Guide | Guide NIS2

Guide | Guide NIS2

Guide | Guide NIS2

À l’intention des cadres dirigeants

Les exigences de la nouvelle directive européenne sur les réseaux et les systèmes d'information, en quelques mots

NIS2

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 2

Marco Eggerling, LL.M., RSSI Mondial, Check Point Software

« La directive NIS2 va bouleverser la manière dont les États membres de l'Union européenne devront aborder la conformité règlementaire et sensibilisera les dirigeants quant à l’importance de mettre en place des programmes de sécurité solides. Elle encouragera une collaboration plus étroite entre les services juridiques et les services de sécurité de l'information et définira clairement les rôles du responsable de la sécurité de l'information (RSSI) et celles du délégué à la protection des données (DPD). Cette directive vise notamment à élever le niveau de maturité de la sécurité de l'information de toutes les entreprises concernées, de sorte que le rôle du RSSI devra probablement évoluer vers celui de conseiller auprès de la direction. »

Peter Sandkuijl, VP of Sales Engineering EMEA,

Check Point Software

« Le contenu de NIS2 est consultatif et se présente comme une recommandation sans cahier des charges

particulier à appliquer. Le texte décrit un niveau de protection à respecter, mais reste bien entendu sujet

à interprétation. On peut néanmoins supposer qu'il prévoit à minima des technologies telles que les pare- feu et les systèmes de prévention des intrusions dans le réseau, une protection suffisante des terminaux, la

mise en œuvre de l'authentification multifactorielle, le chiffrement des données et de restriction d'accès,

pour n'en citer que quelques-uns. »

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 3

NIS2 Une directive qui offre une certaine flexibilité

Le 14 décembre 2022, le Parlement et le Conseil de l'Union européenne ont adopté une nouvelle directive sur la cybersécurité intitulée NIS2 (Network and information security directive 2). Pour répondre à la cybermenace qui ne cesse de s'aggraver depuis des années, la nouvelle directive succédant à la directive NIS1 adoptée en 2016, entend renforcer et normaliser les mesures de cybersécurité des entreprises et des organismes d'importance systémique et réduire ainsi le cyberrisque qui plane sur le paysage économique européen.

Plus de 160 000 entreprises et institutions à travers les 27 États membres de l'UE sont concernées et devront prendre des mesures pour se conformer à la directive NIS2 d'ici le 17 octobre 2024. Les États membres doivent adopter et intégrer ces exigences dans leur législation nationale. En France, le projet de loi gouvernemental sur l'application de la directive NIS2 et le renforcement de la cybersécurité doit être prochainement transposé en droit français. Ce projet de loi doit en effet être présenté le 6 juin en conseil des ministres puis sera débattu au Parlement les semaines suivantes pour donner lieu à une vingtaine de décrets d’applications. Des auditions des différents acteurs, dont des éditeurs, ont lieu ces derniers jours à l’Assemblée nationale, en lien avec les recommandations de la Commission Supérieure du Numérique et des Postes (CSNP). Un travail de mise en cohérence de la transposition de NIS avec celle de la REC (Résilience des Entités Critiques) est également en cours, en coordination avec l’ANSSI, afin de clarifier le cadre règlementaire des organisations concernées pas les deux lois, autrement dit de mieux définir le périmètre des collectivités et organisations qui devront être considérées comme des « entités essentielles ».

NIS2 entre en vigueur le 18 octobre 2024. Les entreprises concernées disposeront alors de quatre ans, jusqu'à la fin de l'année 2028, pour se conformer aux nouvelles exigences et soumettre le premier audit. Les nouvelles réglementations prendront effet avant cette date. En cas de cyberattaque avérée, il faudra impérativement établir les rapports requis par la nouvelle directive. Les exigences adoptées par le Parlement et le Conseil de l'Union européenne demeurent vagues. Le texte législatif de NIS2 ne prévoit aucune exigence minimale particulière. Ces exigences ne devraient pas être disponibles avant le mois d'octobre, date à laquelle elles seront appliquées par les autorités nationales compétentes.

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 4

Il demeure donc extrêmement difficile d’établir un panorama complet des exigences et de prendre toutes les mesures nécessaires. Les professionnels de la sécurité de l'information eux-mêmes se heurtent à un mur. Les gestionnaires d'institutions et d'entreprises sont encore plus concernés car la situation de départ est peu claire, compte tenu de la complexité inhérente au domaine informatique et cybernétique. Le problème est réel puisque dorénavant, avec NIS2, leur responsabilité personnelle sera directement engagée en cas de défaillance de la cybersécurité de leur organisation.

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 5

La première directive sur la cybersécurité qui engage la responsabilité des dirigeants

En Europe, les entreprises sont passibles d'amendes en cas de violation de la sécurité informatique depuis l'entrée en vigueur du GDPR en 2015. Ces sanctions ont depuis été renforcées, de sorte que les infractions graves peuvent se traduire par des amendes allant jusqu'à 10 millions d'euros ou à 2 % du chiffre d'affaires annuel mondial. NIS2 va encore plus loin. En cas de manquement avéré, la responsabilité des dirigeants de l'entreprise, qualifiés d’ « organes de direction » dans NIS2, peut être engagée.

NIS2 attend de la direction qu'elle apporte la preuve que des mesures de gestion des risques de cybersécurité ont été prises et qu'elle en surveille la mise en œuvre dans son entreprise. Elle doit également veiller à ce qu’en cas d'attaque réussie, les partenaires, fournisseurs et clients concernés, ainsi que les autorités nationales compétentes, soient avertis.

Pour s'acquitter de ces obligations, les responsables doivent régulièrement suivre des formations en cybersécurité pour être en mesure d'identifier et d'évaluer les cyberrisques et les solutions de cybersécurité. En cas de non-respect avéré de cette obligation, ils peuvent être tenus personnellement responsables d'avoir manqué à leur devoir de diligence.

Il appartient à chaque État membre de l'UE de décider de la sévérité et de la nature de la sanction. NIS2 précise toutefois que cette sanction doit être « efficace, proportionnée et dissuasive ». Le texte stipule clairement que la direction peut être démise de ses fonctions administratives tant que les manquements à NIS2 n'ont pas été rectifiés au sein de leur organisation.

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 6

NIS2 pour les cadres dirigeants

La direction, et par extension les experts en sécurité de l'information, ont l’obligation de se familiariser avec NIS2. Ils doivent comprendre en profondeur son contenu et de saisir l'étendue des nouvelles exigences. Après tout, ce sont eux qui seront tenus pour responsables en cas de manquements avérés à partir du mois d'octobre de cette année.

NIS2 implique donc des changements majeurs pour les entreprises concernées. Dans de nombreux cas cependant, il est important de se demander comment garantir une application réussie de cette directive pour renforcer la sécurité informatique, au lieu de simplement se conformer à ses exigences. Le guide qui détaille chaque étape et que vous trouverez ci-dessous propose des informations pour sécuriser les données et l'infrastructure informatique conformément à la directive NIS2. Pour mieux comprendre, nous ferons une analogie avec le processus pour sécuriser une maison contre les cambriolages. En dernière instance, les responsables doivent éviter tout incident de sécurité. Pour ce faire, des mesures de sécurité physique existent pour dissuader les intrus. Pour réduire le risque de cambriolage (et ainsi, baisser la prime d'assurance habitation), il faut sécuriser la résidence et sa structure contre toute intrusion extérieure et renforcer la sécurité des abords de la propriété. Il en va de même pour l'infrastructure informatique et les données des organisations et des entreprises concernées par NIS2. Elles doivent en effet être protégées pour réduire le risque d'une cyberattaque réussie. Pour satisfaire pleinement aux exigences de la directive NIS2, cette protection doit être complète, efficace, continue et vérifiable. Le chapitre IV du texte de NIS2 aborde en détail les domaines de la cybersécurité pour lesquels la conformité à NIS2 doit être prouvée.

