La nouvelle directive NIS2 qui entrera en vigueur en France au deuxième semestre 2024, vise à élever le niveau de cybersécurité des entreprises européennes. Conformité, responsabilités, identité, accès, cyberhygiène … autant de points à prendre en compte.
La directive NIS2 est perçue comme un guide pour une activité durable
Entretien avec Dirk Schrader, vice-président, Security Research chez Netwrix qui nous éclaire sur le sujet.
Comment les entités concernées peuvent-elles se préparer à la mise en conformité à NIS2 ?
NIS2, comme son prédécesseur NIS, vise à élever le niveau de cybersécurité des organisations européennes en clarifiant ce que les entreprises doivent accomplir pour sécuriser leurs données. En conséquence, pour se conformer à NIS2, elles doivent évaluer en profondeur leur positionnement actuel en matière de sécurité afin d’identifier les vulnérabilités et d’y remédier.
Nous recommandons ainsi de commencer par les couches « identité » et « données », car ces dernières représentent la majeure partie des actifs informatiques, après l’infrastructure proprement dite, et ce sont généralement ces deux couches qui présentent le plus de lacunes en matière de sécurité. En s’attaquant à ces deux vecteurs d’attaque, les organisations créent donc une base solide pour le reste.
Au niveau de l’identité, il est essentiel de gérer l’accès aux systèmes, aux données et aux applications, d’appliquer des politiques de mot de passe strictes et strictement le principe du moindre privilège, ainsi que de contrôler rigoureusement les comptes à privilèges. Les solutions de gestion des identités et des accès (IAM) aident alors les organisations à mettre en œuvre ces contrôles.
Pour améliorer la sécurité au niveau des données, les organisations doivent savoir où leurs données sensibles sont stockées, avoir une visibilité sur les personnes qui y ont accès et sur les connexions qui se produisent en temps réel. C’est là que les solutions de gouvernance de l’accès aux données (DAG) entrent en jeu, en permettant aux organisations d’identifier et de s’assurer que leurs fichiers sensibles sont stockés dans des emplacements sécurisés et en offrant un audit continu pour repérer rapidement toute activité suspecte relative de ces données.
Quel sera l’impact de la directive NIS2 sur les PME et les entreprises de taille intermédiaire françaises en matière de cybersécurité ? Comment les dirigeants doivent-ils assumer leurs responsabilités ?
Une législation telle que NIS2 délivre un message très important : Chaque organisation est une cible pour les cyberattaques. Même si une entreprise ne compte que 50 employés et que son activité ne semble pas si critique, elle est un maillon d’une supply chain qui implique de plus grandes entreprises. Par conséquent, même si une PME n’est pas une cible attrayante en soi, un cybercriminel peut la cibler pour accéder ensuite à ses clients et à ses partenaires. Il est donc temps d’envisager la sécurité au-delà de sa propre organisation.
Pour assumer cette responsabilité et se conformer à NIS2, les PME et les ETI doivent passer d’une approche réactive à une approche proactive de la cybersécurité. L’atténuation des risques et la réduction de la surface d’attaque sont en effet tout aussi importantes que la détection et la réponse aux menaces.
Pour protéger correctement leurs informations, leurs identités et leurs infrastructures, les organisations doivent identifier leurs flux de données et leurs cycles de vie (génération, utilisation, destruction), mettre en œuvre l’authentification multifactorielle (MFA) pour les identités et renforcer la cyberhygiène de l’infrastructure.
NIS2 s’appliquera aux organisations opérant dans le cadre de sa définition élargie du terme « critique » et à leurs employés directs, mais aussi aux sous-traitants et aux prestataires de services avec lesquels elles travaillent. Comment les entreprises peuvent-elles couvrir un spectre aussi large ? Où doivent-elles concentrer leurs efforts ?
Toute entreprise se trouve dans les deux camps : à la fois fournisseur et consommateur de biens et de services. Par conséquent, si chaque entreprise doit prendre soin de sa supply chain, il incombe à chaque maillon de cette chaîne de prendre également soin des autres maillons. Cette responsabilité partagée augmente le niveau global de sécurité et améliore la résistance aux attaques.
Le but ultime des attaquants étant la compromission de données, les organisations doivent concentrer leurs efforts sur leur protection. La première étape consiste à identifier les données critiques et les personnes qui y ont accès à l’intérieur et à l’extérieur de l’organisation. La deuxième étape consiste à faire correspondre les processus associés aux données concernées, afin que l’entreprise puisse appliquer les contrôles appropriés pour protéger ces actifs.
