NIS 2 : Comment être conforme à la Directive ? (3/4)

Publié dans

03 décembre 2024 / Nathan

Par : Nathan

Partager

La Directive européenne NIS 2 nous fait nous questionner. En particulier lorsqu'il est nécessaire de savoir comment être conforme ? Comment fonctionne la mise en conformité ? Devons-nous suivre des étapes précises pour être conformes ? Décideurs IT, dirigeants, managers, équipes techniques, équipes commerciales... se demandent concrètement comment entrer en conformité avec NIS 2, notamment lorsque leur entité est concernée par la Directive européenne. Découvrons ensemble les informations précises pour être conforme à NIS 2, au sein de cet article.

Cet article est le troisième d'une série proposée par Blue, portant sur NIS 2 et visant à informer chaque entité sur la Directive européenne.

Pour tout comprendre sur la Directive NIS 2 , consultez les autres contenus sur le sujet :

Article n°1 : "NIS 2 : Qu'est-ce que c'est ?"
Article n°2 : "NIS 2 : Qui est concerné ?"
Directive NIS 2

SOMMAIRE :

NIS 2 : Témoignage de notre RSSI expert en cybersécurité

 

 

Mickaël MARTIN

Responsable Sécurité Système d'Information (RSSI) chez Blue

 

"Pour une entité souhaitant se conformer à la directive NIS 2, la première étape clé consiste à adopter une approche structurée et stratégique. En tant que RSSI, voici les actions que je mettrai en place pour lancer une démarche cyber et guider ma transition vers une conformité à NIS2 de manière efficace".

 

Mobiliser le top management

 

La mise en conformité ne peut être réussie sans l’adhésion et l’engagement des dirigeants. Mon rôle de RSSI impose de leur présenter des données concrètes pour les sensibiliser à l’importance de cette démarche : les pertes financières associées à une cyberattaque, par exemple, ou l’impact direct d’un arrêt de la production sur la rentabilité. Je m’appuierai également sur des exemples réels présentant les impacts humains, financiers et psychologiques, liés aux cyberattaques. Cela permet de rendre les risques tangibles et d’obtenir l’appui nécessaire de la direction pour faire de la cybersécurité une opportunité pour le groupe.

De plus, soulignons les bénéfices de la cybersécurité : fidéliser les clients, se démarquer de la concurrence, protéger la chaîne de production et surtout, anticiper les risques pour minimiser les pertes potentielles. Ces éléments ont un objectif très précis : transformer la cybersécurité d’un simple centre de coûts en un levier stratégique pour l’entreprise.

 

Réaliser une cartographie complète

 

Avant toute chose, je ne peux que recommander d’avoir une vision claire et exhaustive du système d’information de l’entité. La cartographie permet de découvrir d’éventuelles failles de conception nécessitant des corrections immédiates. Mais surtout, elle constitue un prérequis pour l’analyse de risques. Ces deux étapes sont centrales pour réaliser sa mise en conformité à la directive NIS 2.

 

Mener une analyse de risques rigoureuse

 

L’analyse de risques est un outil incontournable pour identifier et évaluer les menaces pesant sur l’entité. Concrètement, j’utiliserais la méthode EBIOS RM, publiée par l’ANSSI, qui repose sur des scénarios techniques réalistes.

La méthode permet de déterminer comment des attaquants ou d’autres sources de risques (y compris les parties prenantes internes et externes) pourraient exploiter les vulnérabilités identifiées. Au final, l’analyse débouche sur un plan de traitement des risques, qui guide les actions prioritaires pour renforcer la sécurité.

 

Définir une stratégie SSI claire et cohérente

 

Une fois les risques identifiés, au RSSI de poser un cadre stratégique. Pourquoi faisons-nous de la sécurité ? Cette pensée doit être le fil conducteur pour le RSSI et les dirigeants afin d’orienter ses idées vers ses objectifs. Une entreprise fait de la sécurité pour protéger les données de ses salariés, de ses clients et de ses processus internes. Le tout dans l’objectif de minimiser les impacts d’incidents potentiels. Ces objectifs doivent être formalisés dans une stratégie SSI qui inclut un plan d’action détaillé pour l’implémentation des mesures de sécurité et permettre d’atteindre ses objectifs.

