La directive NIS2 constitue une avancée majeure dans le renforcement de nos infrastructures critiques

La nouvelle directive de sécurité NIS2 entrera bientôt en vigueur. Cette nouvelle directive européenne renforce les exigences en matière de cybersécurité pour les moyennes et grandes organisations européennes des secteurs vitaux, tels que le secteur de l’énergie. Le gouvernement Belge a jusqu’à octobre 2024 pour mettre en œuvre la directive. Une attention particulière sera donc accordée à l’application et au suivi de la mise en œuvre de la directive NIS2 dans les mois à venir. Des autorités compétentes seront désignées pour en assurer l’application. Ces instances seront à même d’effectuer des inspections à tout moment pour vérifier que les organisations se conforment à la directive NIS2.

Elle exige des organisations des secteurs vitaux qu’elles mettent en place diverses mesures de sécurité, telles que la réponse aux incidents 24 heures sur 24 et 7 jours sur 7, l’hygiène informatique de base, la formation des employés, la cryptographie et la gestion de l’accès. Les organisations sont en outre tenues pour responsables de la négligence de leurs fournisseurs directs et les directeurs peuvent même voir leur responsabilité personnelle engagée. Il s’agit d’un changement important par rapport aux dispositions du RGPD.

Les API représentent un risque croissant

La directive NIS2 ne sort pas de nulle part ; la vague croissante de cyberattaques a suscité des inquiétudes quant à la sécurité des infrastructures critiques. Une étude récente du NCTV montre également que les entreprises du secteur de l’énergie sont de plus en plus souvent victimes de cyberattaques. Ces dernières années, le CCB a également lancé plusieurs projets visant à renforcer la cybersécurité de secteurs vitaux, en autre, le secteur de l’énergie. De nombreuses organisations dotées d’infrastructures vitales, telles que les entreprises du secteur de l’énergie, sont donc affairées à mettre de l’ordre dans leur sécurité.

Beaucoup d’entre elles ne réalisent toutefois pas qu’elles doivent également sécuriser leurs API conformément à la directive NIS2. C’est inquiétant car, selon Gartner, les attaques d’API seront bientôt les plus répandues. On estime que 40 % des applications basées sur le web feront l’objet de cyberattaques. De plus, selon une étude de Salt Security, plus d’un tiers des organisations n’ont pas encore de stratégie de sécurité pour les API. Cette situation est préoccupante, car les API jouent un rôle crucial dans de nombreuses entreprises. Dans le secteur de l’énergie en particulier, elles sont devenues indispensables. Cependant, la plupart des entreprises du secteur de l’énergie ne sécurisent pas leurs API, à l’exception de quelques précurseurs, comme la compagnie australienne de gaz et d’électricité Jemena.

Le secteur de l’énergie est vulnérable

Les entreprises du secteur de l’énergie, par exemple, utilisent des API pour collecter et partager des données sur la production, la distribution et la consommation d’énergie. Malheureusement, ceci permet également aux pirates d’accéder à des informations sensibles, telles que les données des clients, les données financières et les détails opérationnels. La perte de ces données peut avoir de graves conséquences, allant du gain financier à des activités d’espionnage qui perturbent les opérations commerciales

Les API sont en outre couramment utilisées pour gérer l’approvisionnement en énergie, par exemple pour programmer la production d’énergie, gérer les programmes de réponse à la demande et faciliter le commerce de l’énergie. En lançant des cyberattaques sur les API, les cybercriminels peuvent, par exemple, paralyser la livraison d’énergie, perturber les plateformes d’échange d’énergie et interrompre la communication entre les différents acteurs du marché de l’énergie. Cette situation peut déstabiliser les réseaux énergétiques, fausser les prix et avoir un impact majeur sur l’approvisionnement en énergie des utilisateurs finaux.

Les cyberattaques contre les API présentent un risque supplémentaire, à savoir celui d’un effet domino. Les API font souvent partie d’un écosystème plus large de systèmes et de services qui communiquent entre eux. Lorsqu’une API du système électrique est compromise, il peut en résulter des attaques de la chaîne d’approvisionnement, ce qui rend d’autres systèmes et API vulnérables. Une telle réaction en chaîne peut provoquer des perturbations à grande échelle dans le secteur de l’énergie, impliquant plusieurs entreprises et infrastructures.

La protection des API nécessite une approche spécifique qui tient compte des considérations de sécurité propres à l’environnement actuel. Il s’agit notamment d’identifier les risques, d’établir des politiques de sécurité et de disposer d’une vue d’ensemble actualisée de toutes les API utilisées. En outre, il est essentiel de comprendre les données échangées via les API. Les organisations doivent veiller à disposer de politiques, d’une documentation et de technologies adéquates pour la gestion, la surveillance et la vérification des API.

Il est essentiel de garantir la sécurité des API au moment de leur exécution. En surveillant les API, les entreprises ont une meilleure idée du comportement normal des API et peuvent rapidement identifier les abus potentiels. L’identification des vulnérabilités nécessite une approche spécifique car chaque API est unique. La sécurité au moment de l’exécution est nécessaire pour détecter le comportement lent et ciblé des cybercriminels qui recherchent les vulnérabilités des API et d’autres failles. Une sécurité proactive est également essentielle. Les enseignements tirés des tests effectués lors de la phase de pré-production et de l’exécution aident les développeurs à renforcer leurs API. Toutefois, il ne suffit pas de se fier uniquement à des tactiques de sécurité précoces.

Une nouvelle ère

Avec la directive NIS2, nous entrons dans une nouvelle ère de sécurité proactive. Il est clair que la directive NIS2 constitue une étape importante dans le renforcement de nos infrastructures critiques. Les organisations, telles que les entreprises du secteur de l’énergie, sont encouragées, grâce à la directive, à mieux se préparer aux cyberattaques, à effectuer des évaluations complètes des risques, à sensibiliser leurs employés aux cybermenaces et à mettre en œuvre des solutions solides. La sécurité des API en est un élément essentiel. Il est donc important que les organisations prennent cette directive au sérieux et se préparent minutieusement. Ce n’est qu’ainsi que nous pourrons garantir un avenir numérique sûr, où l’approvisionnement en énergie reste fiable et où les infrastructures critiques sont protégées contre les cyberattaques.