NIS2 à l’intention des dirigeants : la sécurité informatique étape par étape
août 2024 par Marco Eggerling, CISO chez Check Point Software
Depuis le mois de décembre 2022, on sait que plus de 160 000 entreprises en Europe doivent renforcer leur sécurité informatique. Pour y parvenir, il faut investir, mais il faut investir à bon escient. Le cadre juridique est clair : dès octobre 2024, les projets de textes antérieurs seront transformés en lois et la directive NIS2 sera intégrée aux législations nationales. Les entreprises qui auront répondu aux critères d’ici là mais qui ne seront pas conformes s’exposent à des sanctions administratives élevées, comparables à celles prévues dans le cadre du RGPD.
Depuis l’introduction du RGPD en 2015, l’Europe a instauré des sanctions pour les violations de la sécurité informatique non déclarées ou déclarées tardivement. Elles ont depuis été renforcées, de sorte à ce que les infractions graves puissent être sanctionnées par des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global. NIS2 va encore plus loin. En cas de faute avérée, la responsabilité des dirigeants de l’entreprise, appelés « organes de direction » dans NIS2, peut être engagée.
La directive NIS2 exige que la direction de l’entreprise valide les mesures de gestion des risques liés à la cybersécurité et en supervise la mise en œuvre au sein de l’organisation. La direction doit également s’assurer d’informer les partenaires, fournisseurs et clients concernés, ainsi que les autorités nationales compétentes en cas d’attaque réussie. Pour s’acquitter de ces obligations, ses dirigeants doivent participer régulièrement à des formations en cybersécurité pour être en mesure d’identifier et d’évaluer les cyber risques et les solutions de cybersécurité. En cas de non-respect avéré de cette obligation, ils peuvent être tenus personnellement responsables d’avoir manqué à leur devoir de diligence. Cette réalité a déjà donné lieu à de nombreuses discussions. Le texte stipule clairement que la direction peut être démise de ses fonctions administratives tant que les manquements à NIS2 n’ont pas été rectifiés au sein de l’entreprise.
Les dirigeants peuvent dès aujourd’hui préparer leur entreprise et se protéger contre les sanctions et les débats sur la responsabilité. NIS2 prévoit dix exigences qui peuvent être mises en œuvre avant le mois d’octobre grâce à diverses mesures organisationnelles et techniques. Mais compte tenu de l’imprécision de la situation juridique actuelle, il est difficile de déterminer les mesures exactes nécessaires pour l’entreprise concernée.
La directive NIS2 établit un cadre uniforme pour les mesures de cybersécurité à travers toute l’Europe. Jusqu’à présent, les experts en sécurité de l’information s’appuyaient principalement sur des normes internationales telles que celles du NIST, les contrôles CIS Controls, la norme ISO 27001 ainsi que la protection de base de l’informatique du BSI et bien d’autres. Ces normes ont pour but de réduire sensiblement les risques liés à la cybercriminalité. Pour que cette initiative soit couronnée de succès, il faut absolument que les responsables de la sécurité de l’information, tout comme les dirigeants des entreprises et des institutions concernées, participent activement à la mise en œuvre et au maintien de la conformité de leurs systèmes informatiques à NIS2.
Les dirigeants doivent réfléchir aux quatre points suivants. Ils les aideront à mieux appréhender la question et leur permettront de prendre les mesures qui s’imposent :
la sensibilisation : les managers doivent avoir une compréhension approfondie de la cybersécurité pour pouvoir communiquer avec leurs experts en sécurité de l’information, être bien informés et pouvoir leur donner des instructions argumentées.
les collaborateurs : mettre en place un service de sécurité de l’information dynamique, capable de répondre aux exigences strictes de la directive NIS2. Il sera essentiel de nommer un Délégué à la Protection des Données (DPD) en plus du Responsable de la Sécurité des Systèmes d’Information (RSSI) pour assurer la sécurité des données. Il faut veiller à ne pas confier les deux postes à une seule personne, mais à répartir les responsabilités entre les deux rôles.
l’audit : s’assurer que les différents services font l’objet d’un examen et d’une analyse critiques en fonction de l’évaluation des risques et soient conformes aux exigences de la directive NIS2.
la réponse aux incidents : dernier point mais non des moindres, les managers doivent également garantir que toutes les précautions sont prises en cas de cyberattaque réussie contre l’entreprise ou l’installation. Les partenaires, les fournisseurs et les clients, ainsi que les autorités nationales compétentes devront alors être informés le plus rapidement possible. Les délais de signalement des incidents incluent une alerte rapide à envoyer aux autorités dans les 24 heures suivant la découverte de l’incident, un rapport détaillé et formel dans les 72 heures, ainsi qu’un rapport final un mois après la soumission du rapport initial.
La transition vers la conformité à la directive NIS2 en matière de cybersécurité ne peut réussir que si la direction et la personne en charge de la sécurité de l’information collaborent étroitement. Le projet est loin d’être simple, on ne parle pas d’une affaire de quelques semaines ou de quelques mois. La mise en conformité avec la directive NIS2 est un projet continu et de longue haleine. À compter de 2028, les entreprises devront justifier chaque année de la conformité de leur infrastructure informatique à la norme NIS2. Elles devront démontrer qu’elles ont pris « les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques ». Après la mise en œuvre de la directive NSI2, elles devront intégrer les exigences de la loi européenne sur la cyber-résilience (CRA). En septembre 2022, la Commission européenne a publié une nouvelle directive pour améliorer la cybersécurité et la résilience face aux cyberattaques dans l’UE. La loi sur la cyberrésilience (CRA) vise à imposer des normes communes de cybersécurité pour les produits concernant des éléments numériques, telles que la déclaration obligatoire des incidents et les mises à jour de sécurité. Une chose est sûre, la cybersécurité ne se construit pas du jour au lendemain. C’est un processus comparable à une course de fond et non à un sprint.