En mai dernier, un document de travail a fuité, révélant les premières mesures qui devraient encadrer la mise en conformité des entreprises face à la directive NIS2. Ce document, destiné à préparer les entités essentielles et importantes, détaille les objectifs de sécurité à atteindre pour assurer une protection optimale des systèmes d’information.
Ce document détaille 20 objectifs clés, assortis de mesures spécifiques et de moyens concrets pour garantir la conformité des entreprises. Chaque entité, qu’elle soit essentielle ou importante, devra adopter des mesures adaptées à son statut pour répondre aux défis de sécurité posés par cette nouvelle législation.
Si les Opérateurs de Services Essentiels (OSE), déjà soumis aux obligations de la première directive NIS, seront familiers avec ces exigences, la directive NIS2 introduira des changements significatifs pour les entités importantes, qui représentent une large majorité des nouvelles organisations concernées.
Unitae RGPD a analysé le document afin de vous le synthétiser. Bonne lecture.
Les 20 mesures :
1. Cartographie des systèmes d’information (SI) :
Cette première mesure impose aux entités de réaliser une cartographie précise des systèmes d’information et des actifs critiques pour leurs activités. L’objectif est de mieux comprendre et identifier les zones à risque au sein du SI, afin de prioriser les efforts de protection.
2. Politique de sécurité des systèmes d’information (PSSI) :
La mise en place d’une PSSI devient obligatoire pour toutes les entités, y compris les prestataires. Cela implique de définir clairement les rôles, les responsabilités et les procédures de sécurité, comme le chiffrement des données ou le contrôle d’accès. La conformité doit également être surveillée régulièrement.
3. Analyse des risques cyber :
Destinée spécifiquement aux dirigeants des entités essentielles, cette mesure demande de prendre connaissance des risques numériques pesant sur les systèmes d’information et de suivre leur évolution. Les dirigeants sont également responsables de l’acceptation des risques résiduels.
4. Gestion des prestataires IT :
Une attention particulière est portée à la relation contractuelle avec les prestataires IT. La sécurité doit être intégrée dans tous les aspects des contrats, et une cartographie des prestataires est exigée pour une meilleure gestion des risques associés à la sous-traitance.
5. Contrôles d’accès et authentification :
La gestion des identités et des accès est renforcée, avec des mécanismes stricts d’authentification et des processus pour restreindre l’accès aux seules personnes ou processus autorisés et justifiés.
6. Gestion RH et formation des collaborateurs
Les entités doivent sensibiliser leurs employés à la sécurité numérique et former spécifiquement les personnels occupant des fonctions critiques. Cela inclut des processus dès l’arrivée d’un nouveau collaborateur jusqu’à son départ, afin d’assurer une continuité dans la gestion de la cybersécurité.
7. Maintien en conditions de sécurité (MCS) du SIR
Le maintien en conditions de sécurité des systèmes d’information (SIR) inclut la création de cartographies détaillées du SI pour améliorer la réactivité en cas d’incidents. Il impose aussi une veille constante des vulnérabilités, en partenariat avec l’ANSSI, les fournisseurs et les prestataires.
8. Contrôle des droits d’accès physiques
Cette mesure se concentre sur la gestion des accès physiques, imposant aux entités de mettre en place des mécanismes de contrôle pour réguler les droits d’accès aux infrastructures critiques et gérer efficacement les visiteurs.
9. Sécurisation de l’architecture du SIR
Les entités doivent identifier et filtrer les communications entrantes et sortantes de leurs systèmes d’information, notamment lorsqu’elles sont interconnectées avec des réseaux tiers. Cela vise à protéger l’intégrité des services numériques en limitant les points d’exposition.
10. Sécurisation des accès distants
Cette mesure impose la sécurisation des accès à distance aux SIR, en mettant en place des mécanismes d’authentification et en sécurisant les canaux de communication pour éviter toute intrusion via des systèmes externes (internet, prestataires).
11. Protection contre les codes malveillants
Les entités doivent installer des solutions de protection contre les codes malveillants sur toutes les ressources de leurs systèmes d’information (SIR). L’objectif est de détecter et de neutraliser les logiciels malveillants susceptibles de compromettre la sécurité.
