À l'occasion du Forum INcyber 2024 qui se tiendra du 26 au 28 mars 2024, la directive NIS2 représente un appel urgent à renforcer la cybersécurité face aux menaces persistantes.
Indéniablement, la menace de la cybercriminalité est devenue omniprésente, évoluant à un rythme alarmant et s'adaptant continuellement aux progrès technologiques. Dans ce contexte en perpétuelle mutation, les entreprises et les gouvernements se retrouvent confrontés à une pression sans précédent pour protéger leurs systèmes informatiques et les données sensibles qu'ils détiennent.
C'est dans ce paysage en constante évolution que la directive NIS2 de l'Union européenne intervient, offrant un cadre crucial pour renforcer la cybersécurité à travers les 27 États membres. Cette directive établit des normes claires et rigoureuses pour les entreprises et les entités gouvernementales, les incitant à prendre des mesures concrètes pour prévenir, détecter et répondre aux cyberattaques. En fixant des exigences minimales en matière de sécurité des systèmes d'information, elle vise à garantir un niveau élevé de protection contre les menaces cybernétiques, tout en favorisant la coopération et la coordination entre les États membres.
L'une des principales forces de la directive NIS2 réside dans sa capacité à définir des responsabilités claires. Les mesures imposées sont les mêmes pour les deux entités. Seules les sanctions imposées sont différentes pour les deux entités, les incitant ainsi à investir dans des mesures proactives de protection des données.
De plus, en exigeant des évaluations régulières des risques et des tests d'efficacité, elle encourage une approche préventive et continue de la sécurité informatique. Cependant, la conformité à la directive NIS2 ne devrait pas être considérée comme une simple formalité réglementaire, mais plutôt comme un impératif stratégique.
Les entreprises doivent reconnaître que la cybersécurité est un investissement essentiel pour garantir leur survie à long terme dans un environnement numérique de plus en plus hostile. En renforçant leurs défenses contre les ransomwares, en adoptant des stratégies Zero Trust et en sensibilisant leur personnel à la sécurité informatique, elles peuvent non seulement se conformer aux exigences légales, mais aussi renforcer leur résilience face aux menaces cybernétiques émergentes.
La directive NIS2 offre une opportunité unique aux entreprises de se positionner en tant que leaders en matière de cybersécurité. En embrassant ces normes élevées et en investissant dans des pratiques de sécurité robustes, elles peuvent non seulement protéger leurs données et leurs opérations critiques, mais aussi renforcer la confiance du public dans l'économie numérique en pleine expansion. À une époque où les cyberattaques sont monnaie courante, il est impératif que nous agissions collectivement pour sécuriser nos systèmes et défendre notre avenir numérique. La directive NIS2 nous offre le cadre nécessaire pour y parvenir, mais c'est à nous tous de saisir cette opportunité et de faire de la cybersécurité une priorité absolue.
La directive NIS2 : Quelles exigences ?
Les entités essentielles et importantes « prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information » (Article 21).
Elles doivent notifier tout incident à l'ANSSI dans un délai de 24 à 72 heures (Article 23).
La directive NIS2 exige que la direction de l'entreprise supervise et approuve les mesures de cybersécurité de l'entité.
Les organisations doivent planifier la manière dont elles entendent assurer la continuité de leurs activités en cas de cyber-incidents majeurs.
Directive NIS2 : Quelles sanctions ?
Pour les entités essentielles (EE), le montant maximal de l'amende administrative s'élève à 10 000 000 euros ou à au moins de 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes (IE), le montant maximal de l'amende administrative s'élève à 7 000 000 euros ou à au moins 1,4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions (article 36).
Les 10 mesures minimales :
1 - Évaluation des risques et politiques de sécurité pour les systèmes d'information
2 - Traitement des incidents (prévention, détection et réponse aux incidents)
3 - La gestion des crises et la continuité des activités, comme la gestion des sauvegardes et la reprise des activités
4 - La sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs
5 - La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
6 - Politiques et procédures (tests et audits) visant à évaluer l’efficacité des mesures de gestion des risques liés à la cybersécurité
7 - Pratiques de base en matière de cyberhygiène et la formation à la cybersécurité
8 - Politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
9 - La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. L'utilisation de solutions d'authentification multi-facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées, ainsi que de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant
Anis Ben Mbarek Presales Team Lead, Westcon-Comstor