Avec la directive NIS2, l’Union européenne resserre l’étau autour des cybermenaces en renforçant les obligations des entreprises stratégiques. Des solutions comme le stockage chiffré et la détection proactive des intrusions deviennent essentielles pour garantir la résilience des infrastructures.
En 2016, le Parlement et le Conseil de l’Union européenne ont pris des mesures importantes pour renforcer la cybersécurité en Europe avec la première directive Network and Information Security (NIS). Cependant, face aux nouvelles menaces numériques, de nouvelles règles ont été mises en place depuis le 18 octobre. La NSI2, beaucoup plus ambitieuse, vise à mieux protéger l’Europe contre ces menaces croissantes. Son objectif est de garantir un niveau de cybersécurité encore plus élevé à travers l’Union européenne. À cette date précise, les pays membres de l’UE devront adapter leurs propres lois et réglementations en fonction de la NIS2. Quels sont donc les enjeux de cette nouvelle directive ? Le stockage chiffré fait-il partie des solutions de cybersécurité pour se conformer aux exigences de la NIS2 ?
Renforcer la cybersécurité des infrastructures critiques
La transformation numérique et l’intensification des échanges entre pays membres de l’UE ont rendu le marché européen plus vulnérable aux cybermenaces. La directive NIS 2 impose des exigences minimales de sécurité aux opérateurs d’infrastructures critiques et aux fournisseurs de services numériques. Elle élargit considérablement son champ d’application en incluant de nouveaux secteurs d’activités, tels que l’énergie, les transports, la finance, la santé, l’eau et les infrastructures numériques, intégrant désormais des services publics et privés qui étaient auparavant exclus. En outre, les entreprises de moyenne et grande taille opérant dans ces secteurs sont désormais soumises aux obligations de la NIS2, soulignant ainsi l’importance accrue de cette réglementation.
Les exigences en matière de cybersécurité se durcissent, obligeant les organisations à mettre en place des mesures de sécurité plus strictes. Cela englobe la gestion des risques, l’utilisation de la cryptographie, la sécurité physique des infrastructures, ainsi que la protection des réseaux. Les entreprises doivent également renforcer leurs systèmes de gestion des risques cyber, en mettant l’accent sur la détection des menaces, la réponse aux incidents et la résilience face aux cyberattaques. Par ailleurs, la NIS2 impose des obligations strictes en matière de notification des incidents majeurs. Les entreprises sont tenues d’informer rapidement les autorités nationales de tout incident susceptible de perturber leurs activités ou les infrastructures qu’elles exploitent, tout en fournissant des informations détaillées sur la nature des attaques et les mesures correctives mises en œuvre.
La coopération entre les États membres de l’Union européenne se voit également renforcée. La directive encourage la collaboration transfrontalière et la mise en place d’un cadre de gouvernance commun afin d’harmoniser les pratiques de cybersécurité. À cet égard, le réseau européen des équipes de réponse aux incidents informatiques (CERT) joue un rôle central dans cette coopération.
Par ailleurs, des amendes substantielles sont prévues pour les entreprises ne respectant pas la NIS2, à des niveaux similaires à ceux du RGPD. En outre, les dirigeants d’entreprise peuvent désormais être tenus personnellement responsables en cas de non-conformité, augmentant ainsi la pression sur les conseils d’administration pour une gestion plus rigoureuse des risques cyber.
La directive également à uniformiser les standards de cybersécurité au sein de l’UE, réduisant les disparités entre les États membres et favorisant une approche collective pour mieux contrer les cybermenaces. Toutefois, cela représente des défis importants pour les entreprises : les coûts de mise en conformité peuvent être élevés, notamment pour l’adaptation des processus internes, la mise en œuvre de nouvelles mesures de sécurité et l’intensification des efforts de reporting. Le non-respect des exigences peut entraîner non seulement des sanctions financières, mais aussi des risques en termes de réputation.
Le stockage chiffré pour s’aligner aux exigences de la NIS2
Dans un contexte où les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, il devient essentiel d’adopter des mesures de sécurité renforcées. Le renforcement des systèmes informatiques figure parmi les solutions phares pour répondre aux directives de la NIS 2. En effet, plusieurs types de protections peuvent être mises en place pour accroître la sécurité, telle que l’installation de pare-feux ou de systèmes de détection d’intrusion.
Par ailleurs, l’intégration de solutions de sauvegarde de données plus sécurisées est également stratégique. En complément d’un cloud sécurisé, l’utilisation de dispositifs de stockage chiffré peut s’avérer pertinente dans une stratégie de cybersécurité.
Le chiffrement matériel est appliqué directement sur un périphérique de stockage, comme des clés USB chiffrées ou des disques SSD externes, par un processeur dédié qui gère les tâches de chiffrement et de déchiffrement indépendamment de l’unité centrale du système. Cette indépendance au système cloud rend le chiffrement matériel plus rapide et plus efficace, et réduit ainsi les menaces d’attaques malveillantes, ciblant souvent la mémoire du système où les clés de chiffrement stockées dans les solutions de chiffrement des logiciels.
De plus, les dispositifs de chiffrement matériel sont généralement équipés d’un système d’authentification garantissant l’accès aux données aux utilisateurs autorisés, quel que soit l’ordinateur ou le système d’exploitation utilisé. Le chiffrement logiciel, quant à lui, s’appuie sur l’unité centrale et le système d’exploitation de l’ordinateur pour effectuer les tâches de chiffrement. Il peut donc être plus sensible aux risques de sécurité, tels que les logiciels malveillants ciblant la mémoire du système ou les logiciels qui compromettent les clés de chiffrement. Si le cryptage logiciel est généralement efficace, il nécessite néanmoins davantage de ressources. De même, sa sécurité dépend fortement de la qualité du système d’exploitation ainsi que des autres systèmes logiciels.
Ces dispositifs offrent une sécurité comparable à celle des solutions cloud, tout en agissant comme de véritables coffres-forts numériques. Ils permettent de stocker et de protéger des données sensibles contre les attaques par force brute et de type Bad USB. De plus, certains d’entre eux ont l’une des meilleures certifications FIPS 140-2 niveau 3 et FIPS 197, ainsi que le chiffrement XTS-AES 256 bits. Ces solutions de stockage chiffré peuvent donc être intégrées pour mettre en œuvre des procédures sécurisées de sauvegarde et de récupération des données, indispensables pour se conformer à la directive NIS2 et assurer le bon fonctionnement d’une entreprise en cas d’attaque ou de piratage.
En somme, la directive NIS2 marque un tournant décisif dans la régulation de la cybersécurité en Europe. Elle impose des règles plus strictes aux secteurs critiques, favorise une meilleure coordination à l’échelle européenne, et place la cybersécurité au centre des préoccupations des entreprises et des gouvernements. En associant un stockage cloud sécurisé à des solutions de stockage matérielles chiffrées hautement sécurisées, les entreprises peuvent gérer efficacement l’accès à leurs données et garantir que celles demeurent protégées, et cela, même en cas de menace sur un dispositif ou un système.
____________________________
Par Laurent Sirgy, Directeur régional pour la France, l’Europe du Sud, le Moyen-Orient et l’Afrique, Kingston Technology