5 bonnes raisons de se préparer dès maintenant à la directive NIS2 - Seconde partie : L'implémentation prend du temps
Dans le billet de blog précédent, je vous ai parlé des deux principaux éléments à auditer avant la ratification de la mise à jour de la directive Network and Information Security (NIS2) de l'Union européenne, en octobre 2024. Pour être précis, ces audits doivent :
Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2.
Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement.
Maintenant que nous connaissons ces failles de sécurité, il faut les corriger... et ce, avant que le délai s'écoule, soit avant octobre 2024.
C'est pourquoi, dans ce billet, je vais vous guider pour vous aider à résoudre vos problèmes de sécurité les plus criants avant la date butoir d'entrée en vigueur de la NIS2. Cela passe par trois points essentiels :
- Informer la Direction de vos faiblesses en matière de cybersécurité
- Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité
- Trouver le temps de former tous vos collaborateurs
1. Informer la Direction de vos faiblesses... et obtenir le budget nécessaire pour les corriger
La directive NIS2 fixe des obligations importantes pour les entreprises qui relèvent de son champ d'application, ce qui peut entraîner des coûts et des ressources considérables. La directive prévoit aussi de lourdes amendes et sanctions en cas de non-conformité, jusqu'à un maximum de 10 millions d'euros ou 2 % du chiffre d'affaires annuel global de l'entreprise (Article 34).
De plus, la nouvelle directive peut étendre la responsabilité des entités aux personnes qui les représentent, dans certaines situations. Et surtout, si certaines conditions sont remplies, des personnes occupant des postes de Direction pourraient être temporairement suspendues (Article 32-5b).
Par conséquent, le respect de la directive NIS2 est une nécessité légale et une priorité stratégique.
Pour être conforme, vous devez :
- Informer votre Direction de ses implications et de ses avantages, et la convaincre de vous allouer un budget et des ressources suffisants pour vous mettre en conformité.
- Présenter une analyse commerciale claire, montrant le danger de la non-conformité, les opportunités de mise en conformité et le retour sur investissement.
- Montrez comment la mise en conformité va améliorer la réputation de votre entreprise, la confiance qu'elle inspire, sa compétitivité et sa résilience.
Informer la Direction et obtenir le budget voulu n'est pas simple. Cela nécessite une argumentation persuasive et étayée de preuves, mettant en évidence la valeur de la cybersécurité pour votre entreprise.
Plus tôt vous entamerez le processus, plus vous aurez de temps pour gagner l'adhésion et le soutien de la Direction.
Avantages possibles de la conformité à la NIS2 pour une entreprise
Voici les avantages potentiels que vous pouvez mettre en avant dans votre analyse commerciale :
- Réduction des coûts opérationnels : Vous allez prévenir les cyberattaques ou minimiser leur impact, notamment concernant les coupures de service, les fuites de données, le paiement de rançons, les poursuites judiciaires, etc.
- Augmentation du chiffre d'affaires : Vous allez attirer ou conserver des clients qui valorisent la sécurité, la confidentialité, la qualité, etc.
- Amélioration de l'efficacité : Vous allez rationaliser les processus, booster les performances, limiter les erreurs, etc.
- Innovation : Vous allez adopter de nouvelles technologies, développer de nouveaux produits ou services, créer de nouveaux marchés, etc.
- Application d'autres réglementations ou normes de cybersécurité, en plus de la NIS2 (RGPD, ISO 27001, PCI DSS, entre autres) : Ces cadres normatifs globaux chevauchent souvent le cadre d'exigences de conformité de la NIS2.
Sources potentielles d'informations pour justifier votre analyse commerciale de conformité à la NIS2
Voici des sources que vous pouvez utiliser pour soutenir votre argumentation :
- Statistiques ou chiffres montrant la prévalence, l'impact ou le coût des cyberattaques dans votre secteur ou région.
- Études de cas ou exemples montrant les avantages que d'autres entreprises ont tirés de la mise en conformité avec la directive NIS2 ou des réglementations similaires. Par exemple, le rapport Enisa « NIS Investments 2022 » (Investissements 2022 pour la NIS) montre que, dans 62 % des entreprises ayant implémenté l'ancienne directive NIS, cette implémentation a permis de détecter des incidents de sécurité. Pour 21 % d'entre elles, l'implémentation a facilité la récupération après un incident de sécurité.
- Témoignages ou remontées d'informations de la part de clients, de partenaires, de régulateurs ou d'experts, qui approuvent ou recommandent la mise en conformité avec la directive NIS2 ou d'autres réglementations similaires.
- Bancs de tests ou indicateurs montrant vos performances ou progrès (actuels ou prévus) en matière de cybersécurité par rapport à la directive NIS2 ou à vos concurrents.
- Le document Ivanti « 2023 Cyberstrategy Tool Kit for Internal Buy-In » (Kit d'outils de cyberstratégie 2023 pour l'adhésion en interne) constitue aussi une ressource précieuse. Il décrit le délai de fonctionnalité et le coût, montre comment une solution aide à se protéger de certains types de cyberattaque, et explique comment répondre aux objections les plus courantes.
