NIS1 versus NIS2

Alors que la première directive NIS a posé les bases pour que les États membres de l’UE adaptent leurs exigences en matière de cybersécurité, elle a néanmoins laissé certaines questions en suspens. Notamment la question du manque de cadre concernant le montant des amendes, l’évaluation de l’efficacité des mesures de gestion des risques en matière de cybersécurité, et surtout l’absence de guide unique sur la manière de gérer les situations de crise. Avec la NIS2, l’UE entend désormais apporter plus de clarté et renforcer la cybersécurité dans l’ensemble du territoire.

En outre, la directive engage à la fois les États membres et les entreprises des secteurs critiques et définit des exigences communes en matière de cybersécurité. Outre les secteurs des eaux usées, de l’espace, de l’administration publique et des TIC (Technologies de l’Information et de la Communication), la directive prend également en compte d’autres secteurs critiques tels que la recherche, la production alimentaire, les services postaux, la gestion des déchets, la fabrication et la chimie. Les technologies opérationnelles (Operation Technology - OT) peuvent également être couvertes par la directive NIS2 dès lors qu’elles ont un impact sur la disponibilité des services critiques.

Les mesures NIS2

Avec la directive NIS2, les États membres de l’UE fournissent aux entreprises un catalogue de mesures - parmi lesquelles des analyses de risques, des mesures visant à améliorer la sécurité de la chaîne d’approvisionnement ou l’élaboration de directives d’entreprise pour une utilisation appropriée de la cryptographie et du cryptage.

L’existence de coûts supplémentaires pour les services informatiques dépend de leur niveau de préparation. De plus, la volonté de l’entreprise de prendre des risques afin d’éviter des coûts supplémentaires joue également un rôle. Le conseil d’administration se doit d’être flexible en matière de changements à réaliser, et se tenir prêt à utiliser de nouvelles technologies à des fins sécuritaires, peu importe les coûts additionnels qui peuvent en découler.

Lors de la mise en œuvre des mesures NIS2, les entreprises ne devraient pas seulement se conformer aux exigences pour éviter une amende, mais toujours garder à l’esprit l’objectif global : renforcer la cybersécurité, et sa sensibilisation, dans toute l’UE.

En prenant les bonnes mesures, les entreprises peuvent contrôler les risques auxquels sont exposés leurs services et leurs systèmes - et ainsi minimiser ou éviter l’impact des incidents sur leurs activités et peut-être sur d’autres. Pour ce faire, les entreprises doivent constamment remettre en question leur stratégie de cybersécurité et y consacrer suffisamment de temps, de budget et de ressources. Mais dans un cyberespace complexe, la protection seule contre les attaques actuelles ne suffit pas : les mesures de sécurité doivent toujours combiner protection, détection et réaction. Il est essentiel que la cybersécurité ne soit pas une corvée, mais quelque chose sonnant comme une évidence pour tous les collaborateurs, du niveau de la direction à celui de chaque employé.

Vers une mise en œuvre ciblée

La mise en œuvre de NIS2 s’annonce complexe mais nécessaire, car ce n’est qu’en comprenant l’impact des risques cyber sur leurs activités que les entreprises prendront les mesures nécessaires. La mise en conformité repose sur 10 points essentiels :

1. Déterminer si l’entreprise doit se conformer à la directive NIS2 en raison de sa taille, de son chiffre d’affaires et/ou de son secteur d’activité.

2. Procéder à une évaluation des risques (en tenant compte de la chaîne d’approvisionnement des fournisseurs critiques) et déterminer la propension au risque.

3. Informer tous les collaborateurs sur la réglementation, les sanctions et les amendes et diffuser ces informations dans l’entreprise.

4. Évaluer les domaines dans lesquels l’entreprise doit rattraper son retard pour se conformer à la directive.

5. Calculer le temps et le budget nécessaires à la mise en œuvre des mesures manquantes.

6. Élaborer un plan complet de réponse aux incidents à l’aide de playbooks pour les scénarios de cyber-risques les plus courants et le tester afin d’évaluer si une réponse appropriée est possible.

7. Se préparer à l’obligation de signaler les incidents de sécurité : les entreprises doivent émettre une première alerte dans les 24 heures.

8. Déterminer comment l’entreprise peut poursuivre ses activités en cas d’incident de sécurité et élaborer un plan de gestion de crise.

9. Créer une Vulnerability Disclosure Policy (VDP) permettant aux entreprises d’informer sur un problème de sécurité ou une vulnérabilité.

10. Effectuer des tests de sécurité et des audits réguliers.

Pour la plupart des réglementations, chaque entreprise doit trouver individuellement la meilleure façon de mettre en œuvre les mesures. Cela vaut également pour la NIS2 : il n’existe pas de guide général étape par étape pour une bonne mise en conformité. Il est donc d’autant plus important que les entreprises se penchent sur le sujet dès maintenant - et n’attendent pas le mois d’octobre pour le faire. Si les responsables ont des incertitudes quant à l’estimation, l’évaluation et la mise en œuvre de la directive NIS2, il est intéressant de faire appel à un partenaire externe en matière de cybersécurité. Celui-ci pourra ainsi leur fournir de précieuses recommandations d’action, spécialement adaptées à l’entreprise en question.