Jan De Bondt

En bon père de famille, n’attendez pas la nouvelle directive NIS2

Jan De Bondt Jan De Bondt est responsable des Cybersecurity Advisory Services chez Orange Cyberdefense

Vous pouvez déjà adopter les mesures suivantes pour éviter les sanctions, écrit Jan De Bondt, responsable des Cybersecurity Advisory Services chez Orange Cyberdefense

Le 17 octobre 2024, tous les États membres de l’UE devront avoir transposé la nouvelle directive NIS 2 dans leur législation. En Belgique, plus de deux mille entreprises (et peut-être plus) doivent se préparer à respecter des conditions strictes en matière de cybersécurité. Si la mise en œuvre intégrale de cette directive promet d’être difficile, le sujet ne devrait toutefois plus faire débat au niveau des entreprises. Il est regrettable de devoir associer des sanctions à la cybersécurité, alors qu’elle devrait faire partie intégrante d’une bonne gestion dans toute organisation.

La directive NIS 2 succède au premier cadre NIS entré en vigueur en 2019. Il s’agit de la petite sœur technique du RGPD qui a imposé des règles en matière de respect de la vie privée aux organisations européennes. Mais alors que le RGPD a été largement médiatisé, entre autre par le biais d’une foule de campagnes de communication, en ce qui concerne la directive NIS, les entreprises restent beaucoup plus dans le flou. La législation initiale visait un nombre restreint d’opérateurs de services essentiels, tels que le secteur financier. Cependant, après son entrée en vigueur, le législateur a très rapidement compris qu’une telle réglementation devait avoir un impact beaucoup plus large.

Et cette première initiative NIS s’est heurtée à bien d’autres obstacles. Les États membres ont ainsi joui d’une liberté extrêmement grande dans l’interprétation des directives et leur transposition dans leur législation. À l’époque, la Belgique a estimé qu’il n’était pas nécessaire pour les hôpitaux de satisfaire à cette réglementation. Mais comme les établissements de soins constituent de toute évidence des prestataires de services essentiels et sont de plus en plus souvent la cible des cybercriminels, ils ne pourront heureusement plus se soustraire à la directive NIS 2.
Qui est visé par la directive NIS 2 ?
L’explosion du nombre de cyberattaques et l’impact de tels incidents sur la société ont clairement montré la nécessité d’une mise à niveau de la directive NIS. À la fin de l’année dernière, la ville d’Anvers a encore été victime d’une attaque par ransomware. L’objectif de la directive NIS 2 est d’accroître la résilience des organisations face aux cyberattaques susceptibles de paralyser l’ensemble de leurs activités. Et aucune entreprise ne peut s’opposer à ce principe.

Il ne faut donc pas s’étonner que de très nombreux secteurs et entreprises supplémentaires soient visés par la directive NIS 2. Toute entité impliquée dans les services IT gérés et les services de sécurité IT gérés devra respecter la directive. Par exemple, si vous faites partie d’une équipe SOC qui tente de détecter des cyberattaques chez des clients, vous fournissez un service relativement essentiel et il est évidemment normal que vous preniez vous aussi les mesures adéquates. Le secteur du traitement des eaux usées est un autre nouveau venu. L’eau potable faisait quant à elle déjà partie des secteurs visés par la première directive NIS. Et depuis la crise sanitaire, nous savons à quel point les services de fret et d’expédition peuvent aussi se révéler importants.

Des règles distinctes s’appliquent par ailleurs aux acteurs qui fournissent des services importants, comme l’industrie chimique, tous les acteurs de la transformation des aliments, les fournisseurs numériques, la fabrication, etc. Et la chaîne d’approvisionnement est également davantage mise en avant. Après tout, les entreprises visées par la directive NIS 2 peuvent attendre de leurs fournisseurs qu’ils adoptent eux aussi certaines mesures de cybersécurité.

De l’interdiction d’exercer leur fonction à la peine de prison pour les administrateurs

La directive NIS 2 a fait l’objet d’une réflexion poussée et devrait dès lors constituer une meilleure base pour un cadre législatif. Par rapport à la version précédente, le champ d’action est plus étendu dans le cadre du contrôle du respect des règles. Les entreprises sont soumises à une obligation de déclaration après un incident et doivent apporter la preuve qu’elles ont tout mis en œuvre pour éviter l’attaque. Il est également possible de faire proactivement appel à des experts externes en cybersécurité afin qu’ils effectuent des audits, de manière à ce que la responsabilité ne repose pas intégralement sur les épaules d’une seule partie – en Belgique, il s’agira du CCB (Centre pour la Cybersécurité Belgique).

Le CCB doit encore résoudre un certain nombre de questions difficiles avant l’introduction officielle de la directive NIS 2. Mais il est déjà clair que tout le monde devra s’adapter. Les sanctions ne seront pas minimes. Dans le cadre de la directive NIS 1, toujours applicable à l’heure actuelle, les administrateurs risquent jusqu’à deux ans d’emprisonnement en cas de pratiques irresponsables. Et il ne faut évidemment pas sous-estimer non plus les amendes en cas d’infraction. Celles-ci peuvent grimper jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial (le montant le plus élevé est pris en compte).

Comment se préparer à la directive NIS 2 ?

N’attendez surtout pas octobre 2024 pour prendre des mesures en matière de cybersécurité. D’une part parce qu’il en va de votre intérêt, et d’autre part parce qu’il sera de plus en plus difficile de faire appel à des professionnels externes. Le marché de l’emploi étant déjà fortement sous pression, la nouvelle directive ne fera qu’accentuer l’inadéquation entre l’offre et la demande.

Heureusement, il n’est pas nécessairement difficile d’adopter une bonne cyberhygiène. Commencez petit et élargissez progressivement votre politique de sécurité, comme une tache d’huile. Voici quelques aspects auxquels vous pouvez d’ores et déjà réfléchir :

Gestion des incidents : assurez-vous que vous êtes en mesure de détecter un incident ou une anomalie et que vous connaissez la marche à suivre dans ce contexte. Dans de nombreuses organisations, il n’existe aucune procédure ou personne ne les connaît.

Notification des incidents : assurez-vous de pouvoir conserver et transmettre correctement les preuves aux autorités responsables après un incident.

Continuité des activités : pour prendre les bonnes mesures, vous devez pouvoir évaluer l’impact des incidents sur le fonctionnement de l’entreprise. Dans quelle mesure l’interruption d’un processus est-elle dangereuse ? Et combien de temps pouvez-vous tenir avant que vos activités et les utilisateurs n’en pâtissent ? Sur la base de ces informations, vous pouvez prendre des décisions adaptées à votre entreprise en ce qui concerne la reprise après sinistre et la sauvegarde.

Gestion des actifs : vous pouvez difficilement protéger ce que vous ne connaissez pas. Dressez la liste du matériel utilisé dans votre organisation. Dans les environnements industriels, tenez également compte de la technologie opérationnelle.

Contrôle des accès : qui a accès à quel système ou à quelles données ? Vous devez identifier et surveiller ces éléments avec soin, en particulier si vous travaillez avec des parties externes.

Sensibilisation à la sécurité : le plus grand risque se situe entre le clavier et l’écran. Prévoyez dès lors un programme de formation qui sensibilise votre personnel, cadres supérieurs compris, aux dangers afin qu’ils puissent contribuer activement à renforcer la résilience de l’organisation.

Tous ces éléments n’ont toutefois rien de sorcier et devraient déjà être ancrés dans les habitudes de toute organisation. Et si vous vous y prenez bien, vous serez sur la bonne voie pour vous conformer à la nouvelle directive NIS 2.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire