Actu
Directive NIS : quels enjeux pour les entreprises ?
décembre 2015 par Jean-François Pruvot, Regional Director France chez CyberArk
Le Conseil de l’Union Européenne et les députés viennent de conclure un accord sur la directive Network Information Security (NIS) afin d’harmoniser les règles de cyber sécurité pour les 28 pays membres de l’UE. Cet accord exigera notamment que les organisations signalent les vols de données de grande ampleur dès leur découverte.
Toutefois, le texte encore provisoire doit être approuvé formellement par la commission du marché intérieur du Parlement ainsi que par le comité des représentants permanents du Conseil.
Jean-François Pruvot, Regional Director France chez CyberArk, commente :
« Cette nouvelle directive NIS et l’obligation de reporter tout vol de données sont à la fois une bonne et une mauvaise chose pour les entreprises. En effet, la mise en conformité avec la directive NIS offre l’opportunité d’améliorer la résilience des systèmes d’information aux cyberattaques, et pas seulement celles visant le vol de données. Dans le même temps, les nouvelles régulations imposent de réévaluer les priorités dans la mise en œuvre de solutions de sécurité.
Le paysage de la cyber sécurité a considérablement évolué ces dernières années, et la question n’est plus vraiment "si" mais "quand" une personne malveillante tentera de s’infiltrer dans le réseau. Les pirates d’aujourd’hui ont développé des techniques très sophistiquées pour s’introduire insidieusement dans les systèmes. Ainsi, la clé pour se prémunir contre les dommages potentiels est de limiter leur progression et leurs accès aux systèmes critiques une fois qu’ils se trouvent à l’intérieur.
Toutefois, le temps que chaque pays membre de l’Union Européenne ait interprété ce texte selon ses propres lois locales, cela signifie que ces règles ne prendront pas effet avant un moment. Comme pour toute exigence de conformité, il est souvent recommandé de garder une longueur d’avance, et les entreprises ne doivent donc surtout pas repousser les révisions de leurs stratégies de sécurité pour autant. Elles doivent dès à présent adopter une approche proactive, plutôt que réactive, en bloquant les accès aux éléments les plus précieux au sein du réseau, et en s’assurant que les accès à privilèges sont rigoureusement surveillés. De cette manière, elles seront armées pour contrer une attaque avant que des dommages irréversibles ne soient causés. Seule une approche holistique, reposant sur l’automatisation de la mise en œuvre de politiques de sécurité permettra de surmonter les demandes croissantes de ces nouvelles directives. »
