Directive NIS 2 : dernière ligne droite avant 2024

The SailPoint Blog
| SailPoint | Market Views

Par Steve Bradford, SVP, EMEA

L’Union européenne (UE) a actualisé la directive sur la sécurité des réseaux et de l’information. Plus connue sous le nom de NIS 2, elle est entrée en vigueur en janvier 2023 et doit être transposée dans la législation nationale de tous les États membres de l’UE d’ici au 17 octobre 2024.

Les premières législations nationales de la directive NIS ont été introduites en 2018. Cette régulation s’applique actuellement aux organisations qui fournissent des services dits « essentiels » (les soins de santé, l’énergie et les transports) ainsi qu’aux fournisseurs de services numériques (tel que, les marketplaces en ligne ou les moteurs de recherche). Ces lois imposent aux organisations qui entrent dans ces catégories non seulement de garantir que les mesures de sécurité appropriées ont été mises en place afin d’atténuer les risques liés à la cybersécurité, mais aussi prévoient des obligations de déclaration en cas d’incidents de sécurité.

NIS 2 : une réponse politique au nombre grandissant de cyber-menaces

Personne ne peut nier que l’économie mais aussi la société en général dépendent toutes les deux de plus en plus des services numériques. De fait, les attaques de ransomware ont des impacts à l’échelle mondiale. Vivre dans un monde de plus en plus connecté augmente les niveaux des risques cyber qui pèsent sur les chaînes d’approvisionnement dont le maillage est déjà très complexe. Dans le cadre de la dernière enquête de l’IDSA, 84 % des entreprises interrogées ont déclaré avoir subi une violation liée à l’identité au cours de l’année écoulée, et 96 % d’entre elles pensent que cette violation aurait pu être évitée.

Les organisations et les entreprises doivent par conséquent intégrer la cyber-résilience dans leurs modèles d’entreprise et leurs stratégies de gestion des risques, et c’est là qu’entre en jeu l’actualisation de la directive NIS 2.

Cette directive NIS 2 concerne désormais toutes les entités publiques et privées opérant dans l’UE qui sont considérées comme essentielles à l’économie et à la société. En sus des secteurs tels que les soins de santé, l’énergie, les transports, ou les infrastructures numériques, d’autres catégories d’entreprises viennent s’ajouter, à savoir les infrastructures des marchés financiers, l’agroalimentaire, les plateformes de réseaux sociaux, les services d’informatique dans le Cloud, les centres de données et bien d’autres encore.

L’objectif de la mise en application de cette directive NIS 2 est l’amélioration de la cybersécurité de manière large, globale et holistique au sein des entreprises dans l’UE. Une grande partie de la responsabilité incombe aux gouvernements. En effet, chaque pays devra constituer des équipes d’intervention en cas d’incidents de sécurité informatique, et ils devront mettre en place des processus de coopération transfrontalière entre ces organismes pour le partage d’informations et lorsque des incidents l’exigent. Mais au-delà de ça, les entreprises vont tout de même devoir atteindre une certaine maturité sur ces sujets de cybersécurité et se préparer à ce type de menaces. Elles ont maintenant 18 mois pour se familiariser avec les exigences de la directive, commencer à élaborer leur stratégie de cybersécurité et se mettre en conformité.

Les aspects concrets de la NIS 2 pour les entreprises

Les organisations devront mettre en place diverses politiques et procédures afin d’analyser les risques, sécuriser les systèmes d’information, évaluer l’efficacité des mesures de gestion des risques de cybersécurité, etc. Pour ne citer que quelques exemples : les entreprises doivent désactiver les accès des employés ou des sous-traitants dès lors qu’ils cessent de travailler pour elles. Les entreprises ne doivent pas utiliser de comptes « génériques », c’est-à-dire que chaque compte doit être nominatif et lié à une personne donnée. Enfin, l’octroi de l’accès aux applications et/ou aux données sensibles doit être soumis à une approbation et passer une analyse des risques permettant de prévenir les situations ambiguës qui pourraient conduire à une violation ou à la fuite de données.