NIS2 À L’INTENTION DES CADRES DIRIGEANTS Page 7

Chapitre IV, article 21, paragraphe 2 le catalogue des domaines de sécurité qui compte

Le texte législatif de NIS2 se compose de 10 chapitres, 46 articles et 3 annexes. La majorité de ces chapitres porte sur les obligations qu’ont les États membres de l'Union européenne. Mais le chapitre IV est différent : l'article 21 énumère les domaines que les entreprises et institutions concernées doivent évaluer afin d'assurer leur conformité à la directive NIS2. Il n'est pas fait mention de mesures spécifiques mais simplement précisé que les entreprises doivent prendre « les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques ». Les domaines auxquels cette exigence s'applique sont :

1. les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;

2. la gestion des incidents;

3. la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;

4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;

Ces informations sont essentielles pour les experts en sécurité informatique pour identifier les domaines concernés et les mesures à prendre. Mais ils sont bien moins pertinents pour des professionnels dont ce n’est pas la spécialité. Examinons comment ces exigences s’appliquent à la protection d'une maison et de son terrain, puis passons en revue les spécifications individuelles étape par étape. Cette approche est sélectionnée pour illustrer que détecter les incidents de sécurité après coup est peu efficace. Selon le rapport Cost of a Data Breach d'IBM, le montant d’une violation de données est en moyenne de plus de quatre millions d'euros. Malgré quelques succès des organes de répression, comme avec Emotet et d'autres, le taux de réussite reste faible. En cybersécurité, une approche préventive est cruciale pour éviter les intrusions dans les systèmes informatiques et sur site:

5. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;

6. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;

7. les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;

8. des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;

9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;

10. l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

2021

Projet de loi sur la

Cyber résilience (CRA)

2023

IT Security Law 3 (application de NSI2)

2025

IT Security Law 2

2022

Directive NIS2 CER

OCTOBRE 2024

Application de la loi de l’UE sur la Cyber résilience (CRA)

APPLICATION DE NIS2 ÉTAPE PAR ÉTAPE

SURVEILLANCE DE LA PROPRIÉTÉ

Politiques en matière d'analyse des risques et de sécurité des systèmes d'information.

Property protection

VIGILE Gestion des incidents.

ASSURANCE MÉNAGE

Continuité des activités.

VOIES D’ACCÈS Sécurité de la chaîne d'approvisionnement.

PORTE D’ENTRÉE, FENÊTRES, BOITE AUX LETTRES & SYSTÈMES D’INTERPHONE Sécurité dans l'acquisition, le développement et la maintenance des réseaux et

des systèmes d'information, d'authentification et de communication.

SYSTÊME D’ALARM E & VIDÉO

SURVEILLANCE Évaluer l'efficacité des

dispositifs de gestion des risques liés à la cybersécurité.

FORMATION DES

RÊSIDENTS Règles élémentaires de cyber hygiène et

formation à la cybersécurité.

SERRURES

Concepts et procédures de cryptographie et de

chiffrement.

LISTE DES RÉSIDENTS ,

VISITEURS ET DES MÉNAGES

Sécurité du personnel, contrôle d'accès et gestion des actifs.

Protection des biens

Conclusion: Guide étape par étape des mesures techniques et organisationnelles à appliquer dans le cadre de NIS2.

Page 8 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

1. SURVEILLANCE DES OBJETS Analyser les risques et les concepts de sécurité

Pour assurer la sécurité de votre maison et de vos biens, vous devez d'abord en faire un examen minutieux. Même chose pour tous les biens, les infrastructures, toutes les mesures de sécurité, les vulnérabilités et les risques. Pour ce faire, vous mandatez des experts en sécurité qui effectuent un inventaire professionnel, évaluent les

risques sur la base de cet inventaire et présentent ensuite une analyse. C’est elle qui guidera l'élaboration d'un plan de sécurité complet pour couvrir toutes les zones de votre maison, de votre jardin à l'ensemble de votre propriété.

