22/05/2024
Cybersecurity Insights
« NIS2, même pas peur »
« Ou comment préparer sans douleur et sans stress sa conformité à la Directive Européenne NIS2 et à sa transposition française par une approche de cybersécurité »
La cybersécurité est devenue un enjeu majeur pour les organisations à l’ère numérique, où les cybermenaces sont de plus en plus sophistiquées et omniprésentes. La Directive européenne NIS2 (Network and Information Security), adoptée comme le Règlement DORA le 14 décembre 2022, vise à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle a pour but in fine, avec les nombreux autres textes produits ces dernières années (Cybersecurity Act, Digital Marketplace Act, IA Act, Cyber Resilience Act…) de renforcer la solidité et la résilience des 27 états membres. Dans un contexte de numérisation globale de nos sociétés et de dépendance générale aux outils digitaux, cette activité est pleine de sens pour toutes les parties intéressées du marché unique : citoyens, entreprises, pouvoirs publics, nous avons tous à y gagner !
En contrepartie de tels changements et progrès, d’aucuns se retrouvent pris dans une utile tornade médiatique qui génère aussi des inquiétudes.
Utile car elle permet à de nombreuses entreprises concernées de prendre conscience du sujet et des besoins associés !
Inquiétudes d’une part parce que considérant que nul n’est censé ignorer la loi, il appartient aux Directions et responsables de nombreuses entités de savoir si leur organisation est éligible et si elles doivent appliquer le texte et les éléments qui le compléteront…
Inquiétudes d’autre part parce qu’en ce milieu d’année 2024, si les sujets Cybersécurité et résilience sont au cœur des contenus quotidiens des grands médias, les champs de progrès en matière de traitement des risques et de fonctionnement de la protection de l’information dans les domaines de l’IT comme de l’OT restent énormes dans beaucoup de structures. Dit de manière plus triviale, de nombreuses entreprises, associations et collectivités n’ont pas fait, ne font pas ou peu de sécurité… et ont l’impression de se trouver au bord d’un gouffre sous la pression réglementaire.
Or, pour faire face à l’agenda qu’impose la Directive (transposition réalisée par les états membres en octobre 2024, mise en conformité allant d’une effectivité immédiate à une progressivité selon les sujets à partir de cette fin d’année), il existe pourtant une solution simple qui peut se résumer en un mantra dont nous avons chez Almond fait notre credo :
Risques - Mesures - Contrôles
En effet, les projets de transpositions dont nous avons pu avoir connaissance reprennent, chacun avec leur touche locale, les fondamentaux de notre métier, et la France n’y fera probablement pas exception. L’ANSSI réalise à ce titre un énorme et excellent travail de concertation / préparation des communautés et le projet de référentiel qu’elle a soumis dans différents canaux de dialogue, dont celui des prestataires qualifiés PASSI et PACS, en est une excellente version.
Pour faire avec pragmatisme et se préparer à se conformer efficacement à cette directive, en garantissant résilience et protection des données sensibles, il suffit du coup « simplement » d’appliquer les principes élémentaires de cybersécurité tels que la gestion des risques, le déploiement de mesures de sécurité et les contrôles du fonctionnement des processus de sécurité, ceci sur un écosystème cartographié et maitrisé.
0
La cartographie, le socle de toute démarche de conformité
Prérequis à toute activité de cybersécurité, la cartographie des écosystèmes est nécessaire aussi pour démarrer ses préparatifs à NIS2. Comprendre son organisation, connaitre ses implantations, ses processus métiers et les systèmes qui les servent est le point d’entrée incontournable de la trajectoire de conformité. Connaître les informations manipulées, les flux associés, et les actifs supports et prestataires & partenaires qui les sous-tendent est essentiel pour pouvoir :
- Déterminer l’éligibilité des entités et les systèmes réglementés, en se faisant accompagner comme en utilisant les ressources mises à disposition par l’ANSSI,
- Avoir une première vue à grosse maille de la conformité et travailler par la suite les écarts associés, quand bien même les derniers détails finaux de la transposition ne sont pas connus,
- S’engager sur les trois voies vertueuses de la sécurité résumées ci-après.
