DIRECTIVE NIS2 – 20 Mesures à prendre pour être en conformité.
En mai dernier, un document de travail a fuité, révélant les premières mesures qui devraient encadrer la mise en conformité des entreprises face à la directive NIS2. Ce document, destiné à préparer les entités essentielles et importantes, détaille les objectifs de sécurité à atteindre pour assurer une protection optimale des systèmes d’information. Ce document détaille 20 objectifs clés, assortis de mesures spécifiques et de moyens concrets pour garantir la conformité des entreprises. Chaque entité, qu’elle soit essentielle ou importante, devra adopter des mesures adaptées à son statut pour répondre aux défis de sécurité posés par cette nouvelle législation. Si les Opérateurs de Services Essentiels (OSE), déjà soumis aux obligations de la première directive NIS, seront familiers avec ces exigences, la directive NIS2 introduira des changements significatifs pour les entités importantes, qui représentent une large majorité des nouvelles organisations concernées. Unitae RGPD a analysé le document afin de vous le synthétiser. Bonne lecture. Les 20 mesures : 1. Cartographie des systèmes d’information (SI) : Cette première mesure impose aux entités de réaliser une cartographie précise des systèmes d’information et des actifs critiques pour leurs activités. L’objectif est de mieux comprendre et identifier les zones à risque au sein du SI, afin de prioriser les efforts de protection. 2. Politique de sécurité des systèmes d’information (PSSI) : La mise en place d’une PSSI devient obligatoire pour toutes les entités, y compris les prestataires. Cela implique de définir clairement les rôles, les responsabilités et les procédures de sécurité, comme le chiffrement des données ou le contrôle d’accès. La conformité doit également être surveillée régulièrement. 3. Analyse des risques cyber : Destinée spécifiquement aux dirigeants des entités essentielles, cette mesure demande de prendre connaissance des risques numériques pesant sur les systèmes d’information et de suivre leur évolution. Les dirigeants sont également responsables de l’acceptation des risques résiduels. 4. Gestion des prestataires IT : Une attention particulière est portée à la relation contractuelle avec les prestataires IT. La sécurité doit être intégrée dans tous les aspects des contrats, et une cartographie des prestataires est exigée pour une meilleure gestion des risques associés à la sous-traitance. 5. Contrôles d’accès et authentification : La gestion des identités et des accès est renforcée, avec des mécanismes stricts d’authentification et des processus pour restreindre l’accès aux seules personnes ou processus autorisés et justifiés. 6. Gestion RH et formation des collaborateurs Les entités doivent sensibiliser leurs employés à la sécurité numérique et former spécifiquement les personnels occupant des fonctions critiques. Cela inclut des processus dès l’arrivée d’un nouveau collaborateur jusqu’à son départ, afin d’assurer une continuité dans la gestion de la cybersécurité. 7. Maintien en conditions de sécurité (MCS) du SIR Le maintien en conditions de sécurité des systèmes d’information (SIR) inclut la création de cartographies détaillées du SI pour améliorer la réactivité en cas d’incidents. Il impose aussi une veille constante des vulnérabilités, en partenariat avec l’ANSSI, les fournisseurs et les prestataires. 8. Contrôle des droits d’accès physiques Cette mesure se concentre sur la gestion des accès physiques, imposant aux entités de mettre en place des mécanismes de contrôle pour réguler les droits d’accès aux infrastructures critiques et gérer efficacement les visiteurs. 9. Sécurisation de l’architecture du SIR Les entités doivent identifier et filtrer les communications entrantes et sortantes de leurs systèmes d’information, notamment lorsqu’elles sont interconnectées avec des réseaux tiers. Cela vise à protéger l’intégrité des services numériques en limitant les points d’exposition. 10. Sécurisation des accès distants Cette mesure impose la sécurisation des accès à distance aux SIR, en mettant en place des mécanismes d’authentification et en sécurisant les canaux de communication pour éviter toute intrusion via des systèmes externes (internet, prestataires). 11. Protection contre les codes malveillants Les entités doivent installer des solutions de protection contre les codes malveillants sur toutes les ressources de leurs systèmes d’information (SIR). L’objectif est de détecter et de neutraliser les logiciels malveillants susceptibles de compromettre la sécurité. 12. Durcissement de la configuration du SIR Cette mesure impose la sécurisation des configurations des systèmes d’information. Il s’agit de définir des configurations renforcées (ou durcies) sur les systèmes pour minimiser les vulnérabilités potentielles et empêcher l’exploitation de failles non corrigées. 13. Mécanismes d’identification et d’authentification Les entités doivent mettre en place des mécanismes robustes pour l’identification et l’authentification des utilisateurs du SIR. Ces mécanismes incluent une gestion des droits d’accès pour ne permettre l’accès aux ressources qu’aux utilisateurs autorisés, suivant des processus automatiques vérifiés. 14. Sécurisation de l’administration du SIR et des annuaires Cette mesure impose la mise en œuvre de comptes d’administration dédiés pour l’administration des systèmes d’information. Les administrateurs doivent utiliser ces comptes pour gérer l’accès aux annuaires, qui constituent le cœur de la gestion des identités des systèmes de l’entité. 15. Système d’information dédié à l’administration Les entités doivent mettre en place un système d’information spécifique, destiné exclusivement à l’administration de leurs SIR. Cela inclut l’isolement de ces ressources pour garantir qu’elles sont contrôlées et sécurisées de manière autonome par l’entité ou ses prestataires. Ces mesures visent à renforcer la résilience des infrastructures critiques et à améliorer la gestion des accès et des configurations dans un environnement de plus en plus menacé par les cyberattaques 16. Supervision de la sécurité Les entités doivent mettre en place des moyens de journalisation, de détection, et d’analyse des événements de sécurité sur leurs systèmes d’information (SIR) pour superviser efficacement la sécurité et détecter les anomalies. 17. Organisation de la réaction aux incidents de sécurité Il est impératif pour les entités de développer des processus et des outils spécifiques pour réagir rapidement aux incidents de sécurité. Cela inclut la mise en place d’une organisation claire et structurée capable de gérer efficacement ces événements critiques. 18. Continuité et reprise d’activité Cette mesure impose la création de mécanismes de sauvegarde et de restauration testés régulièrement. Les entités doivent également établir des plans de continuité et de reprise d’activité afin de réagir à toute perturbation majeure des systèmes d’information. 19. Organisation de la gestion des crises cyber Les entités doivent développer une organisation capable de