L’application de la version 2.0 de la directive européenne NIS, « Network and Information Security », est prévue pour l’automne. De la NIS 1 à la NIS 2 pour coordonner la lutte contre les cyberattaquants dans chaque pays membre de la Communauté européenne.
La directive NIS a fait son apparition en Europe en 2016. Une directive ayant pour objet d’élever le niveau de sécurité de certaines entreprises et administrations européennes afin qu’elles soient enfin toutes capables de contrer des cyberattaques dont le nombre est en perpétuelle croissance, de réduire au maximum leur surface d’attaque. Grâce à la NIS 1, les États membres visent un niveau de sécurité non seulement élevé mais également commun au sein de l’Union européenne.
Alors que la NIS 1 ne concernait que les Opérateurs de Service Essentiel et les Fournisseurs de Service Numérique, nous rappelle l’ANSSI, la NIS 2 a des objectifs et un périmètre d’application beaucoup plus larges. Désormais de nombreuses PME, TPE et ETI seront également concernées. En effet, les cyberattaquants visent la plupart du temps le maillon faible et avec leur manque de moyens et de compétence interne, ces dernières sont de véritables cibles de choix. Fait confirmé par les chiffres de la cybercriminalité en provenance de différentes études. Pour exemple, l’ANSSI rapporte une augmentation de
30 % du nombre d’attaques par rançongiciels sur les PME-TPE-ETI dans son panorama de la cybermenace 2023.
La NIS 2 pourrait donc s’appliquer à des milliers d’organismes privés et publics. Elle reprend les bases de la NIS 1 avec l’ajout de nouvelles mesures de cybersécurité. Par ailleurs, il y aura deux types d’acteurs concernés, les entités dites importantes et celles essentielles. Et selon que l’on appartienne à l’une ou l’autre catégorie, le niveau d’exigences demandé diffèrera.
Attention, avec l’arrivée de la NIS 2, il est également prévu un renforcement du régime de sanction : selon l’ANSSI, « Le mécanisme prévu pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée, à l’image de ce qui est prévu dans le Règlement Général sur la Protection des Données (RGPD) ».
Il est clair que les organismes devront anticiper la venue de cette nouvelle réglementation prévue pour octobre prochain car la mise en conformité ne pourra se faire du jour au lendemain. Son application sera bien entendu échelonnée selon un calendrier fourni par l’État. Mais même si aujourd’hui, la transposition de la NIS 2 n’est pas totalement achevée, certaines bases peuvent d’ores et déjà être mises en place pour que la mise en conformité se fasse, par la suite, le plus aisément possible.
Ainsi l’ANSSI propose, pour sa part, aux PME concernées son guide des TPE/PME. Par ailleurs, inutile d’envisager une quelconque gestion de risques s’il n’existe pas de gestion d’identité en entrée du Système d’Information. Pour mettre en place une stratégie de cybersécurité, il faut pouvoir contrôler qui fait quoi, avec quels droits et à quel moment, en tenant compte, de préférence, du contexte au moment de la connexion.
Il existe de nombreuses documentations sur la NIS 2, à commencer par celles de l’ANSSI sans oublier naturellement celles en provenance des acteurs du domaine. Pour exemple, le dernier webinaire d’Okta, qui détaille les points forts de la nouvelle directive, parle des entités qui pourraient être concernées et discute des conséquences de l’application de la NIS 2.
A venir un webinar sur le passkey qui vient au secours de l’utilisateur. Le casse-tête du mot de passe en fait sa faiblesse et pour éviter un piratage trop facile du fait de sa multiplicité, le passkey apporte une solution d’authentification forte pratique pour l’utilisateur.
Le PAM, Privileged Access Management, est un mécanisme pour éviter à ce que les cyberintrus ne compromettent trop facilement un SI d’entreprise. Les dernières innovations sur le sujet avec Okta lors d’un webinar.
Par Yann Duplaix, Principal Solutions Engineer chez Okta