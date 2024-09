NIS 2 : Pourquoi la sensibilisation des employés est cruciale pour la cybersécurité

septembre 2024 par Jean-Baptiste Roux, SoSafe, Vice-président des ventes pour l’Europe

La deuxième phase de la directive sur la sécurité des réseaux et des systèmes d’information (NIS2) est entrée en vigueur depuis décembre 2022. L’échéance de transposition nationale est fixée au 17 octobre 2024, mais de nombreuses organisations ne sont pas encore prêtes et le gouvernement a déjà indiqué que cette date n’était pas réaliste. Il est cependant essentiel que les organisations confrontées au NIS 2 s’y préparent.

Ce renforcement de la sécurité est rendu nécessaire par la croissance exponentielle des cybermenaces. Les pirates continuent d’innover avec de nouvelles technologies, comme les outils d’IA, qui leur donnent des moyens supplémentaires pour déployer des cybermenaces plus sophistiquées.

L’objectif de NIS 2 est d’optimiser la cybersécurité et de mieux protéger les infrastructures critiques dans l’Union Européenne. En comblant les faiblesses de NIS 1 et en élargissant son champ d’application, la directive NIS 2 renforce les exigences en matière de sécurité, les obligations de notification et les capacités de gestion de crise. Elle permettra d’assurer la continuité des services essentiels et de protéger les données des utilisateurs contre les menaces numériques. NIS 2 devrait ainsi renforcer la confiance dans les services numériques et promouvoir la stabilité économique et sociale.

Est-ce que mon organisation doit se conformer à la directive NIS 2 ?

L’arrivée de NIS 2 impacte plusieurs secteurs et elle élargit le nombre d’organisations publiques et privées concernées. Ainsi, les fournisseurs de services numériques, les services postaux et de messagerie, les secteurs de la gestion des déchets, de l’alimentation, de la chimie, de la recherche et de l’industrie manufacturière seront concernés. En intégrant ces secteurs dans NIS 2, l’UE souhaite répondre à l’évolution des menaces. La dépendance croissante à l’égard des infrastructures numériques a joué un rôle majeur dans la révision des directives. En introduisant NIS 2, l’UE vise à améliorer la coopération entre les États membres et à renforcer les obligations des entreprises et des opérateurs de services essentiels. Pour savoir si votre organisation ou secteur est concerné, il vous suffit de vous rendre sur le site cyber.gouv.fr .

Les points clés de la directive NIS 2

La nouvelle directive NIS 2 implique d’investir dans des mesures de conformité réglementaire. Assurer la sécurité de votre organisation, de vos employés et de vos clients doit être une priorité. Mais la complexité de la directive NIS 2 fait qu’il est difficile de s’y retrouver. Voici une liste des 10 points clés auxquels se conformer :

1. Analyse des risques : procéder à des évaluations régulières des risques afin d’identifier les menaces potentielles pesant sur les réseaux et les systèmes d’information.

2. Traitement des incidents : mettre en place un processus structuré de détection, signalement et réaction aux cyber incidents.

3. Sensibilisation et éducation à la cybersécurité : former et éduquer régulièrement le personnel à la cybersécurité.

4. Continuité des activités : mettre en œuvre des procédures de gestion des sauvegardes, d’urgence et de crise pour assurer la continuité des activités.

5. Sécurité de la chaîne d’approvisionnement : prendre des mesures pour garantir sa sécurité et minimiser les risques.

6. Sécurité des réseaux : mettre en œuvre des mesures de sécurité lors de l’acquisition, du développement et de la maintenance des réseaux, y compris la réponse aux vulnérabilités et leur divulgation.

7. Résultats mesurables : veiller à ce que les politiques et les procédures permettent de mesurer l’efficacité des mesures de sécurité.

8. Cryptographie : établir des politiques et des procédures pour l’utilisation de la cryptographie et du chiffrement afin de protéger les informations sensibles.

9. Aspects de la sécurité des ressources humaines : appliquer la gestion des droits pour garantir l’accès aux systèmes et aux données.

10. Authentification avancée : utiliser l’authentification multifactorielle (AMF), l’authentification continue, la communication sécurisée le cas échéant, et mettre en œuvre des systèmes de communication d’urgence pour renforcer la sécurité.

Le facteur humain est essentiel

Au-delà du durcissement des règles, on doit noter que le facteur humain joue un rôle dans 74 % des cyberattaques . Forrester prévoit que d’ici 2024, 90 % des cyberattaques réussies se concentreront sur l’élément humain. Cet élément doit être constamment priorisé et les employés doivent être en mesure de faire face à des menaces qui évoluent rapidement.

Les entreprises ne doivent pas se concentrer uniquement sur le respect des politiques. Si la réglementation est essentielle pour protéger l’économie contre les risques de cyberattaques, il ne suffit pas de se conformer aux règles. C’est pourquoi l’attention portée à la cybersécurité s’est accrue ces dernières années et le facteur humain est devenu plus central. Pour minimiser les risques à long terme, les entreprises doivent aller plus loin.

Les programmes de sensibilisation traditionnels, tels qu’ils sont prescrits par les réglementations, se concentrent généralement sur le transfert de connaissances. Les employés reçoivent des cours théoriques sur les menaces potentielles et les actions possibles pour y faire face. Mais pour répondre à l’évolution constante des cybermenaces, les employés doivent aussi développer une sorte de "sentiment instinctif" de cette évolution des menaces. C’est pourquoi les entreprises doivent élaborer des stratégies de sensibilisation à partir d’une approche holistique de la gestion du risque humain, en se concentrant sur le comportement humain et son adaptation.

Automatiser la conformité, une responsabilité commune

La conformité réglementaire et l’atténuation des risques sont des tâches qui concernent l’ensemble de l’organisation. Elles ne peuvent être confiées aux seules équipes des services informatiques, de la sécurité et du service juridique. Il est donc important que chacun prenne conscience de ses responsabilités et fasse sa part du travail. La cybersécurité doit faire partie de la culture d’entreprise et contribuer ainsi à la protéger contre les cyber risques.

Bonne nouvelle : grâce à des programmes axés sur l’orientation des comportements, les éléments humains de la cybersécurité peuvent également être automatisés. Les employés peuvent adopter un comportement adapté, soutenir les équipes de sécurité et contribuer à minimiser durablement les risques de sécurité.

La directive NIS 2 est un défi pour de nombreuses entreprises, mais c’est aussi un outil utile pour faire de la cybersécurité une priorité pour les entreprises. Alors que les risques augmentent, qu’il s’agisse de petits cybercriminels ou d’acteurs étatiques, la cybersécurité devient de plus en plus un facteur concurrentiel important pour les entreprises.