Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Directive européenne NIS : J-7 À une semaine de la date butoir fixée par Bruxelles (9 mai), que doit-on retenir ?

mai 2018 par Skybox Security

Afin de construire collectivement les conditions indispensables à une sécurité IT renforcée à travers l’Union européenne, les Etats membres ont précisé par le biais de la directive Network & Information Security (NIS) une série de bonnes pratiques à respecter. Transposée au droit français le 26 février 2018, et connue sous le nom de la directive Réseaux et Systèmes d’Information, sa date butoir a été fixée au 9 mai 2018. Protection et détection des cyberattaques, réduction des incidents, management des risques de sécurité, sont autant d’éléments devenus essentiels pour garantir la pérennité des entreprises.

Cette directive vise à atteindre trois objectifs principaux : renforcer la cybersécurité au niveau des Etats membres, consolider la coopération entre les Etats européens et assurer la gestion des risques liés à la sécurité avec notamment la notification des failles de sécurité.

Auparavant, seuls les OIV (Opérateurs d’Importance Vitale) étaient contrôlés, mais la directive NIS concerne désormais les Fournisseurs de Services Numériques (FSN), divisés en trois catégories : les places de marché, les moteurs de recherche en ligne, les services d’informatique dans le cloud ; et les Opérateurs de Services Essentiels (OSE) c’est-à-dire les secteurs de l’énergie, des transports, des banques et institutions financières, de la santé, et des infrastructures numériques. Ces nouvelles mesures auront indirectement une incidence sur les organisations partenaires de ces différents services.

Quelle stratégie adopter ?

Aujourd’hui la visibilité du réseau est plus que jamais capitale. Les entreprises doivent avoir une compréhension totale de leur réseau IT et OT et des équipements qui y sont connectés, pour identifier les vulnérabilités et les contrôles de sécurité trop faibles. Mais elles doivent aussi être à même de réduire les risques de sécurité des données en ayant recours à l’automatisation et au monitoring notamment. Ainsi l’automatisation de la gestion du changement permet, par exemple, de s’assurer que les modifications ou les nouveautés intégrées sont conformes à la politique de l’entreprise. Quant au monitoring en continu des équipements et des pare-feux, il permet de détecter les failles de sécurité, de les tracker et de suivre le processus jusqu’à la résolution du problème.

La directive SIR sert aussi de catalyseur pour renforcer la cybersécurité dans les infrastructures critiques, où elle était insuffisante jusqu’à présent, en particulier sur les réseaux OT.

Quels liens avec le RGPD ?

La directive NIS et le RGPD sont très différents dans leur intention. Le RGPD est conçu pour protéger les données personnelles des citoyens de l’UE, la directive NIS, quant à elle, vise à préserver nos services des cybermenaces. Cependant, de nombreux principes de sécurité de base s’appliquent à ces deux lois.


Voir les articles précédents

    

Voir les articles suivants