La directive NIS 2016 originale visait principalement à établir des mesures de cybersécurité de base pour protéger certains services clés interconnectés de l'UE. L'accent était mis sur les infrastructures jugées essentielles (telles que l'énergie, l'eau, les transports, les soins de santé et les banques) et couvertes par les protections de base définies par la directive.
La directive NIS2 élargit le champ d'application de la directive NIS initiale en englobant des secteurs et des entités supplémentaires. Elle couvre les opérateurs de services essentiels (OES) dans des secteurs tels que l'énergie, les transports, les infrastructures bancaires et financières, les soins de santé, l'approvisionnement en eau et les infrastructures numériques (telles que les places de marché en ligne, l'informatique en nuage et les moteurs de recherche), ainsi que les organisations qui soutiennent les OES.
Les organisations incluses dans le NIS2 doivent se conformer à ses directives d'ici le 17 octobre 2024. Il est dans l'intérêt des organisations de respecter cette échéance : en plus de fournir des recommandations efficaces en matière de cybersécurité, le NIS2 prévoit des amendes pouvant aller jusqu'à 2% du chiffre d'affaires mondial pour les organisations qui ne s'y conforment pas dans certaines situations.
Mais si le NIS2 indique clairement qui doit suivre les directives et quelles sont les sanctions en cas de non-respect, il ne définit pas la manière dont les organisations doivent se préparer. Passons donc en revue les directives NIS2 et les meilleures pratiques que les organisations devraient adopter pour se conformer à la loi et se défendre contre les menaces émergentes.
Pour mieux définir les organisations à inclure, deux critères de base ont été fixés : le secteur et la taille. En ce qui concerne le secteur, les annexes 1 et 2 de la NIS2 identifient les secteurs "hautement critiques" (c'est-à-dire les entités essentielles) et "critiques" (c'est-à-dire les entités importantes). Il existe onze secteurs hautement critiques, principalement liés aux opérations quotidiennes de l'économie d'un pays, tels que l'énergie, les transports, les banques, les services de l'eau, les soins de santé, l'infrastructure numérique, le gouvernement et l'espace. Les secteurs critiques sont associés aux services clés qui soutiennent l'économie d'un pays, tels que la fabrication et la distribution de denrées alimentaires, de produits chimiques et de marchandises, la gestion des déchets, les fournisseurs de services numériques tels que les fournisseurs d'accès à Internet (FAI) et la recherche.
Pour ce qui est de la taille, le NIS2 classe les organisations en deux catégories : les grandes et les moyennes. Les grandes organisations sont celles qui comptent plus de 250 employés et dont le chiffre d'affaires est d'au moins 50 millions d'euros. Les organisations de taille moyenne sont celles qui comptent moins de 250 employés et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros.
Pour aborder la question de la coopération, le NIS2 établit également une structure pour le signalement des incidents. Celle-ci comprend la formation d'éléments tels que l'autorité compétente, le point de contact unique et le CSIRT (Computer Security Incident Response Team, équipe d'intervention en cas d'incident de sécurité informatique). L'article 23 précise ce qui doit être signalé et les délais à respecter.
La mise en œuvre est définie par le respect par les organisations des mesures de gestion des risques de cybersécurité recommandées et des exigences en matière de rapports. Les amendes pour non-conformité peuvent atteindre 10 millions d'euros (ou jusqu'à 2% du chiffre d'affaires mondial) pour les entités "hautement critiques" ou 7 millions d'euros pour les entités "critiques".
D'ici le 17 octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS2. Mais qu'est-ce que cela signifie exactement pour les entreprises concernées ?
Le NIS2 décrit les mesures clés que les secteurs et les organisations d'infrastructure numérique de l'UE doivent mettre en œuvre, notamment l'utilisation de l'authentification multifactorielle (AMF), les politiques de contrôle d'accès et la gestion des actifs, la cyberhygiène de base et la formation, parmi d'autres mesures.
La norme NIS2 ne définit pas comment respecter ces mesures. Au lieu de cela, elle renvoie à d'autres normes telles que ISO, CIS, NIST ou IEC, ainsi qu'aux principes de la confiance zéro, en tant que lignes directrices que les organisations devraient suivre pour se mettre en conformité.
Ces normes donnent la priorité à la sécurité de l'identité. ISO27002 La norme du NIST sur la sécurité de l'information, la cybersécurité et la protection de la vie privée fournit des orientations utiles pour faire progresser le contrôle d'accès, la gestion de l'identité, l'authentification sécurisée et d'autres capacités qui s'alignent sur le NIS2. Le NIS2 recommande également la norme NIST sept principes de la confiance zéro, qui mettent également l'accent sur les contrôles de sécurité de l'identité.
En suivant ces deux approches, les organisations concernées disposeront d'une méthodologie complète pour se conformer à la norme NIS2 et se défendre contre les cyberattaques les plus fréquentes et les plus préjudiciables.
Un vieil adage dit que les organisations ne devraient jamais gaspiller une bonne crise, et c'est le cas de NIS2, qui oblige les organisations à évaluer tous les aspects de leurs protocoles de sécurité et à se concentrer sur les principes de la confiance zéro et les normes pertinentes qui s'appliquent à leur activité. Ce faisant, les organisations ne doivent pas aborder le NIS2 comme une crise. exercice "check-the-box" (case à cocher)S'ils prennent le temps d'évaluer leur position en matière de cybersécurité, ils devraient investir dans les capacités de défense contre les menaces les plus fréquentes et les plus lourdes de conséquences.
Dans la plupart des cas, il s'agit de l'identité. Le 2023 Verizon Data Breach Investigations Report a révélé que les "trois principaux moyens par lesquels les attaquants accèdent à une organisation sont le vol d'informations d'identification, l'hameçonnage et l'exploitation de vulnérabilités". En outre, l'utilisation d'informations d'identification volées "est devenue le point d'entrée le plus populaire pour les violations" au cours de l'année dernière ; le rapport a révélé que 49% de toutes les violations de données impliquaient des informations d'identification.
Ce n'est pas seulement que l'identité est le domaine qui est compromis dans la plupart des attaques - c'est aussi que les attaques liées à l'identité ont tendance à coûter le plus cher aux organisations. Le rapport d'IBM Cost of a Data Breach Report 2023 a révélé que le vecteur d'attaque initial le plus fréquent était le phishing ; c'est aussi l'un des plus coûteux, puisqu'il a coûté en moyenne $4,76 millions d'euros aux organisations.
Si tous les domaines de sécurité sont importants, l'identité, en particulier dans l'environnement de travail hybride, joue un rôle clé dans la sécurisation de votre organisation. Les organisations devraient désigner un partenaire de sécurité axé sur l'identité pour effectuer une évaluation NIS2 et recommander la meilleure combinaison de solutions automatisées d'intelligence de l'identité, d'authentification, de gestion de l'accès, de gouvernance et de cycle de vie pour vous permettre de protéger toutes les ressources, identités et environnements définis par la directive NIS2.
Les organisations trouveront qu'une plateforme d'identité unifiée est le moyen le plus simple de garantir un examen complet de bout en bout et un ensemble de solutions qui peuvent être établies pour dépasser toutes les exigences du NIS2 et s'adapter aux besoins futurs au fur et à mesure de l'évolution des activités et des exigences de sécurité.
Pour en savoir plus, contactez RSA pour commencer votre évaluation de la sécurité de l'identité NIS2.
