Depuis décembre 2022, la deuxième phase de la directive sur la sécurité des réseaux et des systèmes d’information (NIS2) est entrée en vigueur. Actuellement, les directives NIS 2 sont en cours de transposition dans la législation nationale. La date limite pour se conformer à ces nouvelles réglementations est le 17 octobre 2024. De nombreuses organisations ne sont pas encore prêtes, mais le gouvernement a déjà indiqué que cette date n’était pas réaliste. Cependant, il est essentiel que les organisations confrontées au NIS 2 se préparent à cette réglementation. Il y a donc du pain sur la planche, prévient SoSafe, fournisseur de solutions de sensibilisation à la cybersécurité en Europe. La croissance exponentielle du paysage des cybermenaces a pris une tournure inquiétante ces derniers temps. Les pirates continuent d’innover en utilisant de nouvelles technologies, telles que les outils d’IA, qui leur donnent des outils supplémentaires pour assembler et exécuter des cybermenaces plus sophistiquées et plus transparentes.
L’importance du NIS 2 est d’optimiser la cybersécurité et de protéger et renforcer les infrastructures critiques dans l’Union européenne (UE). En comblant les faiblesses de son prédécesseur et en élargissant son champ d’application, la directive NIS 2 renforce les exigences en matière de sécurité, les obligations de notification et les capacités de gestion de crise. Cela permettra d’assurer la continuité des services essentiels et de protéger les données des utilisateurs contre les menaces numériques. Ce qui devrait permettre au NIS 2 de renforcer la confiance dans les services numériques et de promouvoir la stabilité économique et sociale.
Est-ce que mon organisation doit se conformer à la directive NIS 2 ?
L’arrivée de la nouvelle directive NIS 2 oblige plusieurs secteurs à s’y conformer. Elle élargit également le nombre d’organisations publiques et privées concernées. Par exemple, les fournisseurs de services numériques, les services postaux et de messagerie, la gestion des déchets, les secteurs de l’alimentation, de la chimie, de la recherche et de l’industrie manufacturière seront également concernés. En intégrant ces secteurs dans le NIS 2, l’UE souhaite répondre à l’évolution des menaces. En ce qui concerne la révision des directives, la dépendance croissante à l’égard de notre infrastructure numérique a joué un rôle majeur. En introduisant le NIS 2, l’UE vise à améliorer la coopération entre les États membres et à renforcer les obligations des entreprises et des opérateurs de services essentiels. Vous voulez savoir si votre organisation/secteur est couvert par NIS 2 ? Vous trouverez toutes les informations sur ce lien.
Les aspects clés de la directive NIS 2
Se conformer à la nouvelle directive NIS 2 implique d’investir dans des mesures de conformité réglementaire. Assurer la sécurité de votre organisation, de vos employés et de vos clients doit être une priorité. Cependant, la complexité de la directive NIS 2 fait qu’il est difficile pour de nombreuses organisations de s’y retrouver. C’est pourquoi nous avons dressé une liste des aspects les plus importants de la directive NIS 2 :
• Analyse des risques : procéder à des évaluations régulières des risques afin d’identifier les menaces potentielles pesant sur les réseaux et les systèmes d’information.
• Traitement des incidents : mettre en place un processus structuré de détection, de signalement et de réaction aux cyberincidents.
• Sensibilisation et éducation à la cybersécurité : former et éduquer régulièrement le personnel à la cybersécurité.
• Continuité des activités : mettre en œuvre des procédures de gestion des sauvegardes, d’urgence et de crise pour assurer la continuité des activités.
• Sécurité de la chaîne d’approvisionnement : prendre des mesures pour garantir la sécurité de la chaîne d’approvisionnement et minimiser les risques.
• Sécurité des réseaux : mettre en œuvre des mesures de sécurité lors de l’acquisition, du développement et de la maintenance des réseaux, y compris la réponse aux vulnérabilités et leur divulgation.
