L’introduction de NIS2 par l’UE offre une chance de renforcer la cybersécurité de votre entreprise. La directive met l’accent sur la responsabilité individuelle, prévoit des obligations strictes de déclaration et promeut une approche proactive des cybermenaces.
Ce marathon commencera le 17 octobre et les entreprises auront quatre ans pour répondre aux exigences et effectuer un premier audit. Mettez-vous-y à temps, entourez-vous d’experts et veillez à la bonne mise en œuvre des mesures de sécurité. Vous poserez ainsi de solides bases pour l’avenir.
« NIS2 offre l’opportunité de rendre votre entreprise plus résistante aux défis croissants en matière de sécurité, notamment en raison de la forte dépendance envers toutes sortes d’outils numériques, comme O365. Un bon point de départ est ici essentiel. Tout commence par un audit approfondi de différents domaines au sein de l’organisation pour évaluer précisément les risques. Vu la complexité de la tâche, il peut être judicieux de faire appel à un expert d’une entreprise de cybersécurité comme Check Point, qui a l’expérience de la prévention et la gestion des risques, affirme Peter Sandkuijl, VP Engineering EMEA chez Check Point. « On peut supposer que les exigences minimales comprennent des technologies de pare-feu et de prévention des intrusions dans le réseau, suffisamment de protection des terminaux, la mise en œuvre de l’authentification multifacteur, le cryptage des données et la restriction des accès, ainsi que d’autres bonnes pratiques. »
Les étapes suivantes sont aussi fondamentales :
1. Sensibilisation : les managers doivent collaborer étroitement avec les experts en sécurité, recevoir des updates réguliers et donner des instructions bien informées.
2. Personnel : un département informatique résilient, répondant aux normes de NIS2, est crucial. Outre le CISO, un Data Protection Officer (DPO) doit être désigné pour contrôler la protection des données. Les responsabilités sont ainsi efficacement partagées.
3. Audit : réalisez des analyses critiques pour évaluer les risques, introduisez les adaptations requises et faites effectuer des audits par des experts.
4. Réaction en cas d’incident : en cas d’incident, les partenaires, fournisseurs, clients et autorités nationales doivent être informés au plus vite. NIS2 exige une première notification dans les 24 h, un rapport détaillé dans les 72 h et un rapport final un mois après la première notification.
« NIS2 n’est ni un remède miracle ni une simple check-list. Elle demande une analyse approfondie de la situation, l’élaboration d’un plan par étapes assorti d’échéances et objectifs clairs, ainsi que la prise de responsabilités. Ce processus influencera toute l’organisation et pourrait avoir un impact majeur sur la culture d’entreprise, les budgets et le recrutement. Les organisations doivent réaliser que le processus et la technologie sont aussi importants. La sensibilisation, de même que des processus documentés et éprouvés sont essentiels. Des entreprises de cybersécurité comme Check Point peuvent jouer un rôle clé en tant que conseillers, en se concentrant sur la valeur et les intérêts du client », conclut Peter.