Avantages généraux de la conformité à la directive NIS2 pour une entreprise
Voici certains des avantages de la mise en conformité avec la directive NIS2 :
- Réduction des coûts opérationnels. Vous allez prévenir les cyberattaques ou minimiser leur impact, notamment concernant les coupures de service, les fuites de données, le paiement de rançons, les poursuites judiciaires, etc. D'après un rapport IBM, le coût moyen d'une fuite de données en 2022 atteignait 4,82 millions de dollars pour les infrastructures critiques, et le délai moyen d'identification et de contention d'une fuite était de 277 jours. Si vous prenez des mesures pour vous mettre en conformité avec la directive NIS2, le temps moyen nécessaire pour identifier et colmater les fuites sera bien plus court, et vous réduirez le coût des attaques.
- Augmentation du chiffre d'affaires. Vous allez attirer ou conserver des clients qui valorisent la sécurité, la confidentialité, la qualité et autres facteurs de ce type. D'après une enquête PwC, 87 % des clients disent qu'ils changeront d'interlocuteur s'ils n'ont pas confiance dans les pratiques d'une entreprise concernant les données. Et 71 % des clients affirment qu'ils arrêteront d'utiliser les produits ou services d'une entreprise s'ils s'aperçoivent qu'elle partage leurs données sans leur permission, ce qui peut se produire en cas de fuite de données.
- Amélioration de l'efficacité. Vous allez rationaliser les processus, booster les performances, limiter les erreurs, etc. Accenture a montré que les entreprises qui adoptent des technologies de sécurité avancées peuvent réduire le coût des cybercrimes de jusqu'à 48 %.
- Application d'autres réglementations ou normes qui exigent une bonne cybersécurité, notamment RGPD, ISO 27001, PCI DSS ou autres. Cisco souligne que 97 % des entreprises qui appliquent le RGPD en tirent des avantages comme l'obtention d'un avantage concurrentiel, l'efficacité opérationnelle et la réduction des délais de vente. On peut sans doute obtenir les mêmes résultats en appliquant la NIS2.
Concernant le budget, la proposition de directive de la Commission européenne (Annexe 7-1.4.3) mentionne que l'on estime que les entreprises entrant dans le champ d'application de la NIS2 auraient besoin d'une augmentation d'un maximum de 22 % de leurs dépenses actuelles en matière de sécurité TIC (Technologies de communication des informations) au cours des premières années suivant l'introduction de la directive NIS2.
Toutefois, la proposition mentionne également que cette augmentation moyenne des coûts de sécurité TIC entraînerait un retour sur investissement proportionnel, notamment en raison d'une réduction considérable du coût des incidents de cybersécurité.
2. Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité
Après avoir identifié les faiblesses et obtenu le budget nécessaire, il est temps d'éliminer ces faiblesses. La directive NIS2 exige que les entreprises mettent en place les mesures organisationnelles et techniques appropriées pour gérer leurs risques de cybersécurité et garantir un niveau élevé de sécurité pour tous leurs réseaux et systèmes d'information.
Ces mesures incluent :
- Adoption de stratégies et de procédures pour la gestion des risques, la réponse aux incidents, la continuité des activités, la protection des données, etc.
- Définition de rôles et de responsabilités pour la gouvernance, la surveillance et la coordination de la cybersécurité, entre autres.
- Mise en place de programmes de formation et de sensibilisation pour le personnel, la Direction, les clients, etc.
- Implémentation d'une cyberhygiène de base : cryptage, authentification (MFA), pare-feux, logiciel antivirus, application des correctifs, accès Zero Trust, et ainsi de suite.
- Exécution régulière de tests, de surveillances d'audits et autres mesures.
L'implémentation de ces mesures organisationnelles et techniques ne se fait pas une fois pour toutes ni de façon statique. Cela nécessite la mise en place d'un processus continu et dynamique, capable de s'adapter à l'évolution des menaces, des technologies, des réglementations et des besoins de l'entreprise.
Ainsi, les conseils que je vous ai donnés pour les autres points abordés sont valables ici aussi : plus tôt vous commencerez, plus vous aurez de temps pour implémenter les mesures nécessaires et vous assurer qu'elles sont efficace.
Je vous conseille d'entamer l'implémentation au plus tard en janvier 2024, pour être prêt avant les vacances d'été.
Étapes suivantes pour la mise en œuvre de la directive NIS2
Voici certaines des étapes que vous pouvez suivre pour implémenter ces mesures organisationnelles et techniques :
- Développement et implémentation d'unprocessus de gestion basée sur les risques définissant les objectifs, le champ d'action, les rôles, les responsabilités, les ressources, les délais et les mesures de gestion de vos risques de cybersécurité.
- Implémentation d'une stratégie de sécurité précisant les principes, consignes, normes et procédures qui vous servent à garantir la sécurité de votre réseau et de vos systèmes d'information.
- Exécution d'une évaluation des risques afin d'identifier les actifs, menaces, vulnérabilités, impacts et probabilités de cyberattaques de votre environnement, et de prioriser vos actions en fonction de votre goût du risque et de votre résistance.
- Implémentation de contrôles de sécurité capables de protéger votre réseau et vos systèmes d'information contre toute tentative d'accès, utilisation, divulgation, modification ou destruction non autorisée. Ces contrôles entrent dans trois catégories : prévention (comme le cryptage), détection (surveillance, par exemple) et correction (comme la sauvegarde).
- Implémentation d'unplan de réponse aux incidents définissant les processus, rôles, responsabilités, ressources, outils et canaux de communication dont vous disposez pour répondre efficacement aux cyberincidents.
- Implémentation d'un plan de continuité des activités définissant les processus, rôles, responsabilités, ressources, outils et canaux de communication dont vous disposez pour maintenir ou restaurer vos processus métier critiques en cas de perturbation ou de sinistre liés à une cyberattaque.
- Implémentation d'un plan de révision et d'amélioration servant à affiner vos processus, rôles, responsabilités, ressources, outils et canaux de communication afin de régulièrement évaluer, signaler et améliorer vos mesures de cybersécurité.
- Implémentation de contrôles techniques pour la gestion des actifs et une cyberhygiène de base.
La définition de la cyberhygiène dans l'Article 21 de la directive est un peu vague, alors nous en parlerons davantage dans un autre billet de blog. Pour l'instant, envisagez des mesures de sécurité de base, notamment :
- MFA.
- Application des correctifs pour vos OS et applications le plus tôt possible.
- Sécurisation des connexions réseau sur les réseaux publics.
- Cryptage de tous les lecteurs (surtout les lecteurs amovibles).
- Gestion des privilèges et éducation de tous les collaborateurs.
- Abonnement à des sources d'informations sur les derniers correctifs et leur niveau de priorité, comme les webinars Patch Tuesday d'Ivanti.
3. Renforcer le maillon faible : trouver le temps de former tous les collaborateurs
La directive NIS2 reconnaît que le facteur humain est essentiel dans la cybersécurité, et que les collaborateurs constituent souvent le maillon faible (mais aussi la première ligne de défense) dans la prévention ou la détection des cyberattaques.
La directive impose aux entreprises de mettre en place des programmes de formation et de sensibilisation à l'attention de leurs collaborateurs, des utilisateurs des services numériques et des autres parties prenantes concernées par les problèmes de cybersécurité.
Former tous vos collaborateurs n'est pas une tâche sporadique ou facultative. Cela nécessite un programme régulier et complet, couvrant notamment les sujets suivants :
- Concepts de base et terminologie de la cybersécurité.
- Cybermenaces et vecteurs d'attaque courants.
- Meilleures pratiques et astuces de cyberhygiène.
- Stratégies et procédures de cybersécurité, présentées de façon pertinente et simplifiée pour les utilisateurs finaux.
- Rôle et responsabilités de chaque utilisateur dans la cybersécurité de l'entreprise.
- Comment signaler les incidents et y répondre.
Il est important de noter que cette formation doit être suivie par tout le monde dans l'entreprise, pas seulement par le personnel IT. Même les dirigeants doivent suivre cette formation.
Une enquête mandatée par Ivanti a montré que de nombreux collaborateurs ne sont même pas au courant qu'une formation à la cybersécurité est obligatoire. 27 % d'entre eux seulement se disent « bien préparés » à reconnaître et à signaler les menaces de type malware et hameçonnage au travail. 6 % d'entre eux se disent « bien préparés » à reconnaître et à signaler les menaces de type malware et hameçonnage au travail.
Dans le rapport Enisa « NIS Investments 2022 » (Investissements 2022 pour la NIS), l'Enisa mentionne que 40 % des OES (Operators of Essential Services - Opérateurs de services essentiels) interrogés n'ont aucun programme de sensibilisation à la sécurité pour le personnel non IT.
Il est important de savoir qui n'a pas encore été formé et d'agir en conséquence. Former tous vos collaborateurs est non seulement bénéfique pour la conformité, mais aussi pour la productivité, la qualité, l'innovation et la satisfaction des clients.
Le meilleur avis que je peux vous donner pour la NIS2
La directive NIS2 est une législation historique qui vise à renforcer la cybersécurité des secteurs critiques dans l'UE. Elle fixe des obligations importantes pour les entreprises qui relèvent de son champ d'application, ainsi que de lourdes amendes et sanctions en cas de non-conformité.
L'application de la directive NIS2 n'est pas une tâche facile. Elle réclame une approche proactive et exhaustive, incluant plusieurs étapes, parties prenantes et ressources.
Plus tôt vous commencerez à vous y préparer, plus vous serez prêt quand elle entrera en vigueur en octobre 2024.
Notre meilleur conseil ? N'attendez pas : commencez à vous préparer à la NIS2 dès aujourd'hui !