Nouvelle Directive NIS 2 : Nouvelles règles pour une cybersécurité renforcée

par Rebeca
NIS 2 Directives Cybersécurité

NIS 2 : Comment les entreprises doivent se préparer à ses impératifs de sécurité

Les cyberattaques se multiplient et deviennent de plus en plus sophistiquées. Les attaques de 2022 ont clairement montré que les cybermenaces, telles que les ransomwares, le phishing et les arnaques au président, ne font aucune distinction entre les entreprises, qu’elles soient petites, moyennes ou grandes. Cette tendance aux « supply chain attacks » (attaque des sous-traitant), où les sous-traitants sont ciblés pour infiltrer les réseaux de leurs clients, s’est renforcée, avec des compromissions notables comme celle de SolarWinds. En 2020, SolarWinds, une entreprise spécialisée dans les logiciels de gestion des réseaux et de la sécurité informatique, a révélé qu’elle avait été infiltrée par des cybercriminels qui ont compromis son logiciel Orion. Cette attaque a permis aux attaquants de distribuer des mises à jour malveillantes de ce logiciel à de nombreuses organisations clientes. Les attaquants ont réussi à insérer un code malveillant dans les mises à jour du logiciel Orion de SolarWinds, ce qui a conduit à la compromission des réseaux de nombreuses entreprises et agences gouvernementales qui utilisaient ce logiciel. Cette attaque, qui a été largement médiatisée, a été qualifiée de « supply chain attack » ou attaque de la chaîne d’approvisionnement, car elle a exploité la confiance des utilisateurs dans les mises à jour logicielles provenant d’une source réputée. L’attaque de SolarWinds a eu des répercussions importantes et a mis en évidence les vulnérabilités potentielles dans la chaîne d’approvisionnement logicielle, incitant de nombreuses entreprises à renforcer leurs mesures de sécurité pour se prémunir contre de telles attaques. Plutôt que de s’attaquer directement aux entreprises, les cybercriminels choisissent de plus en plus de passer par les sous-traitants pour se propager plus facilement dans les réseaux de leurs clients. Toutes les entreprises sont désormais susceptibles de faire face à des cyberattaques. Les petites et moyennes entreprises sont 4,5 fois plus nombreuses à être victimes de cyberattaques que les entreprises de plus grande taille réunies. Elles sont particulièrement visées par des malwares capables de chiffrer leurs systèmes d’information et de détruire leurs sauvegardes. Ce mode opératoire a démontré sa capacité à causer la faillite de l’entreprise dans les cas les plus graves. Ce constat souligne l’importance pour chaque entreprise de se préparer à faire face à une éventuelle attaque.

Dans ce contexte, la Directive NIS 2 (Directive sur la sécurité des réseaux et des systèmes d’information) est une évolution majeure qui vise à renforcer la protection des infrastructures numériques en Europe. La directive NIS 2, succédant à la directive NIS 1, est l’une de ces initiatives majeures visant à établir un cadre plus robuste et harmonisé pour la sécurité des réseaux et des systèmes d’information. Cette nouvelle directive suscite de nombreuses discussions et interrogations pour beaucoup d’entreprises. Quel sera son impact et son importance pour les entreprises et les administrations au sein de l’UE?

Qu’est-ce que la directive NIS2 ?

La directive NIS 2 (Network and Information Security, version 2) est une réglementation européenne qui vise à harmoniser et renforcer la cybersécurité au sein de l’Union européenne. Elle succède à la directive NIS 1 et introduit de nouvelles mesures pour assurer un niveau élevé de sécurité des réseaux et des systèmes d’information.  La directive NIS2 a été adoptée en janvier 2023. Les États membres de l’UE auront un certain délai pour transposer cette directive dans leur législation nationale.

Qui est concerné par NIS 2 ?

La directive NIS2 couvre un large éventail de secteurs d’activité. La directive NIS2 s’adresse aux entreprises privées, aux administrations publiques et à d’autres entités opérant au sein de l’UE.
L’un des objectifs stratégiques de NIS 2 est d’élargir le champ d’application de NIS pour couvrir les opérateurs de services essentiels et les fournisseurs de services numériques dans des secteurs jugés « critiques pour l’économie et la société ». NIS 2 couvrira les fournisseurs de services publics de communications électroniques, de services numériques (couvrant les plateformes de services de réseaux sociaux  et les services de centres de données) et de services de santé, y compris les entités opérant dans les secteurs des dispositifs médicaux et des sciences de la vie, en particulier la recherche et le développement pharmaceutiques, ainsi que fabricants de dispositifs médicaux.