Cette stratégie doit aussi intégrer un cadre de gouvernance solide, avec des comités de pilotage, un plan de contrôle et des processus pour surveiller et évaluer en continu l’efficacité des mesures mises en place. La stratégie va permettre de garantir une amélioration constante et de rester en conformité avec les exigences réglementaires.

En résumé, retenons que la conformité NIS 2 n’est pas seulement un impératif réglementaire : c’est aussi une opportunité de renforcer la résilience et la compétitivité de son entité. Au sein d’une structure, le RSSI guide son entité dans cette transformation, en intégrant les bonnes pratiques et en mobilisant chaque acteur dans la démarche de sécurité.

Informez-vous sur la directive NIS 2

Posez vos questions à nos experts en cybersécurité

CONTACTER LES EXPERTS BLUE

NIS 2 : Comment être en conformité avec la Directive ?

Face aux cybermenaces croissantes et à l’interdépendance des systèmes numériques, la directive NIS 2 vise à renforcer la cybersécurité au sein de l'Union européenne. L'accélération de la numérisation expose les infrastructures critiques et les services essentiels aux attaques, d’où la nécessité d’un cadre de protection renforcé.

La première directive NIS, adoptée en 2016 à l’échelle européenne, ciblait un nombre limité de secteurs. Cependant, avec l'augmentation des cyberattaques constatée depuis ces dernières années, NIS-2 a été adoptée pour étendre et intensifier les mesures de sécurité. Aujourd’hui, la directive NIS 2 intègre de nouveaux secteurs, comme le cloud et les services numériques.

Globalement, NIS 2 vise à répondre à 3 objectifs : harmoniser les normes de cybersécurité en Europe, améliorer la résilience des infrastructures et faciliter une réponse coordonnée aux incidents. Elle impose des exigences techniques, une gestion des risques et des obligations de notification, contribuant ainsi à une sécurité numérique accrue pour les acteurs essentiels et importants.

Pour rentrer en détail sur la directive européenne NIS 2 et comprendre, ses impacts et enjeux, consultez notre article dédié sur ce sujet : NIS 2 : Qu’est-ce que c’est ?

Premières visées : les entités essentielles. Elles englobent des secteurs critiques comme l'énergie, les transports et la santé. Ces organisations doivent impérativement appliquer les mesures de sécurité les plus strictes, car tout incident pourrait avoir des conséquences graves pour la société.

Ensuite, viennent également les entités importantes qui incluent, des secteurs tels que les services postaux et la gestion des déchets. Bien que le niveau de criticité soit moindre que pour les entités essentielles, les entités importantes doivent néanmoins garantir une sécurité solide.

 

Exigences spécifiques pour différents secteurs d'activité

 

Chaque secteur d’activité, selon sa sensibilité, doit respecter des exigences adaptées. Par exemple, les infrastructures de santé et d’énergie auront des obligations plus élevées, incluant une surveillance continue et des audits de sécurité renforcés.

Pour connaître les types d’entités et les secteurs d’activités concernées par NIS 2 et même savoir si vous êtes visés, consultez notre article dédié sur ce sujet : NIS 2 : Qui est concerné ?

Construction d’un système de management de la sécurité de l’information et de gestion des risques.

 

La mise en conformité avec la directive NIS 2 en matière de cybersécurité repose sur des cadres méthodologiques éprouvés, notamment les normes ISO/IEC 27001 et ISO/IEC 27002.

Ces standards permettent aux organisations de structurer leur approche en gestion des risques.

  • Norme ISO/IEC 27001 : La norme spécifie les exigences relatives à la mise en œuvre d’un Système de Management de la Sécurité de l’Information Norme ISO/IEC 27002 : La norme fournit un guide de bonnes pratiques pour l’application des contrôles de sécurité.
  • Norme ISO/IEC 27005 : La norme fournit une approche spécifique à la gestion des risques.

