Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > Conformité réglementaire > Directive NIS 2 : comment se traduit-elle pour votre entreprise ?
Directive NIS 2 : comment se traduit-elle pour votre entreprise ?

Directive NIS 2 : comment se traduit-elle pour votre entreprise ?

par Danielle Kinsella on mars 18, 2023 Conformité réglementaire
temps de lecture: 9 minutes

Qu’est-ce que la directive NIS sur les réseaux et les systèmes d’information ?

La directive sur les réseaux et les systèmes d’information (NIS, ou SRI en français) est un texte législatif adopté par l’Union européenne en 2016 pour renforcer la cybersécurité et protéger les services et infrastructures essentiels contre les cybermenaces. La directive NIS 2 exige que les États membres de l’UE établissent un cadre national pour la sécurité des réseaux et de l’information et imposent à certaines « infrastructures critiques » comme les opérateurs de services essentiels (OES) et fournisseurs de services numériques (DSP) de satisfaire aux normes de cybersécurité. La directive impose également de signaler les incidents et oblige les États membres à coopérer sur les questions de cybersécurité.

Mise à jour de la directive NIS 2

En novembre 2022, l’UE a annoncé son intention d’élargir le champ d’application de la directive sur les réseaux et les systèmes d’information (NIS) afin de lutter contre les vulnérabilités et les menaces informatiques. Ces réformes, connues sous le nom de NIS 2, visent à renforcer la cyberrésilience en intégrant les fournisseurs de services informatiques externalisés et les fournisseurs de services gérés (MSP) dans le champ d’application de l’actuelle directive. Les nouvelles règles concerneront donc les fournisseurs de services essentiels tels que l’énergie, la santé, les transports ou l’eau, qui seront contraints d’adhérer à la réglementation. Sans quoi ils s’exposeront à des amendes pouvant atteindre 17 millions de livres au Royaume-Uni et 10 millions d’euros ou 2 % du chiffre d’affaires dans l’UE.

NIS 2 a officiellement été approuvée le 10 novembre 2022, pour une entrée en vigueur au 16 janvier 2023. Les États membres de l’UE doivent donc commencer la mise en œuvre dans les 21 mois suivant la date de publication, et l’achever au plus tard le 17 octobre 2024.

Quelles sont les nouveautés de la directive NIS 2 ?

La directive NIS 2 abroge la directive NIS initiale et prévoit davantage de règles sur la cybersécurité pour les organisations exerçant leurs activités au sein de l’UE. Elle prévoit plusieurs changements majeurs, dont :

L’élargissement du champ d’application de la directive NIS

Le nombre d’organisations soumises à la directive NIS 2 a considérablement augmenté par rapport à la directive initiale. La nouvelle version définit clairement les organisations concernées par ces obligations. Avec les services postaux, la gestion des déchets, la production et la distribution de produits chimiques et les secteurs agricoles et alimentaires, le nombre de secteurs couverts par la directive NIS 2 passera de 19 à 35.

Toutes les entreprises de ces secteurs ne sont pas soumises à ces obligations. Seront ainsi concernées toutes les entités employant plus de 250 personnes, dont le chiffre d’affaires annuel dépasse 50 millions d’euros et/ou dont le bilan annuel est supérieur à 43 millions d’euros. Certains secteurs devront toutefois se conformer à la législation, et ce, quelle que soit leur taille. C’est le cas notamment des fournisseurs de réseaux publics de communications électroniques.

Le renforcement des exigences en matière de sécurité

La directive NIS 2 renforce les exigences de sécurité pour les entreprises en imposant une approche de gestion des risques et en fournissant une liste minimale d’éléments de sécurité à appliquer. Elle introduit aussi des mesures plus spécifiques concernant la notification des incidents, le contenu des rapports et le délai (24 heures suivant la découverte de l’incident).

Une collaboration accrue

NIS 2 vise à améliorer la collaboration entre les États membres de l’UE, en renforçant la confiance et en facilitant le partage d’informations pour mieux coordonner la gestion des crises. Cela a conduit à la création du réseau européen des organisations de liaison en cas de cybercrise (EU CyCLONe), spécifiquement dédié à ces initiatives.

Des rapports d’incident plus rapide

NIS 2 prévoit que les entités clés et critiques notifient à leurs équipes nationales respectives de réponse aux incidents de sécurité informatique (CSIRT) ou, le cas échéant, aux autorités compétentes concernées, tout incident ayant un effet majeur sur leurs services. Les mesures à prendre sont les suivantes : envoi d’une alerte rapide dans les 24 heures suivant la prise de connaissance de l’incident, indiquant si l’incident pourrait résulter d’actes malveillants ou avoir une incidence transfrontalière ; envoi d’une notification d’incident dans les 72 heures, comprenant une première analyse de l’incident, de son ampleur et de ses conséquences ; envoi d’un rapport intermédiaire à la demande du CSIRT ou de l’autorité compétente ; et envoi d’un rapport final au plus tard un mois après la notification de l’incident, détaillant la cause probable de l’incident, les mesures d’atténuation mises en œuvre et les éventuelles répercussions transfrontalières de l’incident.

Le contrôle de son application

Les États membres de l’UE pourront utiliser un système de contrôle rigoureux, qui prévoit le droit d’effectuer des inspections, des évaluations de la sécurité et d’exiger des données et des documents. Les infractions à la directive NIS 2 pourraient donner lieu à de lourdes sanctions financières :

  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total pour un OES (Opérateur de Services Essentiels)
  • Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total pour un DSP (Fournisseur de Services Numériques)

Le management des risques tiers dans la supply chain

La supply chain est la cible privilégiée des cyberattaques. Le management des risques de la supply chain (SCRM) cherche à trouver le bon équilibre entre les différences entre les contrôles de sécurité existants, les vulnérabilités potentielles, les exigences réglementaires et les objectifs de l’entreprise. Par conséquent, NIS 2 exige une gestion rigoureuse des risques liés à la supply chain.

Le renforcement des exigences en matière de sécurité

Les nouvelles obligations en matière de sécurité prévues par la directive NIS 2 reposent sur une approche de la sécurité basée sur les risques. Cette approche est conforme à d’autres réglementations comme le RGPD. La conformité NIS 2 repose essentiellement sur la bonne gestion des incidents, des crises et des risques, qui doit servir de base pour les mesures de sécurité déployées. Pour maintenir un niveau de sécurité élevé chez les fournisseurs de services essentiels, la directive NIS 2 impose des exigences strictes :

  • Réaliser une évaluation des risques et mettre en place des politiques de sécurité des systèmes d’information suffisantes
  • Prévenir, détecter et réagir rapidement aux incidents
  • Gérer les crises et assurer la continuité opérationnelle en cas d’incident cybernétique majeur
  • Assurer la sécurité de leur supply chain
  • Assurer la sécurité de leur réseau et de leurs systèmes d’information
  • Mettre en place des politiques et des procédures permettant d’évaluer l’efficacité du management de la sécurité informatique

Que peuvent faire les entreprises pour répondre aux exigences de NIS 2 ?

Les entreprises peuvent se préparer à la mise en conformité NIS 2 en mettant en œuvre les mesures suivantes :

Adopter un modèle de sécurité zéro trust basé sur le contenu

Les modèles zéro trust reposent sur le principe de « ne jamais faire confiance, toujours vérifier », limitant l’accès au réseau ou au système d’une entreprise aux seuls utilisateurs autorisés. Des politiques d’authentification doivent être mises en œuvre pour garantir que l’accès ne soit accordé qu’à condition que l’utilisateur ait été identifié au moyen d’une authentification multifactorielle ou d’un autre processus de vérification. Une approche zéro trust basée sur le contenu devrait aussi inclure des politiques granulaires de contrôle d’accès et de journalisation pour protéger les communications de contenu sensibles contre les risques cybernétiques et de non-conformité.

Avoir un système de management des risques liés à la cybersécurité

Le management des risques doit être au cœur de la stratégie de sécurité de toute organisation. Des évaluations des risques doivent être effectuées régulièrement afin d’identifier toute menace ou vulnérabilité potentielle. Et les politiques et les contrôles doivent permettre de contrer ces menaces. Cela passe par des solutions techniques, telles que les pare-feux, les systèmes de détection d’intrusion et les antivirus/antimalware. Mais aussi par des solutions plus simples, comme la formation des salariés aux bonnes pratiques de sécurité et aux procédures de gestion et de contrôle des risques potentiels.

L’authentification multifactorielle

L’authentification multifactorielle (AMF) peut être utilisée pour ajouter une couche de sécurité supplémentaire à l’authentification utilisateur. Dans ce cas, les utilisateurs doivent saisir au moins deux facteurs d’authentification, tels qu’un nom d’utilisateur et un mot de passe, afin d’accéder à un système ou à une ressource. Ce point est particulièrement important pour les accès aux ressources à distance, où le recours à un code à usage unique envoyé par SMS ou par mail permet d’ajouter un niveau de sécurité supplémentaire.

Le chiffrement de bout-en-bout

Le chiffrement de bout-en-bout est essentiel pour protéger les données sensibles stockées ou transmises sur un réseau. Ce procédé consiste à brouiller les données, pour les rendre illisibles jusqu’à ce qu’elles soient déverrouillées à l’aide d’une clé appropriée par le destinataire final. Il existe plusieurs algorithmes de chiffrement possible, comme le chiffrement AES-256 par exemple. Le chiffrement sert à s’assurer que seuls les utilisateurs autorisés peuvent y accéder, par exemple au moyen d’une clé de chiffrement, mais aussi à rendre les données anonymes.

Sécuriser le partage de fichiers

Cela suppose de mettre en œuvre une solution de partage de fichiers sécurisée afin d’éviter que des données confidentielles ne soient partagées avec des tiers non autorisés. Pour contrôler quels membres du personnel partagent des fichiers, des politiques de contrôle d’accès prévoient de n’autoriser que certaines personnes à accéder aux données, et des outils permettent de surveiller les partages. En outre, la gestion des droits numériques (GDN) peut être utilisée pour contrôler qui peut ouvrir, modifier et partager des fichiers, et l’accès peut être restreint en fonction des rôles et des profils utilisateur.

Sécuriser la messagerie électronique

La messagerie électronique est souvent la première cible de l’ingénierie sociale ou des escroqueries par hameçonnage. Il est donc essentiel de sécuriser les e-mails et de chiffrer toutes les informations sensibles qu’ils contiennent. Les solutions de messagerie électronique sécurisée protègent contre l’accès non autorisé ou l’interception des messages, grâce au chiffrement, aux signatures électroniques et à d’autres mesures de protection.

Formation et sensibilisation à la sécurité

Le personnel doit impérativement connaître les bonnes pratiques en matière de cybersécurité et être en mesure de reconnaître et d’éviter les menaces potentielles. Les organisations doivent donc mettre en place des programmes de formation et de sensibilisation à la sécurité, sur des sujets tels que les escroqueries par hameçonnage, les tactiques d’ingénierie sociale et la création de mots de passe efficaces. Enfin, chaque collaborateur est appelé à se tenir informé des nouvelles mesures de sécurité, des bonnes pratiques et des menaces les plus récentes.

Solutions de protection réseau

Les pare-feux, les systèmes de prévention des intrusions et les antivirus/antimalware sont autant d’éléments indispensables à une solution de sécurité réseau complète. Les pare-feux peuvent être utilisés pour contrôler le flux de trafic entrant et sortant du système, empêchant ainsi tout accès non autorisé. Les systèmes de détection d’intrusion peuvent détecter toute activité malveillante, comme les logiciels malveillants, les pertes de données, les tentatives de piratage et ainsi avertir les administrateurs. Les antivirus contribuent à protéger le système contre tout logiciel malveillant qui pourrait s’y trouver. Pour être efficace, une stratégie de sécurité doit en outre prévoir des analyses régulières du système et du réseau, l’application de correctifs, une surveillance et des tests.