La Directive NIS 2 concerne principalement deux catégories d’entités :

Opérateurs de Services Essentiels (OSE – Operators of Essential Services) : Les Entités Essentielles (EE), déjà présentes dans la première version de la directive NIS1. Les OSE / EE sont des entités qui exploitent des services essentiels pour la société et l’économie. Cela inclut des secteurs tels que l’énergie, les transports, la santé, les services bancaires et financiers, l’eau, les infrastructures numériques et les services numériques.

Fournisseurs de Services Numériques (DSP – Digital Service Providers) : Les Entités Importantes. Les DSP / EI sont des entreprises ou des organisations qui fournissent des services numériques, tels que des services cloud, des plateformes en ligne, des moteurs de recherche, des services de commerce électronique, et d’autres services similaires. Ils sont soumis à la directive s’ils remplissent certaines conditions de seuil en termes de nombre d’utilisateurs ou de valeur financière des services fournis.

Avec la directive NIS 2, une entité est qualifiée essentielle ou importante sur la base de deux critères :

  • La taille de l’entité (nombre d’employés, chiffre d’affaires, bilan annuel) ;
  • La criticité du secteur d’activité : à quel type d’entités réfèrent les activités réalisées par l’entité ?

Quels sont les principaux changements par rapport à NIS1 ?

La Directive NIS 2 introduit plusieurs changements importants par rapport à la Directive NIS 1, notamment :

Élargissement du Champ d’Application : NIS 2 étend le champ d’application de la directive pour inclure un plus grand nombre de secteurs d’activité et de prestataires de services numériques. Les entreprises de nouvelles catégories pourraient donc être soumises à des obligations de cybersécurité.
Exigences Renforcées de Sécurité : La directive impose des exigences de sécurité renforcées, notamment des mesures de préparation et de gestion des incidents plus rigoureuses, ainsi que des obligations de notification d’incidents plus strictes.
Notation de la Sécurité : NIS 2 introduit un système de notation de la sécurité pour évaluer la résilience des DSP et des OSE. Cela permettra aux autorités compétentes d’identifier les acteurs ayant des niveaux de sécurité plus élevés.

La directive NIS 2 introduit plusieurs nouvelles obligations pour les entités concernées. Pour les entités essentielles et importantes, de nouvelles mesures techniques, organisationnelles et opérationnelles devront être mises en place:

  1. Obligation contractuelle de sécurité de la chaîne d’approvisionnement. Les entités doivent garantir que la sécurité des informations est maintenue tout au long de la chaîne d’approvisionnement. Cela signifie que les fournisseurs, sous-traitants et autres partenaires doivent également se conformer aux normes de sécurité appropriées.
  2. Obligation de notification. La directive exige que les incidents de sécurité ayant un impact significatif sur la continuité des services essentiels soient signalés aux autorités compétentes dans un délai spécifié.
  3. Responsabilité de la direction. La direction est chargée de veiller à ce que les politiques et procédures de sécurité soient mises en œuvre, maintenues et régulièrement révisées.

Quelles sont les mesures à prendre pour se conformer à la directive NIS2 pour les entreprises et les collectivités concernées ?

Les entreprises et les collectivités devront renforcer leurs normes en matière de sécurité, mettre en place des mécanismes de déclaration d’incidents, et éventuellement réaliser des évaluations de risques et des audits de sécurité. Elles devront également collaborer étroitement avec les autorités nationales compétentes.

Mise en place de mesures spécifiques de cybersécurité:

  • la mise en œuvre de politiques d’analyse des risques et de sécurité des systèmes d’information. Chaque entité devra donc auditer sa structure, afin d’en évaluer le risque cyber,
  • la gestion des incidents,
  • l’établissement de plans de continuité d’activité (PCA) et de plans de reprise après incident (PRA). Des mesures pour garantir la continuité de leurs activités en cas d’incident. Cela passe par exemple par une bonne gestion des sauvegardes et des mesures de gestion de crise.
  • la sécurité lors de l’acquisition, du développement et de la maintenance des réseaux et de l’information systèmes,
  • l’évaluation des mesures de gestion des cyber-risques,
  • l’application de politiques et procédures cryptographiques, l’utilisation de techniques de cryptographie, pour chiffrer les informations et ainsi mieux les protéger,
  • les politiques de gestion des actifs et de contrôle d’accès: un contrôle des accès exemplaire, afin d’éviter les intrusions et bénéficier d’une sécurité robuste,
  • la formation des collaborateurs à une bonne hygiène cyber, incluant des bonnes pratiques à systématiser en entreprise,
  • la mise en place de solutions d’authentification à plusieurs facteurs. L’authentification multifacteur (MFA), et l’authentification forte devront être privilégiées pour plus de sécurité.
  • l’obligation pour les entreprises d’émettre une première alerte auprès de l’ANSSI sous 24h en cas d’incident de sécurité.

Que risque une entreprise qui ne se conforme pas à cette directive ?

Les entreprises qui ne se conforment pas à la directive NIS 2 pourraient être exposées à des sanctions financières. NIS 2 introduira un régime d’amendes en cas de non-conformité. Les amendes maximales potentielles en cas de non-conformité pourraient atteindre soit 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités « essentielles » ou 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les entités « importantes ». Notamment, lorsque le non-respect de NIS 2 peut également impliquer une violation de données personnelles, aucune amende ne sera imposée dans le cadre des régimes NIS2 et RGPD de l’UE, si la violation résulte du même événement de sécurité. De plus, en cas d’incident de sécurité résultant d’une non-conformité, elles pourraient être tenues pour responsables des dommages opérationnels ou financiers qui en résultent. Chaque État membre a jusqu’au mois d’octobre 2024 au plus tard pour transposer la directive NIS 2 dans sa réglementation nationale. On peut imaginer que certains Etats auront tendance à accélérer le mouvement, car les déclinaisons nationales de NIS 2 s’appuient sur les déclinaisons nationales de NIS 1 déjà existantes.

La responsabilité pour le top management

La Directive NIS 2 insiste sur la responsabilité du top management au sein des organisations. Les dirigeants doivent prendre un rôle actif dans la gestion de la cybersécurité et s’assurer que des mesures appropriées sont en place pour protéger les réseaux et les systèmes d’information.

Sensibiliser les équipes et la direction

La sensibilisation à la cybersécurité est essentielle pour garantir la conformité à la Directive NIS 2. Les entreprises doivent investir dans la formation de leur personnel pour reconnaître et prévenir les menaces cybernétiques. La direction doit également être informée de l’importance de la cybersécurité et du respect de la directive.

La Directive NIS 2 représente un jalon majeur dans le renforcement de la cybersécurité en Europe. Les entreprises et les collectivités concernées doivent prendre des mesures immédiates pour se conformer à cette réglementation, renforcer leur résilience aux cyberattaques et prévenir les incidents de sécurité. Le respect de la directive est essentiel pour éviter des sanctions financières importantes et protéger la réputation et la confiance de votre organisation. De nombreuses ressources sont disponibles pour aider les entreprises à se conformer à la directive NIS2, telles que les guides et recommandations publiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en France. Il est également possible de solliciter l’aide de prestataires de services spécialisés en cybersécurité pour accompagner votre entreprise dans sa démarche.

Les solutions Altospam contribuent à aider les entreprises à se conformer en partie à la Directive NIS 2 en renforçant la sécurité de leur messagerie électronique (1er vecteur d’attaque) et en protégeant leurs systèmes d’information contre les cybermenaces. Mailsafe d’Altospam offre une protection avancée contre les menaces, notamment les attaques de phishing, les ransomwares et les malwares. Les filtres anti-spam, anti-phishing, anti-ransomware et anti-malware de la solution permettent de bloquer les e-mails malveillants avant qu’ils n’atteignent les boîtes de réception des utilisateurs. Les solutions Altospam peuvent constituer un élément important de la stratégie globale de sécurité des entreprises pour répondre aux exigences de NIS 2. Cependant, la conformité complète nécessite une approche globale de la sécurité de l’information et de la gestion des risques.

CE QU’IL FAUT RETENIR – Les nouvelles obligations
Mise en place de mesures techniques, organisationnelles et opérationnelles :
Analyse des risques, PCA, sécurisation des réseaux, formation des collaborateurs, utilisation de la cryptographie, contrôle des accès, authentification multifacteur, reporting en cas d’incident.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …