5 bonnes raisons de se préparer dès maintenant à la directive NIS2 - Première partie : Les audits prennent du temps
Vous avez sans doute entendu parler de la nouvelle directive NIS2 (Network and Information Security - Sécurité du réseau et des informations) de l'Union européenne. Cette directive entrera en vigueur en octobre 2024. Vous devez vous y préparer, car les amendes et sanctions pour non-conformité seront très lourdes.
Mais vous pensez peut-être qu'octobre 2024 est bien loin de nous, non ? N'en croyez rien.
Après tout, comment savoir si vous avez largement le temps de vous préparer, si vous ne connaissez pas votre niveau actuel de conformité aux réglementations prévues ?
C'est pourquoi, d'ici à octobre 2024, vous devez réaliser un audit de l'état actuel de votre cybersécurité. Plus précisément :
- Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2
- Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement
Dans la seconde partie de cette série, je vous parlerai des trois secteurs dans lesquels il faudra combler les failles révélées par vos audits. Je vous dirai notamment comment :
- Informer la Direction de vos faiblesses en matière de cybersécurité.
- Implémenter correctement de nouvelles mesures organisationnelles et techniques de sécurité.
- Trouver le temps de former tous vos collaborateurs.
1. Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2
La directive NIS2 est une loi sur la cybersécurité applicable à toute l'Union européenne, qui fournit des mesures légales pour booster le niveau global de cybersécurité dans l'UE. Elle modernise le cadre légal existant pour tenir le rythme d'une numérisation croissante et de l'évolution du paysage des menaces de cybersécurité.
La directive étend le champ d'action des règles de cybersécurité à de nouveaux secteurs et entités, pour améliorer la résilience et les capacités de réaction aux incidents des entreprises publiques et privées, des autorités compétentes, et de l'ensemble de l'UE.
La directive NIS2 met en lumière des mesures renforcées d'amélioration de la résilience face aux cyberattaques, pour limiter les vulnérabilités et améliorer la cyberdéfense.
Pour respecter la directive NIS2, vous devez :
- Évaluer l'état de votre cybersécurité, et identifier toutes les failles et faiblesses susceptibles de vous exposer à des cyber-risques.
- Comparer vos stratégies, procédures et contrôles actuels aux exigences de la directive, et noter ce qu'il faut améliorer ou mettre à jour.
- Évaluer votre capacité de réponse aux incidents et vos mécanismes de génération de rapports, pour vous assurer qu'ils s'alignent bien sur les normes de la directive.
L'un des principaux problèmes de la NIS2 est qu'elle vous dit quoi faire, mais pas comment le faire. Heureusement, de nombreuses structures peuvent vous aider sur ce point, notamment :
En Belgique, le CCB a créé le Cyberfundamentals Framework, qui repose sur plusieurs structures. Il offre des références sur la manière dont les différents éléments de ces structures s'articulent avec le RGPD et la NIS2.
Après avoir choisi une structure, vous devez identifier les différences par rapport à cette structure et aux exigences de la directive. L'identification des faiblesses n'est pas tâche aisée ni rapide. Cela nécessite une analyse complète et systématique de la maturité et de la préparation de votre entreprise en matière de cybersécurité.
Il faut non seulement vérifier votre stratégie et vos règles de cybersécurité, mais aussi analyser les risques pour détecter les actifs les plus critiques et évaluer les risques qu'ils représentent. Ensuite, il faut envisager des contrôles de sécurité pour réduire le score de risque de ces actifs vitaux.
Plus vite vous entamerez la procédure, plus vous aurez de temps pour obtenir le budget nécessaire à la résolution des problèmes et à l'implémentation des changements requis.
Failles possibles dans votre environnement NIS2
Les failles que vous pouvez découvrir dans votre environnement sont les suivantes :
- Absence d'une stratégie complète de cybersécurité couvrant tous les aspects : gestion des risques, réponse aux incidents, continuité des activités, protection des données, etc.
- Absence d'une équipe/personne dédiée à la cybersécurité, qui supervise, coordonne et surveille toutes les activités et tous les projets de cybersécurité dans toute l'entreprise.
- Absence de contrôles ou de mesures de sécurité suffisants pour protéger votre réseau et vos systèmes d'information contre toute tentative d'accès, utilisation, divulgation, modification ou destruction non autorisée.
- Absence de tests ou d'audits réguliers de vos contrôles ou mesures de sécurité, pour garantir leur efficacité et leur conformité aux exigences de la directive.
- Absence de programmes de formation ou de sensibilisation appropriés pour votre personnel, vos dirigeants, et vos autres collaborateurs ou parties prenantes concernant les problèmes et les meilleurs pratiques de cybersécurité.
- Absence de canaux de communication ou de création de rapports clairs pour informer les autorités ou les parties compétentes de tout incident ou violation affectant vos services.
Solutions de sécurité potentielles pour que votre environnement soit conforme à la NIS2
Pour identifier et corriger ces failles de sécurité, vous pouvez :
- Exécuter des structures ou des modèles d'analyse des faiblesses, qui vous aident à comparer votre état actuel avec celui que vous voulez atteindre, et à identifier les points à améliorer.
- Implémenter des modèles ou des normes de maturité en matière de cybersécurité, qui vous aident à mesurer votre niveau de performances et vos progrès dans la cybersécurité.
- Lancer une évaluation des risques pour identifier vos actifs, les menaces, les vulnérabilités, leur impact et la probabilité de cyberattaques.
- Demander des audits ou des évaluations externes pour vérifier votre état de conformité, et identifier les éventuels points faibles ou manques.
2. Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement, pour avoir le temps de coordonner vos actions avec vos fournisseurs
La directive NIS2 comporte aussi de nouvelles dispositions concernant la sécurité de la chaîne d'approvisionnement (chapitre 0, points 54, 56). Elle reconnaît ainsi que les cybermenaces peuvent provenir de tiers (fournisseurs ou de sous-traitants).
La directive impose aux entreprises de s'assurer que leurs fournisseurs appliquent les normes et pratiques de sécurité appropriées (article 21-2d), et qu'ils surveillent régulièrement leurs performances et leur conformité (article 21–3).
Il y a une bonne raison à cela. Les attaques visant la chaîne d'approvisionnement se multiplient :
Une enquête BlackBerry auprès de plus de 1 500 décideurs IT, en 2022, révèle que 4/5 des personnes interrogées disent avoir été averties d'une attaque ou d'une vulnérabilité dans leur chaîne d'approvisionnement cette année. 77 % disent avoir découvert des acteurs masqués dans leur chaîne d'approvisionnement logicielle, dont ils ne connaissaient pas la présence jusque-là.
Une enquête Accenture révèle également que 40 % des violations de sécurité sont indirectes et passent par la chaîne d'approvisionnement.
Par conséquent, il est essentiel de sécuriser votre chaîne d'approvisionnement, pour garantir la continuité des activités, la résilience, votre réputation et la confiance.
Pourtant, le rapport Ivanti « Press Reset: A 2023 Cybersecurity Status Report » (Appuyons sur Reset : Rapport sur l'état de la cybersécurité en 2023) montre que seulement 42 % des plus de 1 300 dirigeants exécutifs et professionnels de la sécurité interrogés disent être préparés à se protéger des menaces visant la chaîne d'approvisionnement, alors même que 46 % considèrent qu'il s'agit d'une menace de haut niveau.
Les menaces visant la chaîne d'approvisionnement passent non seulement par des fournisseurs de solutions comme Okta, Kaseya ou SolarWinds, mais également par des partenaires, soit directement connectés à votre infrastructure IT, soit autorisés à s'y connecter.
