Prévue pour octobre 2024, l’adoption de la directive NIS 2 dans la loi française favoriserait la réponse aux incidents majeurs et la continuité d’activité des systèmes numériques. Explications.
NIS 2 : la France améliorerait son niveau de résilience numérique
« Essentiellement concentrée sur la cybersécurité et principalement axée sur l’établissement d’un niveau commun élevé de cybersécurité, l’approche de la France en matière de résilience numérique est trop restrictive et ne permet pas d’adresser de manière adéquate l’ensemble des défis liés à la résilience numérique » selon le rapport Renforcer la résilience numérique en France de Splunk.
Le gouvernement français n’a pas défini une stratégie de prévention des problèmes et des incidents des systèmes numériques, en dehors de ceux qui résultent de cyberattaques. Or, l’entrée en vigueur de la directive NIS 2 dans la loi française va changer la donne.
Donner plus de pouvoir aux organisations françaises
La Stratégie nationale pour la sécurité du numérique de 2015 confère à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) un rôle important pour assurer la visibilité des vulnérabilités des systèmes. Elle est en charge, entre autres,
- de diffuser les informations relatives aux menaces
- de contrôler les projets informatiques les plus importants et les plus sensibles
- de coordonner la réponse aux interruptions de service résultant d’incidents informatiques.
On observe dans le rapport que la stratégie centralisée de la France, avec le rôle de l’ANSSI, entrave la responsabilité des organisations à prévenir les attaques et à davantage intégrer les pratiques numériques en faveur d’une résilience globale. « L’entrée en vigueur de la directive NIS 2 est une excellente nouvelle pour l’ensemble des organisations françaises, quel que soit leur secteur d’activité ou leur taille. C’est également une opportunité pour elles de procéder à un état des lieux de leur niveau de résilience et d’identifier les améliorations à prendre ces prochains mois afin d’être conforme avec cette directive » commente Fanny Doukhan, AVP, Strategic Sales France chez Splunk.
Se conformer à des normes organisationnelles plus strictes
L’adoption de la directive NIS 2 obligera un plus grand nombre d’organismes publics français (et d’autres organisations essentielles) à se conformer à des normes organisationnelles plus strictes en matière d’informatique et de résilience numérique, et à des exigences en matière de déclaration et de délais pour les incidents majeurs.
Ces mesures de sécurité comprennent des plans de continuité d’activité, dont la gestion des sauvegardes et la reprise après sinistre.
Une cyberprotection active
Cette directive se focalisera sur la gestion de la sécurité et les procédures de révision et d’amélioration des politiques et des systèmes numériques, en imposant aux organisations d’adopter une « cyberprotection active ».
Ce concept est défini comme « la prévention, la détection, la supervision, l’analyse et l’atténuation actives des violations de la sécurité du réseau ».
Les organisations françaises devront assurer la supervision de leurs systèmes et procéder à une analyse continue de leurs services et de leurs procédures, pour se prémunir contre les cybermenaces et autres perturbations potentielles de la résilience numérique.
Des services de sécurité numérique
Le gouvernement français exigera des services de sécurité numérique, comme la gestion de la configuration et la journalisation, aux petites et moyennes organisations ne disposant pas de ces moyens.
Ainsi, l’observabilité des processus sera améliorée dans de nombreux secteurs publics et organisations du secteur tertiaire de plus petite taille. « Comme le démontre le rapport de WPI Economics, la résilience numérique ne se limite pas aux incidents de cybersécurité, même s’ils sont aujourd’hui extrêmement répandus. Une erreur humaine ou un incident météorologique peut aussi bien causer des dommages importants ayant des répercussions financières ou impactant la réputation d’une entreprise. La continuité d’activité doit aujourd’hui être la priorité de tous, que l’on soit une entreprise du secteur tertiaire, une usine ou un organisme public. »
Source – WPI Economics pour Splunk
WPI Economics a évalué l’approche de trois principaux gouvernements européens (la France, le Royaume-Uni et l’Allemagne) en matière de résilience numérique en analysant leurs performances, pour identifier les bonnes pratiques et les domaines à améliorer. Le cabinet a pris en compte le contexte général de la résilience numérique des États et ce qui constitue de bonnes pratiques selon les institutions multinationales chargées de superviser la résilience et la cybersécurité, et en a tiré les principales conclusions et recommandations de politique.
Dossiers complémentaires sur le thème de la réglementation avec les experts du site iTPro.fr
La directive NIS2 est perçue comme un guide pour une activité durable
Règlement DORA : DSI, coopérez avec la Direction des Risques
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM
- Les identités des développeurs doivent être prises en compte !