> Enjeux IT > NIS 2 : la France améliorerait son niveau de résilience numérique

NIS 2 : la France améliorerait son niveau de résilience numérique

Enjeux IT - Par Sabine Terrey - Publié le 29 mai 2024
email

Prévue pour octobre 2024, l’adoption de la directive NIS 2 dans la loi française favoriserait la réponse aux incidents majeurs et la continuité d’activité des systèmes numériques. Explications.

NIS 2 : la France améliorerait son niveau de résilience numérique

« Essentiellement concentrée sur la cybersécurité et principalement axée sur l’établissement d’un niveau commun élevé de cybersécurité, l’approche de la France en matière de résilience numérique est trop restrictive et ne permet pas d’adresser de manière adéquate l’ensemble des défis liés à la résilience numérique » selon le rapport Renforcer la résilience numérique en France de Splunk.

Le gouvernement français n’a pas défini une stratégie de prévention des problèmes et des incidents des systèmes numériques, en dehors de ceux qui résultent de cyberattaques. Or, l’entrée en vigueur de la directive NIS 2 dans la loi française va changer la donne.

Donner plus de pouvoir aux organisations françaises

La Stratégie nationale pour la sécurité du numérique de 2015 confère à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) un rôle important pour assurer la visibilité des vulnérabilités des systèmes. Elle est en charge, entre autres,

  • de diffuser les informations relatives aux menaces
  • de contrôler les projets informatiques les plus importants et les plus sensibles
  • de coordonner la réponse aux interruptions de service résultant d’incidents informatiques.

On observe dans le rapport que la stratégie centralisée de la France, avec le rôle de l’ANSSI, entrave la responsabilité des organisations à prévenir les attaques et à davantage intégrer les pratiques numériques en faveur d’une résilience globale. « L’entrée en vigueur de la directive NIS 2 est une excellente nouvelle pour l’ensemble des organisations françaises, quel que soit leur secteur d’activité ou leur taille. C’est également une opportunité pour elles de procéder à un état des lieux de leur niveau de résilience et d’identifier les améliorations à prendre ces prochains mois afin d’être conforme avec cette directive » commente Fanny Doukhan, AVP, Strategic Sales France chez Splunk.

Se conformer à des normes organisationnelles plus strictes

L’adoption de la directive NIS 2 obligera un plus grand nombre d’organismes publics français (et d’autres organisations essentielles) à se conformer à des normes organisationnelles plus strictes en matière d’informatique et de résilience numérique, et à des exigences en matière de déclaration et de délais pour les incidents majeurs.

Ces mesures de sécurité comprennent des plans de continuité d’activité, dont la gestion des sauvegardes et la reprise après sinistre.

Une cyberprotection active

Cette directive se focalisera sur la gestion de la sécurité et les procédures de révision et d’amélioration des politiques et des systèmes numériques, en imposant aux organisations d’adopter une « cyberprotection active ».

Ce concept est défini comme « la prévention, la détection, la supervision, l’analyse et l’atténuation actives des violations de la sécurité du réseau ».

Les organisations françaises devront assurer la supervision de leurs systèmes et procéder à une analyse continue de leurs services et de leurs procédures, pour se prémunir contre les cybermenaces et autres perturbations potentielles de la résilience numérique.

Des services de sécurité numérique

Le gouvernement français exigera des services de sécurité numérique, comme la gestion de la configuration et la journalisation, aux petites et moyennes organisations ne disposant pas de ces moyens.

Ainsi, l’observabilité des processus sera améliorée dans de nombreux secteurs publics et organisations du secteur tertiaire de plus petite taille. « Comme le démontre le rapport de WPI Economics, la résilience numérique ne se limite pas aux incidents de cybersécurité, même s’ils sont aujourd’hui extrêmement répandus. Une erreur humaine ou un incident météorologique peut aussi bien causer des dommages importants ayant des répercussions financières ou impactant la réputation d’une entreprise. La continuité d’activité doit aujourd’hui être la priorité de tous, que l’on soit une entreprise du secteur tertiaire, une usine ou un organisme public. »

Source – WPI Economics pour Splunk

WPI Economics a évalué l’approche de trois principaux gouvernements européens (la France, le Royaume-Uni et l’Allemagne) en matière de résilience numérique en analysant leurs performances, pour identifier les bonnes pratiques et les domaines à améliorer. Le cabinet a pris en compte le contexte général de la résilience numérique des États et ce qui constitue de bonnes pratiques selon les institutions multinationales chargées de superviser la résilience et la cybersécurité, et en a tiré les principales conclusions et recommandations de politique.

Dossiers complémentaires sur le thème de la réglementation avec les experts du site iTPro.fr

La directive NIS2 est perçue comme un guide pour une activité durable

Règlement DORA : DSI, coopérez avec la Direction des Risques

Forum InCyber 2024 : l’IA sur tous les fronts !

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Enjeux IT - Par Sabine Terrey - Publié le 29 mai 2024