Ces normes donnent les lignes directrices pour construire son SMSI (Système de Management de la Sécurité de l'Information) et entamer sa mise en conformité à NIS2.

 

Prioriser les axes de sécurité à déployer au sein de son entreprise

 

Chaque organisation doit adapter ses priorités de sécurité en fonction de ses spécificités, telles que :

  • La taille,
  • Les ressources disponibles,
  • Son profil d’activité.

Par exemple, un laboratoire d’analyse médical traitant de données de santé devra prioriser la mise en place stratégique d’actions clés. À ce titre, il devra faire un focus sur le contrôle d’accès physique et logique afin de limiter et suivre les interactions avec son système d’information de santé. Des mesures concrètes et efficaces doivent être mises en place rapidement afin d’augmenter son niveau de sécurité rapidement. Adapter ses priorités permet aux entités de cibler leurs mesures et de leur attribuer un ordre de traitement, pour répondre à un objectif : répondre aux exigences de NIS 2.

 

Évaluation des ressources nécessaires : budget et allocation des équipes 

 

L’évaluation des ressources impactera fortement une conformité efficace. Les entreprises doivent budgétiser non seulement les technologies nécessaires (pare-feu ou firewall, solutions de détection d’intrusions ou pentest), mais aussi le personnel et la formation. Dans un environnement en constante évolution, l’utilisation d’équipes spécialisées ou de prestataires qualifiés permet de garantir un suivi efficace et d’adapter les ressources en fonction des risques émergents.

Contrôles d’accès, gestion des identités et multi-authentification 

 

La conformité NIS 2 exige des contrôles d'accès stricts, basés sur la gestion des identités et l’authentification multi-facteurs (MFA). Chaque employé doit avoir des accès limités selon son rôle, un principe connu sous le nom de « moindre privilège ». Par exemple, pour des administrateurs réseau, une solution MFA combinant mot de passe, authentification biométrique et code unique est recommandée, offrant ainsi une défense efficace contre les tentatives d'accès non autorisé.

 

Surveillance réseau, détection des anomalies et réponses aux incidents 

 

La surveillance réseau en continu va identifier des comportements anormaux, tels que des pics de trafic inhabituels ou des tentatives de connexion répétées. Quant à eux, les systèmes de détection d'intrusion (IDS) et de prévention (IPS) vont générer des alertes automatiques. Lorsqu’un incident est détecté, une réponse rapide, par exemple l'isolement du système compromis, permet de limiter les impacts.

 

Pratiques de gestion des correctifs et vulnérabilités 

 

Pour réduire les risques de failles, NIS 2 impose une gestion proactive des correctifs. Chaque vulnérabilité critique doit être corrigée rapidement. Toutefois, tout n’est pas réalisable en instantané, il faut pour le RSSI et ses équipes cibler les équipements les plus exposés et les plus critiques pour déployer rapidement les correctifs.

 

Focus sur les technologies clés pour la conformité 

 

La segmentation réseau, des solutions d'authentification, des bastions d’administration ou encore un SOC (Security Operation Center) contribuent à renforcer la sécurité. Par exemple, segmenter le réseau permet d’isoler les systèmes critiques et limite les mouvements latéraux en cas de cyberattaque, une approche essentielle pour toute architecture sécurisée.

 

Intéressé(e) par les sujets techniques en cybersécurité ? Consultez les offres de Blue :

 

Création et intégration de politiques de sécurité (politique d'accès, contrôle des informations) 

 

On peut noter, par exemple, la construction d’une politique de gestion des accès et de l’information pour définir précisément les règles d’accès et de contrôle des informations.

Une politique d'accès bien définie permet d'attribuer les droits d’accès en fonction du rôle de chaque employé, appliquant le principe de « moindre privilège ».

Par exemple, au sein d’une entreprise, un analyste financier aura accès aux données comptables mais ne pourra consulter les informations techniques d’un technicien informatique. La gestion des accès et la protection des données sensibles nécessitent une documentation rigoureuse, revue et mise à jour régulièrement.

 

Besoin de sécuriser votre SI ? Découvrez l'offre de Blue sur la sécurité du système d'information.

