Directive NIS2 : quelles implications pour les équipes de sécurité ?

Dans le premier article de cette série, nous avons présenté les changements qui se profilent avec la nouvelle directive sur la sécurité des réseaux et de l’information, ou NIS 2. La directive devrait être inscrite dans la loi par les États membres de l’Union Européenne d’ici septembre 2024. Autrement dit, les organisations ont moins de 2 ans pour se préparer et se mettre en conformité.

Dans l’article 21 du texte de règlement de l’UE approuvé en décembre dernier, l’Union pose les bases de ce qu’elle considère comme le nouveau standard en matière de cybersécurité : un schéma directeur de mesures pour la gestion des risques de cybersécurité. Ces mesures visent à renforcer les pratiques de sécurité existantes et à unifier l’approche afin de protéger les utilisateurs, les systèmes et les réseaux. Dans cet article, nous allons voir comment les mesures de la directive doivent orienter les prochaines décisions des équipes de sécurité informatique.

La directive NIS 2 stipule que les entités concernées doivent prendre des mesures appropriées pour protéger leurs systèmes et mettre en œuvre des règles encadrant :

• L’analyse des risques
• Le traitement des incidents
• La continuité des activité et la gestion des crises
• Les tests et les audits
• Le chiffrement
• L’authentification multifacteur
• La sécurité de la chaîne d’approvisionnement
• Les ressources humaines et la formation

Ces règles doivent améliorer la posture de sécurité globale de l’entreprise en matière de prévention, de gestion, de contrôle et de correction des menaces.

Mieux vaut prévenir que guérir

En matière de cybersécurité, la prévention comporte deux volets : la technologie et les utilisateurs. Et les deux doivent faire l’objet d’une attention équivalente. L’environnement de travail a beaucoup évolué, et le paysage des menaces s’est développé tout aussi rapidement. Les attaquants emploient de nouvelles approches pour s’approprier les données les plus précieuses des entreprises et ciblent les utilisateurs avec une agressivité croissante. Le manque d’information et d’éducation en matière de cybersécurité rend les utilisateurs de technologies très vulnérables. C’est pourquoi NIS 2 a intégré à ses obligations la formation des utilisateurs, ainsi qu’une hygiène de base en matière de cybersécurité. Cette dernière englobe des pratiques telles que l’authentification multifacteur, l’application régulière de mises à jour et de correctifs, les règles d’utilisation acceptable, le filtrage de contenu et le contrôle des autorisations des utilisateurs.

De l’autre côté de l’équation de la prévention, il est essentiel de mettre en place une technologie pour surveiller les menaces en permanence et les arrêter avant qu’elles ne s’enracinent. Comment ? En déployant une solution de sécurité capable de protéger l’entreprise contre les ransomwares connus, les chevaux de Troie et les programmes indésirables, mais aussi de produire des alertes en temps réel en cas d’attaque ou d’activité suspecte. Pour bien choisir une solution de sécurité, il faut également savoir ce qu’elle peut offrir en matière de renseignements sur les menaces et de télémétrie. Les données stratégiques recueillies sur les terminaux peuvent en effet servir à identifier les menaces inconnues et à atténuer les risques liés aux menaces connues. Une question essentielle : la solution saura-t-elle rester à la hauteur des nouvelles menaces et les corriger, aujourd’hui comme demain ?

Keep calm and carry on

La réponse aux incidents est un pilier essentiel d’un programme de sécurité efficace. Il faut être en mesure d’agir en temps utile pour résoudre les problèmes et maintenir les terminaux à l’abri. La directive NIS 2 aborde cette question et impose aux organisations de s’équiper de plans solides de réponse aux incidents. Les équipes informatiques doivent avoir une visibilité constante sur ce qui se passe sur un appareil. Un plan de correction complet pourra englober des mesures visant à isoler les appareils et les utilisateurs du réseau, à verrouiller des machines et les mettre en quarantaine, à supprimer les fichiers indésirables, à récupérer des données et à restaurer la conformité des appareils. Un tel plan contribuera au respect des obligations de NIS 2 en « augmentant le niveau d’harmonisation des exigences de sécurité et de rapport pour faciliter la conformité réglementaire des entités ».

Toutes ces mesures de prévention visent à assurer la continuité des activités, comme l’exige la directive NIS 2. En effet, la directive vise les organisations de secteurs spécifiques, dans lesquels une perturbation des opérations peut avoir des conséquences sociétales et économiques pour des populations importantes. Pour limiter les dommages, les solutions de sécurité doivent comprendre plusieurs couches de protection capables d’atténuer les risques en gérant l’ensemble de la flotte des appareils, sans interférer inutilement les unes avec les autres.

En cas d’incident d’envergure, les entreprises doivent le signaler sans attendre aux autorités compétentes. Avec la directive NIS 2, l’UE resserre les exigences concernant la déclaration des incidents. Jusque-là, il n’était pas nécessaire de signaler les incidents affectant un petit nombre d’utilisateurs. Mais avec la nouvelle directive, les entreprises seront tenues de signaler tout événement et toute circonstance susceptible d’avoir un impact négatif sur les systèmes et de causer des pertes matérielles et immatérielles.

Un vaste filet de sécurité

Vous avez besoin d’une stratégie de défense en profondeur pour couvrir l’ensemble des besoins en matière de sécurité. Et cette stratégie doit être capable de faire face à la fois aux menaces informatiques externes et aux risques liés au comportement des utilisateurs. Auparavant, pour atteindre ce niveau de protection, les entreprises devaient s’appuyer sur les produits de plusieurs fournisseurs. Il existe aujourd’hui des solutions plus globales. Et c’est une chance car NIS 2 fait peser une responsabilité accrue sur les entreprises quant à leur chaîne d’approvisionnement. Elles sont désormais tenues de vérifier et d’évaluer les vulnérabilités de leurs fournisseurs dans le cadre de leur propre stratégie de sécurité. Cette exigence a pour effet d’élargir la portée de NIS 2 et devrait contribuer à renforcer les défenses à grande échelle, car elle exercera sans aucun doute un effet d’entraînement bien au-delà de l’Europe.

Cet élargissement des responsabilités des entreprises se retrouve dans d’autres parties du texte adopté par l’UE. La directive NIS 2 va affecter la prise de décision à haut niveau dans l’espace de la cybersécurité pour de nombreuses années à venir. Dans le prochain et dernier article de la série, nous nous pencherons donc sur ses implications pour les dirigeants et les cadres.