L’article 29 de NIS2 mérite d’être mentionné ici : Sous certaines conditions, les entités pourront partager les informations relatives à la cybersécurité concernant les cybermenaces, les incidents évités ou les vulnérabilités identifiées.
Ce partage d’informations contribuera certainement à accroître la visibilité et à aider les organisations à apprendre les unes des autres pour nous amener à un cyberespace plus mature. Il permettra notamment d’atténuer le manque d’expertise en matière de sécurité, qui constitue souvent un défi pour les petites organisations.
En quoi la gestion des identités et des accès (IAM) et la gouvernance des identités seront-elles essentielles dans le cadre de NIS2 ?
La gestion des identités et des accès est la pierre angulaire de tout effort visant à se conformer à la directive NIS2. Il est essentiel de comprendre que si NIS2 exige l’utilisation de la MFA ou de l’authentification continue, ces mesures ne constituent pas une solution miracle pour se défendre contre les cybermenaces.
En effet, la MFA sera inefficace si l’organisation n’a pas un contrôle total sur les droits d’accès accordés et sur la manière dont l’accès est protégé. En outre, il est difficile d’imposer une authentification forte partout, et si les mesures de MFA sont trop contraignantes, les utilisateurs chercheront des moyens pour les contourner.
En outre, les organisations doivent être conscientes de l’utilisation qui est faite de leurs données sensibles, ce qui dépend fortement de la précision du processus de classification. Il est impossible de tout sécuriser, il est donc logique de se concentrer sur ce qui est vraiment important.
En résumé, les équipes de sécurité doivent être en mesure de gérer toutes les identités informatiques et de veiller à ce que seul le bon niveau d’accès soit accordé aux données, systèmes et applications sensibles, et ce uniquement pour la bonne durée. Chaque employé, sous-traitant ou fournisseur tiers doit avoir juste assez de droits pour accomplir ses tâches. Lorsque l’accès privilégié est nécessaire, il faut s’assurer de le retirer une fois le travail effectué. Une solution moderne de gestion des accès à privilèges (PAM), avec création et suppression de comptes « juste à temps », aide à automatiser ce processus.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Pensez-vous que le rôle du RSSI et du délégué à la protection des données (DPO) va changer avec cette nouvelle directive ?
Pour être honnête, je ne pense pas que ce soit le cas. Toutes les exigences de la directive NIS2 sont des bonnes pratiques fondamentales qui auraient dû être appliquées depuis longtemps, comme la cyberhygiène et la sensibilisation des employés aux cybermenaces.
Le principal changement réside dans le fait que le respect de ces exigences est désormais obligatoire pour un plus grand nombre d’organisations. Par conséquent, le seul changement dans le rôle d’un RSSI ou d’un DPO sera probablement l’ajout d’un point supplémentaire dans la description du poste, à savoir assurer la conformité à la directive NIS2.
Les décisions stratégiques prises par les entreprises en matière de cybersécurité sont de plus en plus guidées par des contraintes réglementaires, plutôt que par leur propre volonté de mieux sécuriser leurs ressources et leurs données. Qu’aimeriez-vous dire à ces organisations ?
Si elles ont déjà fait le nécessaire pour sécuriser leur organisation, tant mieux pour elles. Si ces entreprises n’ont pas encore mis en œuvre les meilleures pratiques de sécurité, elles doivent s’assurer de planifier leurs activités avec soin, car le délai de mise en conformité avec NIS2 est limité.
La liste des points à examiner comprend l’architecture informatique actuelle, les contrôles de sécurité, le plan de sauvegarde et de réponse aux incidents, ainsi que les stratégies de classification des données, de gestion des accès privilégiés, de gouvernance des identités et de gestion des mots de passe.
Aujourd’hui, chaque organisation est connectée à de nombreuses autres et stocke des données sensibles sur ses clients et partenaires. Des mesures de sécurité insuffisantes au sein d’une organisation affectent tous les maillons de la supply chain, comme précédemment évoqué ; avec comme exemples notoires l’attaque contre l’opérateur américain d’oléoducs Colonial Pipeline ou encore les récentes cyberattaques contre des hôpitaux en France. Nous devons commencer à traiter la sécurité de chacun de manière responsable.
Les organisations devraient considérer la directive NIS2 comme un guide pour une activité durable. Une seule violation de données peut être désastreuse pour toute organisation, entraînant une atteinte durable à la réputation et la perte de clients, en des conséquences financières immédiates.
Investir dans des mesures de cybersécurité de base nécessaires pour se conformer à la directive NIS2 se traduira in fine par une confiance accrue des clients et une plus grande stabilité opérationnelle.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