 

Formation des utilisateurs et promotion de l'hygiène cyber 

 

Une politique de sécurité efficace inclut la formation continue des employés pour leur faire adopter de bonnes pratiques, ou « hygiène cyber », comme l’avait décrit l’ANSSI dans son guide d’hygiène informatique. Des sessions de sensibilisation aux menaces actuelles, comme le phishing (“hameçonnage” en français) ou les malwares (logiciel malveillant), permettent de réduire les risques d’erreurs humaines. Par exemple, une formation semestrielle au sein d’une entreprise, sur la reconnaissance des e-mails frauduleux, peut aider les utilisateurs à mieux réagir face aux tentatives de compromission.

 

Intégration de la conformité NIS 2 aux autres processus internes 

 

Pour une sécurité durable, les entités doivent intégrer les processus de sécurité liés à la directive NIS 2 dans tous leurs processus internes. Cela inclut des audits réguliers de cybersécurité et l’adaptation des procédures existantes pour répondre aux nouvelles exigences. Concrètement, au sein d’une entreprise spécialisée dans la logistique, les pratiques de gestion de la chaîne d'approvisionnement peuvent inclure des vérifications de sécurité sur les fournisseurs, assurant une résilience globale face aux cybermenaces.

Quels incidents doivent être considérés comme « significatifs » ? 

Selon la directive NIS 2, un incident est considéré comme significatif s’il engendre des impacts graves, comme :

  • L’interruption prolongée d’un service critique,
  • La compromission de données sensibles, ou des coûts financiers élevés.

Prenons un exemple concret : une panne de plusieurs heures sur un service de cloud utilisé par des entreprises pourrait être qualifiée de significative si elle affecte largement leurs opérations.

 

Critères de notification et délais à respecter 

 

Les incidents significatifs doivent être notifiés à l’ANSSI dans des délais rapides, soit souvent dans les 24 heures suivant leur détection initiale. La notification doit contenir des informations sur l'impact, les mesures de remédiation prévues et les potentielles répercussions pour les utilisateurs. Un rapport détaillé final est généralement requis une fois l’incident résolu.

 

Exemple de gestion d’incident : documentation, analyse, communication 

 

Lors d’un incident, un protocole structuré doit être suivi. La structure peut suivre les actions suivantes :

  • Documenter l’événement dès sa détection,
  • Analyser la cause pour éviter une récurrence,
  • Communiquer avec les parties prenantes.

Par exemple, face à une attaque de ransomware, une entreprise peut documenter l'infection initiale, les actions pour isoler les systèmes touchés, puis informer ses clients des mesures prises pour sécuriser leurs données.

 

Étude de cas : retour d'expérience d'entreprises ayant géré des incidents significatifs 

 

Certaines entreprises ayant subi des incidents majeurs partagent leur retour d’expérience pour aider d’autres acteurs. Pour illustrer ces retours d’expérience, après une intrusion dans son réseau, une société technologique a instauré un programme de formation sur la détection précoce et renforcé ses mesures de sécurité internes. Ces enseignements contribuent à une meilleure préparation face aux futures cybermenaces. 

Élaborer une politique de sécurité pour les fournisseurs et sous-traitants  

 

La mise en place d'une politique de sécurité pour les fournisseurs vise à minimiser les risques cyber. Cette politique doit définir la manière dont l’entité veut imposer et contrôler les mesures minimales de sécurité que chaque fournisseur devra respecter. On peut citer la protection des données, le contrôle des accès, la formation de ces collaborateurs. Une entreprise peut exiger que ses fournisseurs adoptent des protocoles de chiffrement pour protéger les informations échangées, garantissant ainsi que les partenaires respectent des normes de cybersécurité similaires aux siennes.

 

Besoin de sécuriser vos accès ? Découvrez l'offre en sécurité des accès informatiques de Blue.

 

Intégrer des clauses de cybersécurité dans les contrats 

 

Intégrer des clauses spécifiques de cybersécurité dans les contrats avec les fournisseurs renforce la sécurité de la chaîne d'approvisionnement. Ces clauses peuvent inclure des obligations de notification rapide en cas d'incident, des audits réguliers de sécurité et des exigences de conformité aux standards NIS 2. Imaginons qu’un contrat peut spécifier qu’un fournisseur doit signaler tout incident de sécurité dans les 24 heures, permettant une réponse coordonnée.