1
Gestion des risques
La gestion des risques constitue le fondement d’une stratégie de cybersécurité solide. En identifiant, évaluant et priorisant les risques potentiels pour les réseaux et les systèmes d’information, les organisations peuvent mieux comprendre les menaces qui les guettent. Pour se conformer à la directive NIS2, les entités essentielles devront effectuer des évaluations régulières des risques pour garantir la protection des systèmes d’information réglementés, et les entités importantes devront connaitre les macro-sujets Cyber qui les concernent.
Cette approche proactive leur permettra de prendre des mesures préventives et de mettre en place des contrôles de sécurité adaptés aux risques identifiés, ce qui est une exigence fondamentale de la directive.
De facto, initier si ce n’est pas déjà et sinon maintenir une démarche de gestion des risques est une première voie d’accès à la conformité NIS2.
2
Déploiement de mesures de sécurité
Ensuite, le déploiement de mesures de sécurité robustes est essentiel pour contrer les cybermenaces. Pour se conformer à la directive NIS2, les organisations seront tenues de mettre en place des mesures techniques et organisationnelles adéquates pour protéger leurs réseaux et systèmes d’information réglementés. Cela peut inclure l’utilisation de pare-feu avancés, de systèmes de détection d’intrusion, de chiffrement des données, et de mesures de gestion des accès. Ces mesures aident à prévenir les attaques et à limiter leur impact en cas de compromission. En outre, elles sont cruciales pour assurer la confidentialité, l’intégrité et la disponibilité des données, conformément aux exigences de la directive NIS2, et constituent la seconde voie d’accès.
Pour les organisations déjà matures, l’éventuel écart résiduel ne sera probablement pas lourd à combler. Pour les autres, qui n’ont pas jugé bon d’investir le sujet sécurité comme évoqué supra, il convient de se faire accompagner au plus vite afin d’identifier la dette technologique et de commencer à la combler.
3
Contrôles du fonctionnement des processus de sécurité
Enfin, la directive NIS2 exigera également de manière directe ou indirecte que les organisations mettent en place des contrôles réguliers du fonctionnement de leurs processus de sécurité. Cela comprend la surveillance continue des systèmes, la détection des incidents et la réponse appropriée en cas d’atteinte à la sécurité. Les contrôles réguliers, permanents comme périodiques, permettent d’identifier rapidement les comportements suspects ou les anomalies, et de prendre des mesures correctives avant qu’un incident ne survienne ou ne devienne une violation de données majeure.
Troisième voie à suivre pour se préparer à la conformité, ces contrôles sont non seulement essentiels pour assurer la conformité continue avec la directive NIS2 et démontrer la diligence raisonnable de l’organisation en matière de cybersécurité, mais apportent aussi un large retour sur investissement en permettant d’équilibrer les mesures avec les risques identifiés.
N'ayez pas peur, ne paniquez pas, cela va bien se passer !
En conclusion, l’application immédiate des principes élémentaires de cybersécurité tels que la gestion des risques, le déploiement de mesures de sécurité et les contrôles du fonctionnement des processus de sécurité est une stratégie efficace pour se conformer par avance à la directive européenne NIS2.
Ces pratiques aideront au passage les organisations à mieux comprendre et gérer les risques, à renforcer leurs défenses contre les cybermenaces et à assurer la protection des données sensibles.
En adoptant une telle approche proactive de la cybersécurité, les entreprises peuvent non seulement se conformer aux exigences réglementaires, mais aussi renforcer leur résilience face aux menaces numériques croissantes de notre époque.
Enfin, en s’appropriant leur niveau de conformité NIS2 et en étant capables de répondre à la question « où en sommes-nous et quelles sont nos prochaines actions pour atteindre le niveau supérieur », elles répondront au bout de la chaine à l’esprit du texte qui aura été pour elles un facteur de progrès tangible !
François EHLY
Senior Manager
Governance, Risks & Compliance