Il en va de même si vous souhaitez sécuriser vos données de leur ensemble. Ici aussi, pour une sécurité conforme à la directive NIS2, il est essentiel de dresser un inventaire complet de votre infrastructure informatique et d'analyser tous les risques qui y sont associés.

Notre conseil : sollicitez l’expertise de professionnels pour évaluer les vulnérabilités et les risques de votre environnement informatique conformément à la norme ISO 27001. Ensuite utilisez ces données comme base pour une gestion de la sécurité conforme à NIS2 pour l'ensemble de votre infrastructure informatique et de votre paysage de données.

Page 9 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

2. VIGILES Gestion des incidents de sécurité

Il faut ensuite constituer une équipe de sécurité chargée de surveiller régulièrement les biens à protéger et de réagir en cas d'incident. En cas de soupçon, il est primordial de mener une enquête, d’évaluer les dommages potentiels et mettre en place les mesures correctives.

Il en va de même pour l'infrastructure informatique. Ce sont des professionnels de la sécurité de l'information qui interviennent, et non des vigiles. En cas de crise, leur intervention doit être anticipée et planifiée. Tout incident constaté doit être analysé, évalué et faire l'objet de mesures de sécurité appropriées. Il faut rédiger un rapport et l'envoyer aux partenaires, fournisseurs et clients concernés, ainsi qu'au service central compétent de l'État concerné.

Notre conseil : engagez des experts en sécurité de l'information pour effectuer des tests de pénétration. Vérifiez votre capacité d'intervention en cas d'incident. Avoir une procédure documentée en cas d'incident ou de panne et mettre en œuvre des normes d'audit est indispensable. Dans le doute, faites appel à des prestataires de services pour réaliser ces opérations, connus sous le nom de services de sécurité gérés (MSS), dans un centre d'opérations de sécurité (SOC) hautement sécurisé.

MSS (IDC): la cybersécurité n'est plus l'apanage des directeurs des systèmes d'information (DSI) ou des responsables de la sécurité des systèmes d'information (RSSI). Le conseil d'administration et l'équipe dirigeante doivent s'assurer que leur infrastructure de cybersécurité est capable de contrer les cyberattaques dont ils sont la cible. La stratégie classique qui consiste à investir massivement dans des outils techniques ne suffit pas si les professionnels qualifiés pour configurer et surveiller tous ces outils ne sont pas disponibles ou sont trop coûteux. Les fournisseurs de services de sécurité gérés prennent le relais en offrant une meilleure sécurité à moindre coût.

Page 10 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

3. ASSURANCE MÉNAGE Maintien des activités : sauvegarde, reprise après sinistre, gestion de la continuité des activités

En cas d’effraction, quelques précautions sont à prendre. La durée pendant laquelle les habitants subissent les conséquences du cambriolage et du vol de leurs biens doit être réduite au minimum. Dans le cas d'une maison, cela passe par la souscription d'une assurance ménage.

Si une attaque réussit, l'infrastructure informatique doit absolument être restaurée rapidement. Cela passe par la gestion des sauvegardes, la reprise après sinistre et la gestion de crise.

Notre conseil : confiez à des experts en sécurité de l'information la tâche de tester et d'analyser votre niveau de préparation en cas de crise. Assurez-vous de mettre à jour votre environnement informatique si une attaque réussit. Limitez les dégâts en adoptant une architecture Zero Trust.

Page 11 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

Notre conseil : faites appel à des experts en sécurité de l'information pour répertorier et analyser toutes les chaînes d'approvisionnement associées à votre organisation. Ils dresseront un bilan de tous les risques pour que vous puissiez prendre les mesures nécessaires et les réduire au minimum.

