Une évaluation NIS2 pour renforcer votre sécurité

L’UE a adopté la directive NIS2 sur la sécurité des réseaux et des systèmes d’information (Network and Information Security) afin de renforcer la cybersécurité et la résilience des services essentiels face à la cybercriminalité dans les États membres. La directive NIS2 entrera en vigueur en Belgique en octobre 2024. Cette nouvelle législation impose aux entreprises et aux organisations des secteurs critiques de se conformer à des exigences strictes en matière de sécurité informatique et de disposer de processus élaborés de gestion des risques. Les entreprises qui ne s’y conforment pas s’exposent à une amende.

La directive NIS2 ne concerne pas uniquement les grandes entreprises. Les mesures imposées sont des exigences standard que toute entreprise, quelle que soit sa taille, doit mettre en œuvre pour se doter d’une stratégie de cybersécurité efficace. Vous pouvez avoir affaire à la directive NIS2 même si votre entreprise n’opère pas dans un secteur critique, par exemple si vos clients, eux, tombent sous le coup de la directive. Un client qui doit se conformer à la directive NIS2 imposera, en effet, des mesures à ses fournisseurs (et donc à vous) afin de sécuriser sa chaîne d’approvisionnement.

Une responsabilité partagée

"La directive NIS2 n’est pas une responsabilité purement informatique", explique Ruben Cools, consultant indépendant. Ruben évalue les entreprises qui souhaitent faire le point sur leur sécurité informatique. Selon lui, la directive concerne l’ensemble de l’organisation d’une entreprise. "La sécurité de l’information incombe à chaque travailleur. Bien que la directive NIS2 confie à la direction la responsabilité de prendre les mesures adéquates et d’en assurer le suivi, chaque collaborateur doit avoir conscience de l’impact qu’il a sur la sécurité de l’entreprise. Les solutions purement techniques ne suffisent donc pas. Il est tout aussi important de mener des campagnes de sensibilisation au phishing et à d’autres risques, de mettre en place des processus d’entreprise adaptés et de disposer d’un plan efficace pour réagir aux incidents."

Accroître le niveau de maturité en cybersécurité

Par où commencer pour mettre votre organisation en conformité avec la norme NIS2 ? Vous devez avant tout vous faire une idée de votre cybersécurité dans son ensemble. "Ce n’est qu’après avoir identifié les lacunes que nous pourrons déterminer les mesures à prendre pour respecter la directive NIS2", souligne Ruben Cools.

La plupart des entreprises ont encore du pain sur la planche pour accroître leur maturité en matière de cybersécurité. Ici, l’accent est avant tout mis sur les exigences minimales de la directive NIS2 qu’il faut encore mettre en place. Les autres recommandations sont personnalisées à l’entreprise. "En définitive, la question est de savoir quels risques l’entreprise court et lesquels sont acceptables. L’aspect financier entre toujours en jeu", poursuit Ruben Cools. La directive NIS2 accorde une grande importance à l’analyse des risques, qui varie d’une organisation à l’autre. Le rapport final d’une évaluation NIS2 comprend donc toujours ce genre d’analyse. Il faut, en effet, que l’organisation sache quels risques elle prend et qu’elle puisse déterminer ce sur quoi elle doit se concentrer pour répondre aux exigences complexes de la directive NIS2. De quoi éviter les amendes et les sanctions, et renforcer sa cybersécurité.

Les organisations qui se rendent compte, après une évaluation, qu’elles ne disposent pas en interne des connaissances nécessaires pour renforcer par elles-mêmes leur cybersécurité afin de se conformer à la directive NIS2 peuvent faire appel à l’expertise d’Orange Belgium. Nous vous aiderons à prendre les mesures qui s’imposent et nous déploierons les solutions techniques adéquates pour mieux vous armer contre les cyberattaques.