La nouvelle directive NIS 2 est entrée en vigueur en novembre, une étape importante dans la réglementation en matière de cybersécurité. Elle impose aux entreprises des secteurs concernés de se mettre en conformité et d’appliquer les règles, qui sont avant tout calquées sur un modèle standard d’hygiène des données qui devrait être appliqué par chaque entreprise, ce qui devrait leur simplifier la tâche. Cependant, se conformer au cadre de NIS 2 n’apporte aucune assurance de sécurité spécifique.

En étant en conformité, c’est-à-dire en « appliquant les règles », les entreprises devraient constater des effets positifs sur leur niveau de sécurité. Mais si elles souhaitent renforcer la fiabilité de leur stratégie, elles devront faire davantage d’efforts.

Non-conformité à NIS 2 : autant laisser sa porte ouverte au tout venant…

Toute entreprise qui décide de ne miser que sur sa mise en conformité risque de se créer une dette technique, qui revient en quelque sorte à utiliser des matériaux peu solides pour construire sa maison juste pour gagner du temps, en pensant que l’on pourra renforcer la construction plus tard. En réalité, ce type de stratégie mène toujours à l’effondrement du bâtiment à plus ou moins long terme. Cela s’applique aussi aux services informatiques, quand ils favorisent des solutions rapides, qui contribuent à affaiblir la résilience de leur système et à leur coûter en termes de réparations. Bien souvent, une entreprise qui s’est mise en conformité relâche ensuite sa vigilance.

Un réflexe que NIS 2 est justement sensée éviter, en encourageant les entreprises à considérer la sécurité comme un processus qui s’inscrit dans la continuité, et à vérifier en permanence leur conformité mais aussi leur sécurité. A cet effet, elle inclue justement un mécanisme de reporting. Les règles prescrites par NIS 2 ne sont qu’une étape sur le long chemin qui mène à une entreprise totalement sécurisée, et forment le socle sur lequel les entreprises doivent s’appuyer pour ériger leur stratégie de sécurité en fonction des attentes de leurs utilisateurs. Il ne faut pas s’étonner de voir des intrus voler les données d’une entreprise si celle-ci n’est pas conforme à NIS 2, un peu comme si elle laissait sa porte ouverte à n’importe qui.

Dans la vie courante, avant de souscrire à une assurance, chaque individu cherche normalement à mettre en place toutes les mesures possibles pour éviter qu’un dommage ne se produise, de sorte que l’assurance ne joue qu’en cas d’imprévu. Il en va de même pour la version numérique avec NIS 2, appliquée aux cyberattaques.

Sécuriser une entreprise en trois règles essentielles

NIS 2 vient compléter les mesures de la première directive NIS 1, qui s’appliquait à un nombre plus limité d’entreprises, en attribuant la responsabilité de vérifier que tout est en ordre directement aux entreprises et leurs dirigeants.

La sécurisation d’une entreprise passe nécessairement par l’application
des trois règles suivantes :
  1. Favoriser la mise en place d’une culture de la sécurité par les
    équipes : 
    habituellement, les regards se tournent vers les utilisateurs. Quand un salarié clique sur le mauvais lien, cela illustre le fait que l’entreprise n’a pas favorisé la sécurité à travers sa culture interne. Autrement dit, il est plus logique de fermer la porte derrière soi que de la laisser grande ouverte.

  2. Adapter les pratiques en fonction des utilisateurs : une fois qu’une entreprise est certaine d’avoir des procédures conformes à NIS 2, elle peut s’attaquer à l’étape du renforcement de sa sécurité en tenant compte de ses propres besoins.

  3. Choisir la technologie qui permettra de créer un environnement sûr pour les utilisateurs : il ne faut jamais considérer les décisions déjà prises comme immuables, car ce qui fonctionne aujourd’hui ne sera peut-être plus efficace le lendemain. Il convient donc de remettre les choses en question régulièrement.

Soulager les utilisateurs

Faut-il renforcer davantage le cadre de la directive NIS 2, avec une version NIS3 plus sévère ? A terme, il faut s’attendre à voir d’autres secteurs concernés par des réglementations plus strictes, à l’image du secteur financier bientôt encadré par DORA (que l’on peut d’ailleurs comparé à un NIS 2 sous sa forme exacerbée... En attendant, suivre les préceptes de NIS 2 comme ligne directrice contribuera à encourager les entreprises à penser à leur sécurité à un niveau structurel, et à trouver le juste milieu entre sécurité et efficacité opérationnelle.

NIS 2 ne se limite pas à une série de règles maintenant le bon fonctionnement d’une entreprise, ni à un impératif de conformité. C’est une directive qui replace l’utilisateur au centre, pour lui donner un accès sécurisé aux données et aux systèmes qu’il utilisent quotidiennement. Pour cela, il faut instaurer la résilience des données, qui garantie la sécurité des données mais aussi leur disponibilité et leur capacité à être fonctionnelles si besoin, tout cela assurant la continuité des activités et la productivité de l’entreprise.

Si les consciences ont commencé à s’éveiller avec quelques récents problèmes informatiques rencontrés par les entreprises à travers le monde, le chemin qu’il reste à parcourir est long. Certains pays montreront l’exemple aux autres, en imposant des sanctions financières lourdes à leurs entreprises en faute, incitant le reste des entreprises à considérer davantage leur sécurité. NIS 2 leur apparaîtra alors comme un socle sur lequel construire leur sécurité et améliorer leur résilience des données, plutôt que comme un cadre strict.

Par Edwin Weijdema, EMEA Field CTO and Lead Cybersecurity Technologist chez Veeam Software