NIS2 : un défi et une incitation à renforcer la cybersécurité des entreprises
octobre 2024 par Samy Reguieg General Manager France, Belgique et Afrique chez Acronis
Le secteur de la cybersécurité poursuit sa croissance significative un peu partout dans le monde, et la France n’échappe pas à cette tendance. Cette progression est soutenue principalement par les nouveaux processus de numérisation lancés par les entreprises, l’utilisation d’applications cloud et les nouvelles réglementations. La France fait partie du top 10 des pays dans le monde où les MSP[1] sont la cible de cyberattaques, au premier trimestre 2024. Un constat qui oblige également les fournisseurs de sécurité à tirer le meilleur parti des nouvelles technologies pour détecter les menaces de manière proactive, les prévenir et réagir rapidement.
Aperçu de la nouvelle législation
Pour endiguer le problème, un ensemble de règles devient obligatoire, dont la prochaine mise en oeuvre de la directive NIS2, promue par la Commission européenne dans le but de renforcer la cybersécurité dans toute la communauté européenne. La règlementation NIS2 a été présentée le 17 janvier 2023 et doit être mise en œuvre par les différents États membres d’ici le 17 octobre 2024, avec la volonté de renforcer encore les mesures de sécurité, de s’appuyer sur des normes plus élevées pour la protection des réseaux et des systèmes d’information essentiels, et d’élargir le champ d’action à de nouveaux secteurs.
NIS2 augmente le niveau de protection, élargit le champ d’application et introduit des règles, des délais et des sanctions communs à tous les États membres. L’objectif est de combler les lacunes de la directive précédente, en adaptant les procédures et les contrôles aux besoins actuels et en les rendant, dans la mesure du possible, prêts pour l’avenir. En outre, elle élargit le champ d’application en incluant de nouveaux contextes en fonction de leur degré de numérisation et de leur importance pour les activités économiques et sociales. En particulier, la directive couvre toutes les organisations fournissant des services considérés comme essentiels ou importants pour l’économie et la société européennes, telles que les entreprises opérant dans les secteurs de l’énergie, des transports, de la banque, de l’infrastructure des marchés financiers, des soins de santé, de l’approvisionnement et de la distribution de l’eau et de l’infrastructure numérique. Les mesures comprennent le contrôle d’accès et l’application du principe du moindre privilège, une authentification multifactorielle solide et des mesures visant à dissuader, détecter ou prévenir les menaces dangereuses, telles que les ransomwares.
Mieux comprendre la directive NIS2
La directive impose aux entreprises de mettre en œuvre une série de mesures de sécurité informatique, ainsi que des délais, et des sanctions, tout aussi précis, notamment :
La gestion et l’évaluation des risques : Les organisations sont tenues de mettre en œuvre des plans et des procédures complets de gestion des risques, en veillant à ce qu’elles puissent identifier, évaluer et atténuer les cyberrisques. Pour y remédier, les entreprises peuvent mettre en place des systèmes avancés de surveillance des menaces, qui utilisent l’automatisation et l’intelligence artificielle pour analyser en permanence les risques potentiels. Les évaluations automatisées des risques et les alertes aux menaces en temps réel peuvent aider les organisations à gérer de manière proactive les vulnérabilités et à répondre aux menaces avant qu’elles ne s’aggravent.
La gestion des incidents et le reporting : Les entreprises doivent élaborer des stratégies de détection, de signalement et d’atténuation des incidents. Les incidents graves doivent être signalés aux autorités dans des délais stricts : un rapport initial dans les 24 heures et un rapport détaillé dans un délai d’un mois. Les solutions modernes de réponse aux incidents qui intègrent des protocoles de détection basés sur l’IA et de réponse automatisée permettent aux entreprises de gérer efficacement les incidents, en veillant à ce qu’elles respectent les délais de déclaration requis. Ces systèmes contribuent également à atténuer l’impact des incidents en isolant rapidement les menaces et en empêchant leur propagation.
Continuité des activités et reprise après sinistre : L’une des principales exigences de la directive est de garantir la résilience opérationnelle grâce à de solides plans de sauvegarde et de reprise après sinistre. Les entreprises peuvent bénéficier de solutions automatisées de reprise après sinistre qui fournissent des sauvegardes continues, une surveillance en temps réel et des capacités de basculement automatisées. Ces systèmes garantissent qu’en cas de perturbation, les données critiques sont protégées et que les opérations peuvent reprendre rapidement, minimisant ainsi les temps d’arrêt et les pertes commerciales.
La sécurité de la chaîne d’approvisionnement : Les entreprises doivent également évaluer et gérer les risques encourus par les fournisseurs et partenaires tiers, car les attaques contre la chaîne d’approvisionnement ne cessent de se multiplier. Une solide stratégie de sécurité de la chaîne d’approvisionnement comprend des outils de surveillance capables de détecter les anomalies et les vulnérabilités au sein des systèmes tiers. Les capacités de criminalistique, le partage sécurisé de fichiers et les processus d’authentification multicouches peuvent contribuer à garantir que toutes les interactions avec des tiers restent sécurisées et conformes aux normes NIS2.
Les défis des entreprises françaises
La mise en conformité avec la directive NIS2 posera plusieurs défis aux entreprises françaises, car la directive ne se limite pas aux grandes sociétés. Même les entreprises de taille moyenne sont soumises aux nouvelles règles, ce qui élargit considérablement le champ d’application de la conformité. Il existe également des exigences détaillées concernant la mise en œuvre des technologies de cybersécurité nécessaires, la formation du personnel et l’alignement sur les normes réglementaires, ce qui entraîne inévitablement une augmentation de l’engagement opérationnel et des coûts. Il faut également tenir compte du fait que la France, comme beaucoup d’autres pays, a enregistré une augmentation des attaques contre la chaîne d’approvisionnement. Cette situation est particulièrement préoccupante pour les fournisseurs de services managés (MSP) et les sociétés de conseil qui agissent souvent en tant qu’intermédiaires et ont accès à de multiples réseaux de clients.
La route reste longue
Cependant, s’il existe quelques tendances à la baisse, nous ne pouvons pas sous-estimer le fait que la France reste parmi les cibles prioritaires des pirates informatiques. En outre, d’une part, l’utilisation de l’intelligence artificielle et de l’apprentissage automatique permet d’identifier et d’atténuer les menaces plus efficacement, mais d’autre part, elle permet aux cybercriminels de développer des attaques de plus en plus sophistiquées, plus rapidement et à plus grande échelle.
Dans cette optique, la mise en œuvre de la directive NIS2 représente un défi pour les entreprises et les institutions françaises, mais c’est aussi une incitation importante à entamer ou à renforcer une démarche visant à accroître les niveaux de sécurité informatique, essentielle pour le développement numérique, économique et social de notre pays.