Actualités

Directive, NIS2 – Cybersécurité.


L’UE adopte la directive NIS2 (Network Information Security 2).

Le but de la NIS2 est d’améliorer la résilience et les capacités de réaction aux incidents de cybersécurité dans l’UE, ainsi que l’aptitude des États membres à communiquer entre eux dans ce contexte.

 Ce qu’il faut retenir

Les nouvelles obligations

Mise en place de mesures techniques, organisationnelles et opérationnelles : Analyse des risques, PCA, sécurisation des réseaux, formation des collaborateurs, utilisation de la cryptographie, contrôle des accès, authentification multifacteur, reporting en cas d’incident.

En détails :

  • L’analyse des risques encourus et la prise en compte des cybermenaces. Chaque entité devra donc auditer sa structure, afin d’en évaluer le risque cyber.

  • Des mesures pour garantir la continuité de leurs activités en cas d’incident. Cela passe par exemple par une bonne gestion des sauvegardes et des mesures de gestion de crise.

  • La sécurisation des réseaux, y compris le traitement et la divulgation de vulnérabilités.

  • La formation des collaborateurs à une bonne hygiène cyber, incluant des bonnes pratiques à systématiser en entreprise.

  • L’utilisation de techniques de cryptographie, pour chiffrer les informations et ainsi mieux les protéger.

  • Un contrôle des accès exemplaire, afin d’éviter les intrusions et bénéficier d’une sécurité robuste.

  • La mise en place de solutions d’authentification à plusieurs facteurs. L’authentification multifacteur (MFA), et l’authentification forte devront être privilégiées pour plus de sécurité.

  • L’obligation pour les entreprises d’émettre une première alerte auprès de l’ANSSI sous 24h en cas d’incident de sécurité. Puis, elles devront détailler ce signalement avec l’évaluation de l’impact dans les 72h suivant l’événement.

Entreprises concernées

NIS 1 (banques, institutions financières, acteurs de l’énergie, transports, santé, réseaux d’eau) ainsi que le secteur spatial, administrations publiques, fournisseurs de services numériques, alimentation, réseaux d’eaux usées et de gestion de déchets, services postaux, fabricants de produits chimiques et pharmaceutiques.

Dans cette nouvelle directive, les sous-traitants et prestataires de services ayant un accès à une infrastructure, (comme les ESN, qui sont dans le viseur des attaquants) sont soumis à l’ensemble des obligations de NIS2, contrairement à NIS1. Cela s’explique par le fait que les failles d’infrastuctures d’un prestataire peuvent mettre à mal la sécurité des nombreux clients avec lesquels ils travaillent.

Source : Onewave et Caroline-Lafont-copywriter. (https://onewave.io/le-blog/nis2-quelles-nouvelles-obligations-entreprises/)

La NIS2 fait quelques exceptions à son application, notamment pour les entreprises de moins de 50 salariés, qui ne sont pas concernées par ces nouvelles dispositions.

Sanctions encourues : De 7 à 10 millions d’euros, ou de 1,4% à 2% du CA mondial total.

Date butoir NIS2 : Second semestre 2024.

Sources :

https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/nis-un-dispositif-de-cybersecurite-pour-les-operateurs-de-service-essentiel/

https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/

Onewave et Caroline-Lafont-copywriter : https://onewave.io/le-blog/nis2-quelles-nouvelles-obligations-entreprises/

Envie de partager cet article ?