NIS2 : sécurité accrue pour l’UE et les entreprises

La directive européenne NIS2 (Network and Information Security) oblige les États membres de l'UE à accroître leur maturité en matière de cybersécurité, en imposant diverses règles de sécurité informatique aux organisations actives dans les secteurs critiques. D'ici fin 2024, la directive NIS2, qui est une extension de la directive NIS existante, doit être transposée dans la loi belge.  

Même si votre organisation n'est pas directement concernée par la directive NIS2, vous devrez en tenir compte, par exemple via des clients ou des fournisseurs actifs dans des secteurs critiques. En outre, les mesures imposées sont essentiellement des principes de sécurité admis que toute organisation devrait en réalité déjà appliquer.

Nous avons parlé de la directive NIS2 avec Jan De Bondt, Director Audit & Business Consultancy chez Orange Cyberdefense Belgium. Son message ? N'attendez pas trop longtemps pour mettre en œuvre la nouvelle directive. Faites-le pour rendre votre propre organisation plus résistante face aux cybermenaces, et non parce qu’on vous l’impose. Seule une sécurité réfléchie peut protéger votre organisation comme il se doit.

La directive NIS précédente ne date que de 2016. Pourquoi l’UE lance-t-elle déjà son successeur, la directive NIS2 ?

La directive NIS faisait déjà un pas dans la bonne direction, mais elle présentait aussi des lacunes importantes. Les hôpitaux et les entreprises de gestion de services informatiques, telles qu'Orange, ont été épargnés : ils n'ont pas été considérés comme des fournisseurs de services essentiels. Les exigences en matière de sécurité n'étaient pas non plus assez claires et strictes. Heureusement, la nature évolutive du monde informatique a été prise en compte dès le début, ce qui se traduit dans les règlements par l’organisation d’études de marché, entre autres. Celles-ci ont montré que les efforts des entreprises étaient encore insuffisants en termes de cybersécurité, ce qui a incité la Commission européenne à élaborer et à introduire la directive NIS2. Son champ d'application est plus large et elle fixe des exigences plus précises et plus strictes pour les organisations.

Les choses changent-elles beaucoup pour les entreprises ?

Cela dépend en grande partie de la maturité de l'entreprise. Dans le secteur financier, par exemple, de gros efforts ont été depuis longtemps consentis en matière de cybersécurité, tant au niveau des processus d'entreprise que des solutions technologiques. En outre, les institutions financières doivent déjà se conformer à de nombreuses autres réglementations, de sorte que la directive NIS2 n’implique pas beaucoup de changements pour elles. Cependant, dans les secteurs peu ou pas réglementés en termes de sécurité informatique, la nouvelle directive peut potentiellement entraîner des changements majeurs.

Dans quels domaines un rattrapage est-il nécessaire ?

Le rattrapage porte principalement sur la manière dont les organisations traitent les incidents de sécurité. L'objectif ultime de la directive NIS2 est de mieux protéger l'Europe contre les cybermenaces. C'est pourquoi il sera désormais obligatoire de signaler les incidents de sécurité aux autorités nationales compétentes. En Belgique, il s'agit du Centre pour la Cybersécurité Belgique (CCB). Les États membres partageront leurs connaissances sur ces notifications afin de réagir plus rapidement aux tendances. Les organisations sont également tenues de mettre en place un système de gestion des incidents digne de ce nom.

Avons-nous bien compris qu'il s'agit moins d'une question technique que d'une question commerciale ?

Effectivement, et il en va de même pour plusieurs exigences de la directive NIS2. Elle met également l'accent sur une approche basée sur le risque, ce qui est nouveau pour de nombreuses entreprises. L'analyse des risques est au cœur d'un Information Security Management System (SGSI). Les organisations doivent se demander comment assurer la continuité de leurs activités en cas de défaillance de leurs systèmes informatiques. Choisissent-elles alors de dédupliquer le système ou préfèrent-elles investir dans un système de back-up ? Ce choix est étroitement lié aux processus opérationnels existants. L'approche fondée sur le risque part réellement de l'entreprise elle-même.

D’ici le 17 octobre 2024, la directive NIS2 doit être transposée dans la loi belge. Les entreprises doivent-elles déjà agir maintenant ?

Oui et non. La date limite du 17 octobre 2024 se réfère au cadre législatif, pas à sa mise en œuvre. Néanmoins, je conseille aux entreprises et aux organisations de ne pas attendre trop longtemps. En effet, l'expérience montre qu'il faut facilement deux ans pour modifier les technologies de l'information et d'autres processus d'entreprise.

