestion des identités « permet aux bonnes personnes d’accéder aux bonnes ressources au bon moment pour les bonnes raisons » (source Gartner).
CyberArk propose un guide pour se préparer à NIS2 grâce à lé sécurisation des identités : Getting Ready for NIS2 – Why Identity Security is Key to Preparing for Compliance Updates (cyberark.com)
- Leurs processus de gestion des incidents
Les acteurs concernés par la directive NIS2 devront avoir mis en place des procédures spécifiques pour gérer les incidents et anomalies afin d’être en mesure d’identifier rapidement un incident, d’évaluer son niveau de criticité et son impact et de déployer un plan d’actions pour rétablir la sécurité des systèmes concernés.
- La manière dont ils notifient les accidents
Si NIS1 obligeait les OSE et FSN à signaler rapidement un incident ayant un impact significatif, aucun délai précis n’était imposé. Avec NIS2 les entreprises doivent s’organiser afin de pouvoir notifier un incident dans les 24 heures suivant sa détection et devront transmettre les preuves détaillées sous un mois aux autorités compétentes (l’ANSSI pour la France). Cela implique donc une forte capacité de traçabilité et de réactivité. Pour autant bon nombre d’organisations ne sont pas encore en mesure de produire les reportings exigés ou de tracer les KPIs.
- La visibilité des risques cyber de leur entreprise
Dans une récente étude, le CLUSIF a indiqué que 85% de ses membres utilisaient des indicateurs de performance pour piloter leur stratégie cyber. Pour autant seulement 36% ont réussi à automatiser leur mise à jour et 43% à automatiser une partie de la collecte des données qui s’opère bien souvent manuellement de façon lourde avec des fichiers Excel. Avec Ignimission Platform, nos clients se déchargent rapidement de ces tâches sans valeur ajoutée et collectent facilement les données nécessaires au suivi des indicateurs SSI pour ensuite les mettre en forme dans des tableaux de bord partagés.
Vous avez besoin de gagner en visibilité sur le pilotage de votre SSI ? Collectez et centralisez simplement vos données de sécurité/conformité avec Ignimission Platform.
- Collectez automatiquement les données multi-sources
- Enrichissez manuellement vos données via des formulaires
- Contrôlez la qualité de vos données
- Générez vos indicateurs et visualisez le niveau de risques SSI
- Collaborez et partagez vos indicateurs en toute simplicité
- Suivez l’évolution de la sécurisation et contrôlez ses coûts
Gagnez en efficacité, fiabilité et fluidité avec Ignimission Platform : Demandez une démo !
Découvrez en vidéo notre solution de portail SSI primée lors de la CyberNight 2022 avec Allianz et OPERA CYBER !
[1] The NIS2 Directive Brief
[2] Original Equipment Supplier
[3] Digital Signal Processing
Sources :
https://www.europarl.europa.eu/thinktank/fr/document/EPRS_BRI(2021)689333