 

Évaluation des risques associés aux partenaires externes 

 

Une évaluation régulière des risques posés par les partenaires externes permet d'identifier les vulnérabilités potentielles. Les entreprises peuvent utiliser une grille de critères pour analyser la cybersécurité des fournisseurs, en tenant compte des antécédents en matière de sécurité et de la criticité des services fournis. Autre exemple : un partenaire fournissant des services de cloud peut être soumis à une évaluation approfondie pour garantir qu’il respecte les exigences de sécurité les plus strictes.

Informez-vous sur la directive NIS 2

CONTACTER LES EXPERTS BLUE

Mesures de prévention contre les risques physiques (incendie, inondation, accès non autorisé) 

 

Chacun le sait : les risques physiques, tels que les incendies, les inondations ou les accès non autorisés peuvent gravement perturber les opérations d’une entreprise. L'entrée en vigueur de NIS 2 recommande la mise en place de mesures préventives spécifiques :

  • Détecteurs de fumée,
  • Systèmes de surveillance des fuites d’eau,
  • Dispositifs de contrôle d'accès biométriques.

Prenons l’exemple d’un datacenter : l’installation de portes sécurisées avec badges, capteurs biométriques peut empêcher toute intrusion non autorisée.

 

Sécuriser les centres de données : systèmes de détection, climatisation, alimentation de secours 

 

La continuité d’activité dépend fortement de la sécurité des centres de données, qui doivent être équipés de systèmes de détection d’anomalies environnementales, comme des capteurs de température ou d'humidité. La climatisation doit être redondante pour éviter toute surchauffe. En cas de panne électrique, un datacenter doit disposer d'une alimentation de secours, telle que des générateurs ou des batteries, garantissant ainsi le maintien des services critiques. 

 

Adaptation des infrastructures physiques pour minimiser les risques 

 

Adapter les infrastructures physiques permet de minimiser les risques. Cela inclut la segmentation des espaces critiques, la protection des équipements sensibles avec des matériaux résistants au feu et la redondance des chemins d’accès aux données. Certains datacenters utilisent des murs ignifugés pour isoler les zones critiques et réduire l'impact potentiel d'un incendie, garantissant ainsi une résilience accrue face aux catastrophes. 

Tester les systèmes (tests d’intrusion, audits, scans de vulnérabilités) 

La directive NIS.2 exige des tests réguliers des systèmes pour identifier les vulnérabilités et améliorer les mesures de sécurité. Cela inclut des tests d'intrusion pour simuler des attaques, des scans de vulnérabilités et des audits de sécurité. Prenons l’exemple d’un test d'intrusion annuel, il va permettre de détecter des vulnérabilités sur des applications, sur son réseau, renforçant ainsi la sécurité des réseaux critiques.

 

Déployez un réseau sécurisé dans votre entreprise : découvrez l'offre en sécurité du réseau informatique de Blue.

 

Assurer une traçabilité et documentation des mesures mises en place 

 

La documentation des mesures de sécurité assure la traçabilité et la conformité. Chaque action de sécurité, comme l’installation d’un correctif ou l’ajout d’une nouvelle règle de pare-feu, doit être enregistrée. Cette documentation permet non seulement de justifier les actions en cas d'audit, mais aussi de garder une trace pour les futures révisions de sécurité.

 

Importance des audits réguliers et de la révision des procédures 

 

Les audits de sécurité réguliers permettent de vérifier que les mesures mises en place répondent bien aux standards NIS 2 et restent efficaces. Un audit annuel peut révéler des processus obsolètes, incitant à leur mise à jour. La révision des procédures garantit une adaptation aux nouvelles menaces et une amélioration continue de la sécurité.