Bien que la législation belge puisse encore apporter des ajouts spécifiques, les principes généraux de la directive NIS2 sont déjà connus. Les entreprises peuvent donc parfaitement commencer à adapter leurs processus existants dès maintenant. En fin de compte, les obligations ne sont rien d'autre que l'application de principes de sécurité généralement acceptés. Pour les mettre en œuvre, les entreprises peuvent, par exemple, commencer par le cadre des cyberfondamentaux de la CCB. Celui-ci repose sur quatre cadres généralement acceptés en matière de sécurité informatique : NIST CSF, ISO 27001 / ISO 27002, CIS Controls et IEC 62443. Orange peut aider les entreprises à faire le bon choix. NIST ou ISO27001:2022 sont également des options valables. Les entreprises qui ne savent pas quel cadre choisir peuvent contacter Orange Cyberdefense Belgium pour plus d'assistance.

Que peuvent faire les entreprises d’autre que de s'engager dans la gestion des incidents et adopter une approche fondée sur les risques ?

Comme souvent, la sécurité informatique consiste à trouver un équilibre entre les personnes, les processus et la technologie. La composante technologique est déjà quelque peu en place dans la plupart des entreprises. En effet, par le passé, les cybercriminels tentaient d'abord de pénétrer par le réseau. En s'appuyant sur des solutions techniques, telles que les pare-feux, les entreprises étaient en mesure d'arrêter ces attaques. Entre-temps, les cybercriminels ont adapté leur mode opératoire et tentent de piéger les collaborateurs par le biais du phishing. C'est pourquoi la directive NIS2 accorde désormais beaucoup d'attention à la sensibilisation à la sécurité : les entreprises doivent investir dans la formation de leur personnel, y compris les membres de la direction.

Les organisations doivent résolument opter pour une sécurité à plusieurs niveaux : un pare-feu pour déjouer les intrusions, le monitoring pour savoir quand intervenir, l’authentification à deux facteurs obligatoire pour décourager l'utilisation abusive des comptes d'utilisateurs et la formation pour faire de la sécurité une responsabilité partagée.

Que se passe-t-il pour les entreprises qui ne satisfont pas aux exigences de la directive NIS2 ?

Avec la NIS, la responsabilité des dirigeants était déjà engagée. En d'autres termes, ceux qui n'ont pas investi dans la sécurité de leur entreprise et qui sont malgré tout confrontés à un incident peuvent, en principe, être condamnés à une peine d'emprisonnement. La directive NIS2 ajoute qu'en cas de négligence grave, un dirigeant peut se voir refuser temporairement l'exercice de ses fonctions de direction ou l'entreprise peut être obligée de cesser ses activités. Cela nuit bien sûr à la réputation de l'entreprise, c'est pourquoi on attend des dirigeants qu'ils prennent leurs responsabilités, pour autant qu’ils ne l’aient pas encore fait entretemps.

En fin de compte, la responsabilité des dirigeants est un moyen de pression par lequel la Commission européenne cherche à augmenter les budgets de sécurité et à créer une culture de sécurité dès la conception, tout comme le GDPR l'a fait pour la protection de la vie privée. Désormais, les dirigeants ne peuvent plus fixer leurs propres budgets pour la sécurité informatique. La directive NIS2 encourage la structuration des efforts de cybersécurité sur la base d'une politique de décision fondée sur le risque. Les dirigeants disposent ainsi des bases nécessaires pour débloquer des budgets suffisants.

La directive NIS2 est-elle également pertinente pour les entreprises qui n'opèrent pas dans les secteurs couverts par la directive ?

Oui. La sécurité informatique joue un rôle de plus en plus important dans la relation client-fournisseur. Les entreprises qui fournissent des services sont souvent interrogées par leurs clients sur la manière dont elles gèrent la sécurité. Dans certains cas, un audit devrait montrer que l'entreprise fait le nécessaire. Ainsi, toute personne souhaitant travailler à l'avenir avec une organisation soumise à la directive NIS2 devra disposer d'une sécurité répondant quasiment aux mêmes exigences. Mais mon conseil est le suivant : œuvrez à la conformité NIS2, non pas parce que c'est une obligation ou parce que les clients l'attendent de votre part, mais parce que c'est la voie vers une sécurité informatique optimale.