4. VOIES D’ACCÈS Sécurité de la chaîne d'approvisionnement

Pour que votre maison soit confortable et fonctionnelle, elle doit être équipée de différents services assurés par des tiers. Mais pour éviter tout incident de sécurité, vous devez veiller à ce que votre propriété soit bien protégée contre les accès non autorisés. Pour ce faire, une clôture de jardin, des portes et un système de téléphonie contribueront à mieux la sécuriser.

Avec NIS2, les entreprises doivent désormais sécuriser leurs chaînes d'approvisionnement, tant physiques que numériques, contre des attaquants potentiels. En d'autres termes, il faut examiner toutes les chaînes d'approvisionnement de l'entreprise ou de l'installation pour repérer d'éventuelles vulnérabilités, pour pouvoir ensuite renforcer la sécurité dans les zones concernées.

Page 12 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

5. & 10. PORTE D’ENTRÉE, FENÊTRES, BOÎTE AUX LETTRES, TÉLÉPHONE ET INTERPHONE Sécurisation de l'acquisition, du développement, de la maintenance des réseaux et des systèmes d'information, de l’authentification et de la communication : pare-feu, sécurité des réseaux

Pour protéger votre maison contre les cambrioleurs, vous devez équiper la porte d'entrée et la boîte aux lettres de serrures sécurisées, de clés résistantes et renforcer les fenêtres avec un vitrage épais. Vous devez également sécuriser les canaux de communication à l'intérieur de la maison et avec le monde extérieur. Il est primordial d’empêcher les personnes extérieures d'accéder aux communications sans autorisation.

Le même principe s’applique pour l'accès aux données de votre infrastructure informatique. L'accès doit être sécurisé à l'aide de procédures d'authentification modernes. Les personnes extérieures ne doivent en aucun cas pouvoir accéder, modifier ou intercepter les communications si elles n’y sont pas préalablement autorisées. Pour ce faire, il est impératif de protéger les systèmes de communication textuelle, audio, vidéo et d'urgence contre tout accès non autorisé.

Notre conseil : segmentez les réseaux en différentes zones assorties de différents niveaux de sécurité. Faites appel à des pare-feu de nouvelle génération pour contrôler l'accès à votre serveur et ne laissez passer que le trafic autorisé. Installez des systèmes de prévention des intrusions (IPS) pour détecter et prévenir les intrusions intempestives, ainsi qu'un accès basé sur les rôles obéissant au principe du moindre privilège. Veillez également à ce que toutes les interfaces de programmation d'applications (API) utilisées par votre serveur soient authentifiées, autorisées et chiffrées pour éviter toute fuite de données. Assurez-vous de mettre en place un système de gestion des identités et des accès (IAM) moderne. Optez pour une authentification multifactorielle et adoptez une approche Zero Trust en ce qui concerne les droits d'accès. D'autres concepts technologiques importants devraient également être intégrés, comme Secure Access Service Edge (SASE), Cloud Native Application Protection Platform (CNAPP) et Extended Detection & Response (XDR) pour ne citer qu’eux.

Page 13 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

6. SYSTÈME D’ALARME ET DE VIDÉO SURVEILLANCE Évaluation de l'efficacité des mesures : sécurité des réseaux et des systèmes d'information

Pour assurer la sécurité à l'intérieur et autour de la maison, il faut installer un système d'alarme. Les capteurs, les voyants lumineux et les détecteurs d'alarme permettent de repérer rapidement les mouvements suspects dans la maison et de prendre les mesures nécessaires pour y remédier.

Au même titre que la maison, les pièces et les couloirs, les entrées et les sorties doivent être sécurisés par un système d'alarme, les réseaux et les systèmes d'information de l'infrastructure informatique doivent également être sécurisés dans leur ensemble. Il existe pour cela différents outils et plates-formes de sécurité.

Notre conseil : engagez des experts en sécurité de l'information pour définir, installer et entretenir les systèmes de sécurité nécessaires conformément aux exigences de NIS2 afin d'assurer la continuité des informations. Déployez des systèmes de surveillance pour détecter et réagir aux activités suspectes en temps réel. La présence d'une plateforme de sécurité centralisée dotée de capacités d'automatisation telles que le ML et l'IA contribue à renforcer la sécurité des réseaux et des systèmes.