Kiteworks accompagne les entreprises dans leur mise en conformité NIS 2

Le réseau de contenu privé de Kiteworks offre un niveau de visibilité et de contrôle qui permet aux entreprises soumises à la directive NIS 2 de démontrer aisément leur conformité :

Garantir la conformité avec les politiques de sécurité des systèmes d’information

Kiteworks permet à ses clients de standardiser les politiques de sécurité pour les e-mails, le partage de fichiers, les mobiles, MFT, SFTP, etc. avec la possibilité d’appliquer des contrôles de politiques granulaires pour protéger la confidentialité des données. Les administrateurs ont la possibilité d’attribuer des autorisations basées sur les rôles aux utilisateurs externes, conformément à la norme NIS 2 qui s’applique de manière cohérente à tous les canaux de communication.

Assurer la continuité de l’activité

L’interface de suivi conviviale permet de conserver des enregistrements détaillés de toutes les activités et données techniques. Les journaux d’audit remplissent alors deux fonctions : permettre à l’organisation d’enquêter sur les violations de données, et fournir des preuves de conformité lors des audits. En cas de violation, l’organisation est capable d’identifier exactement les données exfiltrées et de travailler immédiatement à la récupération après sinistre pour poursuivre ses activités quotidiennes en conformité.

Définir et appliquer les bonnes pratiques en matière d’hygiène informatique

L’ISO a approuvé le système de management de la sécurité de l’information de Kiteworks (ISO 27001), même lorsqu’il est déployé en tant que service cloud (ISO 27017). Il protège votre organisation contre la divulgation d’informations personnelles identifiables ou PII (ISO 27018). En outre, Kiteworks dispose d’une bibliothèque de certifications de conformité, incluant la conformité SOC 2 et la certification SOC 2. Ces certifications, combinées à l’architecture à locataire unique et au renforcement multicouche, valident la capacité de Kiteworks à atténuer les risques liés au contenu avec le système de gestion du contenu et à maintenir les bonnes pratiques d’hygiène informatique en conformité avec NIS 2.

Protéger le contenu avec le chiffrement

Kiteworks assure le chiffrement des fichiers et des volumes de tout le contenu au repos (avec le chiffrement AES-256) et le chiffrement TLS en transit pour le protéger contre l’accès non autorisé, l’altération des données et les logiciels malveillants. Le chiffrement flexible permet aux clients de Kiteworks d’utiliser le chiffrement de bout-en-bout et ce, même si des partenaires utilisent différentes normes telles que OpenPGP, S/MIME et TLS. Enfin, la messagerie sécurisée de Kiteworks intègre automatiquement le chiffrement et des contrôles de sécurité uniformes grâce à une passerelle de protection des e-mails (EPG) qui garantit que seuls les utilisateurs authentifiés peuvent lire les messages.

Établir des politiques de contrôle d’accès et de gestion des actifs

Les administrateurs de Kiteworks déploient des contrôles granulaires pour protéger les contenus sensibles et appliquer les politiques de conformité. Ainsi, les dirigeants d’entreprise peuvent gérer facilement les contenus, dossiers, invitations et contrôles d’accès afin de garantir la conformité à NIS 2. Les contrôles d’accès peuvent aussi être gérés à l’aide du geofencing, de l’app enablement, du filtrage des types de fichiers et du contrôle de la redirection d’e-mails.

Kiteworks propose une gamme de fonctionnalités pour vous permettre de satisfaire aux exigences de conformité. Citons notamment les politiques de sécurité des systèmes d’information, le traitement des incidents, la continuité des activités, la gestion des vulnérabilités dès le développement et pendant les opérations de maintenance, la définition et l’application des bonnes pratiques en matière de cyberhygiène. La plateforme garantit également la protection des contenus par chiffrement, la mise en place de politiques de contrôle d’accès et de gestion des actifs, ainsi que la vérification des utilisateurs par l’authentification multifactorielle. Ces fonctionnalités permettent aux organisations de détecter les incidents et d’y répondre, de gérer les vulnérabilités et de rester en conformité avec les exigences de NIS 2.

Si vous êtes une entreprise exerçant au sein de l’UE et que vous souhaitez vous mettre en conformité avec la norme NIS 2, réservez dès maintenant votre démo personnalisée de la plateforme Kiteworks.

Ressources complémentaires

 

console.log ('hstc cookie not exist') "; } else { //echo ""; echo ""; } ?>
Partagez
Tweetez
Partagez