• Résultats mesurables : veiller à ce que les politiques et les procédures permettent de mesurer l’efficacité des mesures de sécurité.
• Cryptographie : établir des politiques et des procédures pour l’utilisation de la cryptographie et du chiffrement afin de protéger les informations sensibles.
• Aspects de la sécurité des ressources humaines : appliquer la gestion des droits pour garantir l’accès aux systèmes et aux données.
• Authentification avancée : utiliser l’authentification multifactorielle (AMF), l’authentification continue, la communication sécurisée le cas échéant, et mettre en œuvre des systèmes de communication d’urgence pour renforcer la sécurité.
Le facteur humain est essentiel
Le rapport de SoSafe sur les tendances de la cybercriminalité en 2024 indique que le facteur humain joue un rôle dans 74 % de toutes les cyberattaques. En fait, Forrester prévoit que d’ici 2024, 90 % des cyberattaques réussies se concentreront sur l’élément humain. Par conséquent, l’élément humain dans la cybersécurité en particulier doit être constamment priorisé et les employés doivent être habilités à faire face à des menaces qui évoluent rapidement. La directive NIS 2 reconnaît ce fait et vise à renforcer l’élément humain dans les organisations à cet égard.
SoSafe souligne également l’urgence de ne pas se concentrer uniquement sur le respect des politiques, mais d’aller au-delà de la simple réduction des risques. Jean-Baptiste Roux, Vice-président des ventes pour l’Europe, explique : « La réglementation est essentielle et importante pour protéger plus efficacement l’économie contre les risques de cybersécurité ; c’est l’une des raisons pour lesquelles l’attention portée à la cybersécurité s’est accrue ces dernières années et que le facteur humain est devenu plus central. Mais il ne suffit pas de se conformer aux règles. Pour minimiser les risques à long terme, les entreprises doivent aller plus loin. Les programmes de sensibilisation traditionnels, tels qu’ils sont prescrits par les réglementations, se concentrent généralement sur le transfert de connaissances. Les employés reçoivent des cours théoriques sur les menaces potentielles et les actions possibles pour y faire face. Mais pour répondre à l’évolution constante des cybermenaces, les employés doivent aussi avoir une sorte de « sentiment instinctif » de l’évolution des menaces. C’est pourquoi les entreprises doivent élaborer des stratégies de sensibilisation à partir d’une approche holistique de la gestion des risques humains qui se concentre sur le comportement humain et l’adaptation comportementale ».
Automatiser la conformité, une responsabilité commune
La conformité réglementaire et l’atténuation des risques sont des tâches qui concernent l’ensemble de l’organisation et qui ne peuvent être confiées aux seules équipes des services informatiques, de la sécurité et du service juridique. Il est donc important que chacun prenne conscience de ses responsabilités et fasse sa part du travail. La cybersécurité doit donc faire partie de la culture d’entreprise et contribuer ainsi à protéger l’entreprise contre les cyberrisques. Bonne nouvelle : grâce à des programmes axés sur l’orientation des comportements, les facteurs humains de la cybersécurité peuvent également être automatisés. Les employés peuvent adopter un comportement sûr, soutenir naturellement les équipes de sécurité et contribuer à minimiser durablement les risques de sécurité. Une fois mis en place, les utilisateurs de SoSafe, par exemple, doivent passer moins d’une heure à cocher les cases de conformité de NIS 2 sur la formation à la sensibilisation à la sécurité. La poursuite du programme entraînera une réduction des risques à long terme.
La directive NIS 2 est un défi pour de nombreuses entreprises, mais aussi un outil utile pour faire de la cybersécurité une priorité pour les entreprises. À une époque où les risques augmentent, qu’il s’agisse de petits cybercriminels ou d’acteurs étatiques, la cybersécurité devient de plus en plus un facteur concurrentiel important pour les entreprises.
Photo : Jean-Baptiste Roux.