Page 14 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

7. FORMATION DES RÉSIDENTS Procédures de base en matière de cyberhygiène et de sensibilisation à la cybersécurité

Les résidents doivent être conscients des menaces qui pèsent sur leur domicile. Même s’ils ne sont pas familiers avec les différents outils de sécurité ou la situation générale concernant la sécurité, ils peuvent apprendre à identifier les comportements suspects et à éviter les pièges classiques tendus par les attaquants.

Le même principe s'applique à NIS2. Des mesures d'hygiène informatique élémentaires et une formation à la cybersécurité pour sensibiliser le personnel à la sécurité permettent de préparer les employés à une situation d'urgence et de prendre des mesures proactives.

Notre conseil : engagez des experts en formation pour proposer régulièrement des sessions de sensibilisation et de formation sur la sécurité informatique à vos équipes de sécurité de l'information. Demandez-leur également de sensibiliser l'ensemble de votre personnel aux enjeux de la sécurité. La formation doit être régulière, diversifiée et évaluée selon des critères appropriés pour garantir son efficacité. Ce n’est qu’à cette condition que vous pourrez prendre des décisions en toute connaissance de cause dans le respect de NIS2.

Page 15 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

8. SERRURES Concepts et procédures pour la cryptographie et le chiffrement

Pour protéger les accès à la propriété et à la maison, et mettre les objets que vous possédez dans la maison à l’abri de tout accès et toute entrée non autorisés, il est indispensable d'installer plusieurs serrures. Une

personne non autorisée ne les ouvrira pas si elle ne possède pas la bonne clé. Pour assurer une sécurité maximale, gardez les clés dans un endroit sûr et hors de portée des personnes non autorisées.

Le même principe s'applique à vos données. Elles ne sont accessibles qu’en fonction du profil des personnes directement concernées. Pour les stocker, les traiter et les échanger en toute sécurité et pour que des tiers non autorisés ne puissent y accéder, elles doivent être chiffrées. Des procédés cryptographiques sont utilisés à cet effet.

Notre conseil : faites appel à des experts en sécurité de l'information pour mettre en place les technologies, procédures et politiques nécessaires pour veiller à ce que vos données soient toujours chiffrées. Envisagez également des méthodes de chiffrement à sécurité quantique si vous voulez être prêt à répondre aux menaces de demain.

Page 16 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

9. LISTE DE RÉSIDENTS, VISITEURS ET ÉQUIPEMENTS MÉNAGERS Sécurité des processus RH, règles de contrôle d'accès, et gestion des actifs

Pour garantir que seules les personnes autorisées ont accès à la propriété et que tout le contenu de la maison est sécurisé, il faut absolument tenir des listes des résidents, des visiteurs autorisés et des objets présents dans la maison. Ces listes doivent être protégées contre

tout accès non autorisé de tiers. Rangez vos objets de valeur et vos documents les plus importants dans un coffre-fort.

Le même principe s'applique aux données du département des ressources humaines, aux règles de contrôle d'accès et à la gestion des actifs. Ces données doivent être sécurisées de manière renforcée car elles sont essentielles pour une gestion efficace des identités et des accès.

Notre conseil : demandez à des experts en sécurité de l'information de sécuriser les données d'identité nécessaires au fonctionnement du système de gestion des identités et des accès (IAM). Gardez à l'esprit que les actifs possèdent désormais tous des identités numériques. Conservez les données sensibles chiffrées dans des zones de stockage sécurisées et isolées pour minimiser l'impact d'une éventuelle fuite de données.

Page 17 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

NIS2 –Mesures à prendre par les dirigeants d'entreprise

La directive européenne sur la sécurité NIS2 fournit un cadre uniforme pour les mesures de cybersécurité dans toute l'Europe. Jusqu'à présent, les experts en sécurité de l'information se sont principalement appuyés sur des normes internationales telles que NIST, CIS Controls, ISO 27001 et bien d'autres. Ces normes visent à réduire considérablement les risques liés à la cybercriminalité. Pour que cette initiative soit couronnée de succès, les responsables de la sécurité de l'information au même titre que les dirigeants des entreprises et des institutions concernées, doivent activement participer à la mise en œuvre et au maintien de la conformité de leurs systèmes informatiques à NIS2.

Ils ont pour obligation, en tant que responsables, de se concentrer sur les éléments suivants : 1. Sensibilisation : acquérir une bonne compréhension de la cybersécurité pour assurer une communication étroite

avec leurs experts en sécurité de l'information, recevoir des mises à jour et donner des instructions en toute connaissance de cause.

2. Ressources Humaines : créer un département de sécurité de l'information flexible, capable de répondre aux exigences les plus strictes de NIS2. Nommer un DPD en plus du RSSI pour superviser la sécurité des données est indispensable. Leurs fonctions ne devraient pas être cumulées, mais plutôt réparties de manière stratégique pour garantir une distribution efficace des responsabilités.

3. Audit : conduire des évaluations et des analyses critiques dans différents domaines pour évaluer la situation en matière de risques, assurer que les adaptations à NIS2 sont effectives et réaliser des audits conformément aux normes de NIS2.

4. Réponse aux incidents : prendre des mesures pour traiter rapidement les cyberattaques. En cas d'incident, il est impératif d'informer les partenaires, fournisseurs, clients et instances nationales compétentes dans les plus brefs délais. Concernant les délais de notification, un premier avertissement doit être envoyé aux autorités compétentes dans les 24 heures suivant la détection de l'incident, suivi d'un rapport formel détaillé dans les 72 heures, puis d'un rapport final un mois après la présentation initiale.

La transition à une cybersécurité conforme à NIS2 ne peut aboutir que si la direction et le personnel chargé de la sécurité de l'information travaillent ensemble et avancent dans la même direction. Le projet est loin d'être simple, c’est loin d’être une affaire de quelques semaines ou de quelques mois. NIS2 est un travail de longue haleine. À compter de 2028, les entreprises devront justifier tous les ans de la conformité de leur infrastructure informatique à NIS2. Elles devront prouver qu'elles ont pris « les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques ».

Page 18 NIS2 À L’INTENTION DES CADRES DIRIGEANTS

N’hésitez pas à nous contacter : nis2@checkpoint.com

Protection des biens

Property protection

Besoin d'aide pour passer à NIS2 ? Contactez notre équipe d'experts qui examinera les mesures de sécurité actuelles de votre infrastructure informatique pour évaluer leur conformité à NIS2. Ils vous aideront ensuite à identifier et à mettre en œuvre les solutions organisationnelles et techniques nécessaires conformes aux exigences de NIS2.

Autres ressources disponibles pour aller plus loin :

• Strategic readiness: Effectively preparing for NIS2 compliance

• Keeping up with compliance: Your guide to understanding the EU’s NIS 2 Directive

Glossaire API: Interface de programmation d'applications DPI : Directeur de l'information Contrôles CIS : Contrôles de sécurité critiques RSSI : Responsable de la sécurité de l'information CNAPP: Plateforme de protection des applications natives du cloud CRA: Loi sur la cyber résilience DPD : Délégué à la protection des données GDPR : Règlement général sur la protection des données RH : Ressources Humaines IAM : Identité & Access Management

IDC: Institut international de recherche sur les données ISO: Organisation internationale de normalisation MSS: Gestion des services de sécurité NIS2: Directive sur les réseaux et les systèmes d'information 2 NIST: Institut national des normes et de la technologie RCE/CER: Directive sur la résilience des entités critiques SASE: Secure Access Service Edge SOC: Centre d'opérations de sécurité XDR: Détection et réponse étendues

© 1994-2024 Check Point Software Technologies Ltd. Tous droits réservés.


Item Type: pdf