Directive NIS 2 : sommes-nous prêts ?

Le 18 octobre 2024, de nombreuses entreprises seront soumises à la directive NIS 2. Face à des acteurs malveillants toujours plus performants et mieux outillés, la directive NIS 2 étend son périmètre auprès de 10 fois plus d’organisations comparé à la première version. L’objectif est d’apporter davantage de protection aux entreprises face aux attaques de cybersécurité.

La NIS 2 introduit un mécanisme de proportionnalité pour différencier les obligations en fonction du niveau de criticité des entités.

“La directive NIS 2 n’oblige pas les OSE à avoir recours à des solutions de sécurité labellisées par l’ANSSI, comme c’est le cas pour les opérateurs d’importance vitale et leurs systèmes d’information vitaux (SIV). De ce point de vue, la tâche sera donc plus simple pour les OSE, qui pourront continuer à exploiter leurs solutions existantes pour leurs systèmes d’information essentiels (SIE)” explique Guillaume Leseigneur, Cybereason.

“NIS 2 reflète mieux le paysage actuel de la cybersécurité. L’ancienne approche axée sur la protection des réseaux statiques est remplacée par une approche zero trust. Une réponse au changement du paysage de la menace avec l’apparition d’attaques générées par l’IA” explique Hervé Liotaud, Illumio.

La mise en application de la directive NIS 2 permettra à des milliers d’entités de mieux se protéger. Le calendrier de mise en conformité des organisations sera défini dans les lois promulguées par les différents États. Pour certaines d’entre elles, ce délai pourrait aller jusqu’à 4 ans après octobre 2024.

“NIS 2 vise à établir une base de référence pour la notification des incidents, la gestion des risques et de la chaîne d’approvisionnement, pour les entreprises de l’Union européenne, et celles qui opèrent avec” complète Laurent Tombois, Bitdefender.

Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public. Elle amène aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber.

En matière d’organisation, la posture de l’éditeur vis-à-vis de la recherche de failles de sécurité, ainsi que sa capacité à mener une veille sur le sujet, devient vitale.

L’alignement des solutions on-premise avec les exigences de la nouvelle directive repose en définitive sur de bonnes pratiques éprouvées. D’ailleurs, elles devraient déjà être à l’ordre du jour de toute stratégie de cybersécurité. En cela, NIS 2 ne vient pas bousculer outre mesure l’agenda des DSI et des RSSI.

“Les entreprises devront se conformer en respectant 23 règles précises. Et c’est là qu’il devient nécessaire de se pencher sur le texte, afin de s’assurer du bon déploiement des solutions on-premises, de leur bonne utilisation, et administration” explique Guillaume Leseigneur, Cybereason.

L’idée principale est d’améliorer la résilience des infrastructures critiques dans l’UE. Cela signifie qu’il faut s’assurer que les services peuvent être maintenus, y compris lors d’une attaque cyber.

“Une approche zero trust ou microsegmentation qui part du principe que les brèches sont inévitables et garantit la mise en place de mesures de sécurité proactives” ajoute Hervé Liotaud, Illumio.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.