Et n'oubliez pas les attaques visant vos fournisseurs de ressources, qui peuvent les paralyser et les empêcher de fournir les ressources dont vous avez besoin pour vos propres opérations. Vous devez vous y préparer et disposer de fournisseurs de secours, capables de vous procurer ces ressources si votre fournisseur principal est hors jeu en raison d'une cyberattaque ou d'un autre événement.
La sécurité de la chaîne d'approvisionnement est un défi complexe et difficile, qui implique plusieurs acteurs, dépendances et interconnexions... et vous n'y arriverez pas en un jour.
Il vous faut :
- Mettre en place des canaux clairs et transparents de communication avec vos fournisseurs, et définir vos attentes et vos obligations en matière de cybersécurité.
- Exécuter des évaluations et des audits réguliers des pratiques de sécurité de vos fournisseurs, et vérifier qu'elles répondent aux exigences de la directive.
- Établir un plan d'urgence et trouver des solutions de secours, en cas de perturbation ou de compromission de votre chaîne d'approvisionnement.
En outre, vous devez contacter vos fournisseurs dès que possible et travailler avec eux pour vous assurer que votre chaîne d'approvisionnement est sécurisée et résiliente.
Difficultés de la NIS2 pour la chaîne d'approvisionnement
Les difficultés que vous pouvez rencontrer lors de la sécurisation de votre chaîne d'approvisionnement sont notamment les suivantes :
- Manque de visibilité ou de transparence des pratiques, stratégies ou incidents de sécurité de vos fournisseurs.
- Manque de confiance ou de coopération entre vos fournisseurs, ou entre vous et vos fournisseurs.
- Manque de cohérence ou d'alignement des normes, exigences ou besoins de sécurité tout au long de votre chaîne d'approvisionnement.
- Manque de ressources ou de capacités pour surveiller, auditer ou vérifier les performances ou la conformité de vos fournisseurs en matière de sécurité.
- Absence de plan d'urgence ou de solutions de secours pour atténuer les éventuelles perturbations ou compromissions de votre chaîne d'approvisionnement, et pour vous en remettre.
- Manque d'informations sur ce que vous attendez des pratiques de sécurité de vos fournisseurs.
Solutions de sécurité de la chaîne d'approvisionnement pour la NIS2
Pour relever ces défis liés à la sécurité de la chaîne d'approvisionnement, vous pouvez :
- Signer des contrats ou des accords très clairs avec vos fournisseurs, qui précisent leurs obligations et responsabilités de sécurité.
- Développer des critères, consignes ou structures de sécurité communs, applicables à tous les fournisseurs de votre chaîne d'approvisionnement et alignés sur les exigences de la directive.
- Implémenter des contrôles, mesures ou outils de sécurité vous permettant de suivre, surveiller ou vérifier les activités, incidents ou états de conformité de vos fournisseurs en matière de sécurité.
- Créer des équipes, comités ou forums de sécurité conjoints, pour faciliter le partage d'informations, la collaboration et la coordination entre vos fournisseurs, et entre vous et vos fournisseurs.
- Nourrir la confiance et la compréhension mutuelle entre vous et vos fournisseurs, grâce à des communications, une reconnaissance et des retours d'informations réguliers.
Bon, vos audits pour la directive NIS2 sont terminés. Et ensuite ?
Maintenant que vous connaissez votre position actuelle par rapport à la directive NIS2, il est temps d'implémenter des changements critiques pour garantir votre conformité d'ici octobre 2024. Je ne doute pas que le traitement des faiblesses identifiées par vos audits va vous prendre tout le temps qu'il vous reste (voire même plus !) avant que ces dispositions prennent officiellement effet dans votre pays.
Mais comment traiter systématiquement ces faiblesses en temps voulu ? Notre prochain billet de blog présente les trois domaines de changements de sécurité indispensables pour la NIS2 , et vous verrez comment :
- Informer la Direction de vos faiblesses en matière de cybersécurité.
- Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité.
- Trouver le temps de former tous vos collaborateurs.