 

Revue des interactions avec d'autres normes (RGPD, ISO) 

 

La conformité NIS 2 doit être alignée avec d'autres normes, comme le RGPD pour la protection des données ou l’ISO 27001 pour la gestion de la sécurité de l’information. Un exemple précis : l’harmonisation des exigences NIS 2.0 avec celles du RGPD aide à éviter les doublons et à optimiser les efforts de conformité, garantissant ainsi une approche cohérente et complète de la cybersécurité.

Vers une cybersécurité renforcée en Europe : initiatives et perspectives 

 

Si nous cherchons à aller plus loin, la directive NIS 2 s'inscrit dans un effort continu de l'Union européenne pour renforcer la cybersécurité des infrastructures critiques et des services essentiels. À l'avenir, des initiatives telles que la mise en place de certifications de sécurité pour les entreprises ou des programmes de partage d'information sur les cybermenaces pourraient être envisagées. L’Agence européenne pour la cybersécurité (ENISA) travaille déjà sur des projets pour harmoniser les standards de sécurité dans l’UE, offrant des perspectives de collaboration accrue.

 

Comment les entreprises peuvent rester proactives face aux nouvelles menaces

 

Pour anticiper les nouvelles menaces, les entités doivent adopter une posture proactive en matière de cybersécurité. Cela inclut :  

  • La veille continue sur les nouvelles vulnérabilités,
  • La mise en place de tests de sécurité avancés (comme des simulations d’attaques).

Aussi, un programme de formation annuel pour les équipes de sécurité, actualisé avec les dernières techniques de cyberattaque, permet de maintenir une vigilance renforcée et de répondre rapidement aux évolutions des menaces. 

 

Prévoir les futurs besoins d’investissement pour maintenir la conformité 

 

Les évolutions de la directive NIS 2.0 impliqueront probablement des besoins d'investissement supplémentaires pour les entreprises, notamment en infrastructures et en ressources humaines. Investir dans des technologies telles que l'intelligence artificielle pour la détection des menaces, ou la redondance des infrastructures, sera nécessaire pour répondre aux exigences futures. Prévoir un budget flexible pour la cybersécurité permet aux entreprises de s’adapter sans délai à de nouvelles obligations de conformité. 

Finalement, la conformité NIS 2 ne serait-elle pas qu’un atout stratégique pour les entreprises ? En effet, les entreprises prestataires comme les clients doivent repenser la conformité NIS 2 comme un levier stratégique permettant d’accroître la compétitivité et la résilience. Plutôt qu’une obligation, elle devient un différenciateur : une organisation cyber-résiliente inspire confiance aux clients, renforce sa réputation et se démarque face aux cybermenaces. Cette approche proactive assure non seulement la sécurité des systèmes, mais soutient aussi la croissance de l’entreprise.

Par ailleurs, c’est également l’implication des équipes dirigeantes qui sera la clé pour une cybersécurité durable. En promouvant la conformité NIS 2 comme une priorité, les dirigeants créent une culture de la sécurité partagée par tous les niveaux, soutenant une protection continue et efficace des actifs numériques.

Besoin d'un accompagnement sur NIS 2 ?

Contactez les experts de Blue

formulaire_lead_contact

(Nécessaire)
Bio de l'auteur

Nathan de Blue

Partager

Ces articles pourraient aussi vous intéresser
Evénement Kick Off - Datacenter - Nantes
Évènement,Actualité,Cybersécurité
12 Nov 2024

Retour sur le French Cyber Tour et les solutions de cybersécurité 100% françaises.

Retour d’expérience : les événements sur la cybersécurité « French Cyber Tour » de…

Continuer la lecture  
Directive NIS 2 - Qui est concerné
Cybersécurité
22 Oct 2024

NIS 2 : Qui est concerné ? Présentation de la Directive (2/4)

La directive européenne NIS 2 interroge. En effet, qui est concerné ?…

Continuer la lecture  
Directive NIS 2 - Qu'est ce que c'est - Présentation (V0)
Cybersécurité
03 Oct 2024

NIS 2 : Qu’est-ce que c’est ? Présentation de la Directive (1/4)

NIS 2, vous en avez sûrement déjà entendu parler. Mais à quoi…

Continuer la lecture