NIS 2 : un levier pour renforcer la résilience des infrastructures critiques

Cet article à été rédigé par Damien Gbiorczyk, expert cyber résilience Illumio

La gestion des risques est essentielle pour toute organisation exploitant une infrastructure critique.

Identifier les risques et y répondre efficacement peut considérablement réduire les chances de réussite d’une attaque. Mais il est tout aussi important d’en limiter l’impact en la maîtrisant dès les premiers signes. Cette approche est aujourd’hui visible au quotidien, sur le terrain, partout en Europe, dans des secteurs comme l’énergie, la santé ou la logistique des domaines par nature particulièrement sensibles.

La directive NIS 2 marque donc un tournant majeur dans la régulation de la cybersécurité en Europe*. Pour la France comme pour l’ensemble des États membres, l’enjeu dépasse le simple respect réglementaire : il s’agit d’un véritable levier de transformation pour protéger les infrastructures critiques, dont l’activité conditionne la stabilité économique, sociale et politique.

Alors que la France accuse un certain retard dans la transposition de la directive, le débat prend une dimension stratégique : comment transformer cette contrainte en une opportunité pour renforcer la confiance numérique et consolider la souveraineté européenne ?

Pour protéger leurs actifs les plus critiques, la majorité des entreprises mettent en œuvre des contrôles rigoureux sur l’accès aux ressources et aux personnes. Cela leur permet de maintenir la continuité de leurs opérations, même en cas d’incident majeur.

En France, il convient de rappeler que le pays a été pionnier en matière de sécurité des infrastructures critiques avec la directive NIS, directement inspirée de la Loi de Programmation Militaire (LPM). Ce cadre législatif impose des mesures de sécurité strictes aux Opérateurs d’Importance Vitale (OIV) et a contribué à définir une approche claire de protection des infrastructures critiques face aux menaces cyber. Grâce à cette expérience, la conformité est relativement bien encadrée en France.

S’appuyant sur ces fondations, la directive NIS 2 vise à renforcer la résilience des organisations des secteurs d’infrastructures critiques. Son objectif est d’améliorer la réponse aux incidents pour éviter qu’une menace ne se transforme en catastrophe.

NIS 2 met l’accent sur la résilience, la gouvernance et l’anticipation des menaces. Elle déplace l’objectif réglementaire des contrôles prescriptifs vers une résilience fondée sur les résultats, faisant de la maîtrise des incidents non plus une simple bonne pratique mais une obligation de conformité.

L’un des changements les plus significatifs est l’obligation, pour les organisations, de notifier les autorités dans un délai de 24 heures après avoir pris connaissance d’un incident majeur. Ce délai serré exige une visibilité en temps réel sur l’activité du réseau et les mouvements latéraux des capacités souvent absentes des architectures de sécurité traditionnelles basées sur le périmètre.La segmentation Zero Trust, approche proactive de confinement des attaques pour préserver l’intégrité opérationnelle, joue un rôle crucial dans l’amélioration de la résilience cyber grâce à plusieurs étapes clés :

• Identification des risques : repérer les vulnérabilités comme des ports ouverts à haut risque, des systèmes non corrigés ou des connexions à des IP malveillantes.
• Réduction des risques : éliminer ces vulnérabilités et établir des barrières pour contenir une attaque, par exemple en séparant les environnements IT et OT.
• Réduction de l’impact : isoler dynamiquement les ressources infectées pour les séparer du reste de l’infrastructure.

Zeus Kerravala de ZK Research souligne que « alors que l’IA générative permet aux attaquants de concevoir des campagnes d’ingénierie sociale de plus en plus convaincantes, Lookout élève le niveau de la défense contre les menaces mobiles. Avec Smishing AI, ils ne se contentent pas de réagir aux menaces, ils les anticipent. »

Smishing AI de Lookout est disponible dans le cadre de la plateforme Lookout Mobile Endpoint Security.

Pour en savoir plus, consultez : https://www.lookout.com/blog/ai-smishing-protection