La directive NIS2 s’impose comme un pivot majeur dans l’univers de la cybersécurité européenne, étendant significativement le champ d’application des normes de sécurité et de gestion des risques au-delà de la précédente directive (NIS1). NIS2 impose de nouvelles exigences de conformité et de cyber-résilience encourageant l’adoption d’approches de cybersécurité modernes comme le Zero Trust pour contrer les risques croissants dans l’écosystème numérique.
Depuis plusieurs mois, la directive NIS2 fait l’objet de nombreuses discussions. D’ici le 17 octobre 2024, les États membres devront adopter et publier les mesures nécessaires pour être conforme à la directive NIS2. Cette directive étend le champ d’application de la directive initiale, NIS1, à un plus grand nombre de secteurs et d’organisations plus petites, et cherche à normaliser les pratiques cybernétiques et à établir des normes communes pour la sécurité et la gestion des risques. Elle conduit également les États membres à renforcer leur coopération en matière de gestion des crises cybernétiques, notamment par l’intermédiaire de l’ANSSI et de ses homologues européens.
La France travaille actuellement sur son projet de loi de transposition avec des premières orientations déjà publiées par l’ANSSI. Bien que de nombreuses inconnues subsistent sur la manière dont NIS2 sera mis en œuvre en France, les organisations doivent commencer à prendre des mesures pour renforcer leur cyber-résilience.
Le rôle de NIS2
Tout comme la réglementation DORA, NIS2 est le signal d’un changement plus important dans le domaine de la cybersécurité. Il donne la priorité à la cyber-résilience et à la capacité des organisations à poursuivre leurs activités en cas d’attaque.
Les auteurs de ransomwares ciblent délibérément des opérateurs de services essentiels pour avoir le plus de chances de toucher une rançon. L’année dernière, nous avons assisté à d’innombrables incidents de cybersécurité dans des secteurs tels que l’énergie, l’eau et les transports, qui ont causé d’énormes pertes financières, ainsi que des dommages potentiels considérables à l’économie, à l’infrastructure sous-jacente et à la sécurité du public. En 2023, les groupes de ransomware ont continué à paralyser les administrations françaises, avec des attaques recensées à travers tout le territoire (hôpitaux, mairies, départements, …)
Mais si la directive NIS2 est essentielle pour renforcer les défenses d’une entité nationale, elle impose également aux fournisseurs d’infrastructures critiques un nouveau défi en matière de conformité. Les équipes en sous-effectif, qui s’efforcent de trouver un équilibre entre la transformation et la menace croissante des acteurs malveillants et des États-nations, doivent trouver des moyens efficaces d’assurer la conformité tout en maintenant la disponibilité des services essentiels.
Un récent rapport de l’Agence européenne pour la cybersécurité (ENISA) sur les investissements en matière de cybersécurité démontre que les budgets consacrés à la cybersécurité par les opérateurs d’infrastructures critiques dans l’UE augmentent à un rythme bien inférieur au coût des incidents de cybersécurité. Par conséquent, les organisations doivent donner la priorité aux investissements qui peuvent répondre aux multiples exigences de la directive, tout en fournissant des résultats mesurables à l’entreprise en termes de réduction des risques et de cyber-résilience.
Quel sera l’impact de NIS2 sur les organisations ?
Pour se préparer au mieux à NIS2, il faut d’abord comprendre son impact. La directive vise à harmoniser les exigences entre les États membres en établissant des règles spécifiques. Contrairement à NIS1, elle fixe des exigences minimales que les régulateurs nationaux doivent adopter dans des domaines tels que l’analyse des risques et les politiques de sécurité des systèmes d’information, le traitement des incidents, la continuité des activités et la gestion des crises, la sécurité de la supply chain, des réseaux et des systèmes, la cyber-hygiène, le contrôle d’accès et la gestion des actifs.
L’impact le plus important de NIS2 concerne probablement les organisations qui ne faisaient pas partie du champ d’application de NIS1 à l’origine. Cela peut sembler inquiétant, mais les recherches de l’ENISA montrent que le budget moyen pour se conformer au NIS1 correspond à des projets d’une durée de 14 à 18 mois.
La meilleure façon de se préparer au NIS2 est sans doute de faire le contraire. En d’autres termes, il ne faut pas se focaliser sur la conformité en tant que telle, mais sur l’objectif – atteindre la résilience. Une approche de la sécurité basée sur la conformité implique de faire le minimum, mais le problème est que le minimum n’est suffisant que pour un temps limité. Les environnements informatiques sont complexes et les menaces sophistiquées, nous avons besoin d’un changement plus important dans les stratégies de sécurité pour conduire un changement significatif à long terme.
Renforcer la résilience grâce au Zero Trust
L’un des meilleurs moyens pour parvenir à la cyber-résilience est d’adopter des stratégies de sécurité modernes et fondées sur les risques, comme le Zero Trust, une stratégie préconisée par l’ANSSI. À la base, le modèle de sécurité Zero Trust est un changement de paradigme par rapport au modèle de sécurité traditionnel basé sur la confiance. Il suppose une confiance inhérente nulle, à la fois interne et externe, et s’éloigne des modèles de sécurité statiques fondés sur le périmètre du passé pour adopter des approches dynamiques basées sur les actifs, plus adaptées aux environnements modernes.
Le Zero Trust facilite également une évolution indispensable vers l’endiguement des brèches. Pour parvenir à la résilience, il ne faut plus essayer d’arrêter toutes les attaques, mais accepter que des brèches se produisent et veiller à ce que, lorsqu’elles se produisent, les attaques soient rapidement contenues et incapables d’atteindre les ressources et les systèmes critiques. Cela signifie qu’il faut identifier, cartographier et sécuriser les ressources en fonction des risques, segmenter les actifs de grande valeur et permettre des communications vérifiées.
Il s’agit également d’une approche beaucoup plus simple, car les organisations n’ont qu’à définir les quelques éléments autorisés sur le réseau, par opposition aux milliers d’éléments qui doivent être stoppés.
En réalité, une législation telle que NIS2, bien que bienvenue, ne permettra jamais d’apporter rapidement des changements significatifs en matière de cybersécurité. Les progrès sont lents et progressifs, alors que les attaques sont de plus en plus répandues et graves.
Chaque organisation doit prendre des mesures proactives pour renforcer sa résilience, indépendamment des exigences réglementaires.
____________________________
Par Hervé Liotaud, Directeur régional des ventes Europe du Sud chez Illumio
puis