12. Durcissement de la configuration du SIR
Cette mesure impose la sécurisation des configurations des systèmes d’information. Il s’agit de définir des configurations renforcées (ou durcies) sur les systèmes pour minimiser les vulnérabilités potentielles et empêcher l’exploitation de failles non corrigées.
13. Mécanismes d’identification et d’authentification
Les entités doivent mettre en place des mécanismes robustes pour l’identification et l’authentification des utilisateurs du SIR. Ces mécanismes incluent une gestion des droits d’accès pour ne permettre l’accès aux ressources qu’aux utilisateurs autorisés, suivant des processus automatiques vérifiés.
14. Sécurisation de l’administration du SIR et des annuaires
Cette mesure impose la mise en œuvre de comptes d’administration dédiés pour l’administration des systèmes d’information. Les administrateurs doivent utiliser ces comptes pour gérer l’accès aux annuaires, qui constituent le cœur de la gestion des identités des systèmes de l’entité.
15. Système d’information dédié à l’administration
Les entités doivent mettre en place un système d’information spécifique, destiné exclusivement à l’administration de leurs SIR. Cela inclut l’isolement de ces ressources pour garantir qu’elles sont contrôlées et sécurisées de manière autonome par l’entité ou ses prestataires.
Ces mesures visent à renforcer la résilience des infrastructures critiques et à améliorer la gestion des accès et des configurations dans un environnement de plus en plus menacé par les cyberattaques
16. Supervision de la sécurité
Les entités doivent mettre en place des moyens de journalisation, de détection, et d’analyse des événements de sécurité sur leurs systèmes d’information (SIR) pour superviser efficacement la sécurité et détecter les anomalies.
17. Organisation de la réaction aux incidents de sécurité
Il est impératif pour les entités de développer des processus et des outils spécifiques pour réagir rapidement aux incidents de sécurité. Cela inclut la mise en place d’une organisation claire et structurée capable de gérer efficacement ces événements critiques.
18. Continuité et reprise d’activité
Cette mesure impose la création de mécanismes de sauvegarde et de restauration testés régulièrement. Les entités doivent également établir des plans de continuité et de reprise d’activité afin de réagir à toute perturbation majeure des systèmes d’information.
19. Organisation de la gestion des crises cyber
Les entités doivent développer une organisation capable de répondre aux crises d’origine cyber, avec des processus et outils adaptés pour faire face à des attaques majeures. Cela permet de structurer la gestion des crises pour minimiser les impacts.
20. Exercices de préparation aux crises cyber
Pour tester leur préparation, les entités sont tenues d’organiser régulièrement des exercices et des entraînements. Ces simulations visent à évaluer la réactivité des équipes face à des incidents de sécurité ou des crises d’origine cyber, afin d’améliorer la résilience globale de l’organisation.
CONCLUSION :
La mise en conformité avec la directive NIS2 va introduire des obligations supplémentaires en matière de cybersécurité pour de nombreuses entreprises. Cependant, celles qui sont déjà engagées dans une démarche de conformité avec le RGPD (Règlement Général sur la Protection des Données) ont déjà posé les bases nécessaires pour répondre à certaines de ces nouvelles exigences. En effet, le RGPD impose déjà des mesures de sécurité autour de la protection des données personnelles, notamment en matière de gestion des accès, de confidentialité, et de réaction face aux incidents de sécurité.
Chez Unitae RGPD, nous accompagnons les entreprises dans ces démarches de mise en conformité. Nos services incluent la création de PSSI (Politiques de Sécurité des Systèmes d’Information), ainsi que des modules de formation spécifiquement adaptés aux prestataires et aux équipes internes, afin de renforcer les bonnes pratiques en matière de sécurité des données et de cybersécurité.
En vous appuyant sur ces fondations déjà existantes, vous pouvez aborder la transition vers NIS2 avec plus de sérénité, tout en bénéficiant de notre expertise pour structurer et anticiper les nouvelles exigences réglementaires.