Un point important : en vertu de la NIS 2, les cadres dirigeants peuvent être tenus pour responsables de toute infraction. En conséquence il est attendu de la direction générale qu’elle approuve les mesures de gestion des risques de cybersécurité prises et supervise leur mise en œuvre. Selon le rapport d’IDC « La gouvernance des identités sera un élément clé de la conformité au NIS 2 », la portée de cette nouvelle législation sera considérable. Ses impacts majeurs toucheront :

  • La formatio : La directive NIS 2 stipule également la nécessité d’une formation et d’une sensibilisation à la cybersécurité pour tous les employés, ainsi que pour l’écosystème de l’organisation au sens large.

  • La sécurité de la chaîne d’approvisionnement : La directive NIS 2 rendra obligatoire l’évaluation coordonnée des risques des chaînes d’approvisionnement critiques qui couvrent les services TIC (technologies de l’information et de la communication), les systèmes de transport de fonds ou les produits TIC critiques.

  • L’évaluation de la cybersécurité : Les organisations ont souvent du mal à évaluer l’efficacité des mesures de cybersécurité qu’elles mettent en place voire même à identifier les vulnérabilités qui subsistent malgré ces mesures. Nombreuses sont les organisations qui ont du mal à clôturer rapidement les accès des employés qui changent de poste ou qui quittent l’entreprise. La gestion de tous ces risques doit être abordée dans le cadre d’une approche proactive et selon une véritable politique de l’entreprise sur le sujet. La Commission européenne recommande que les organisations essentielles adoptent des politiques de type Zero Trust et mettent en place des outils de gestion des accès et des identités. L’accès au moindre privilège, implicite dans les approches Zéro Trust, est la base de toute gestion des accès par les partenaires et les sous-traitants.

L’urgence de la mise en conformité

Les entreprises européennes ont jusqu’au mois d’octobre 2024 pour procéder à l’évaluation et l’identification de leurs éventuelles lacunes et mettre en œuvre les stratégies nécessaires pour y pallier. L’objectif étant la conformité avec la NIS 2.

La mise en œuvre du Règlement général sur la protection des données (RGPD) de l’UE fait figure d’avertissement : les régulateurs européens sont déterminés à sanctionner les entreprises qui ont tardé face à l’impératif de conformité de gestion de la sécurité des données, de la protection de la vie privée et des cyber-risques. Les sanctions peuvent prendre différentes formes, comme des sanctions financières, auxquelles s’ajoutent les coûts liés aux interruptions d’activité, puis le temps consacré à la restauration des systèmes, une procédure indispensable après une intrusion. Sans compter que la réputation de l’entreprise est en jeu et peut mener à une perte de clientèle. Les enjeux pour les entreprises sont donc majeurs.

Pour les entreprises européennes, la gestion des identités et des accès, pour les comptes et les identités humaines (les employés, les partenaires, les sous-traitants et les clients) ou non humaines (applications et identités des machines), est une préoccupation qui ne cesse de croître. Les anciennes solutions de sécurité de l’identité ont des capacités qui ne sont pas adaptées au volume et à la rapidité des tâches que la plupart des organisations doivent accomplir de nos jours. Les solutions modernes de sécurité de l’identité, telles que celles proposées par SailPoint, changent la donne. Les fonctionnalités basées sur l’intelligence artificielle et l’apprentissage machine automatique proposées par SailPoint permettent aux entreprises d’automatiser les processus d’identité, en plus de se créer des insights contextuels. Cette combinaison permet d’améliorer la détection des comportements suspects et ainsi d’apporter des réponses pertinentes plus rapidement.

Le nombre d’appareils, de robots et autres utilisateurs non-humains augmentent à un rythme beaucoup trop rapide au sein des entreprises pour que les identités continuent d’être gérées manuellement. Avoir accès aux avantages que proposent les solutions de SailPoint est donc un atout décisif notamment en matière de gestion proactive et automatisée des identités et des accès. Une telle solution devrait être un pilier de la stratégie de gestion des risques de cybersécurité de chaque organisation.

Vous ne savez pas par où commencer ? SailPoint s’est associé à IDC pour développer un rapport Spotlight qui contient des informations clés sur le rôle essentiel que jouera la gouvernance des identités pour aider les organisations à atteindre la conformité NIS 2.