Accueil de l'Académie
Blogs
Aperçu du NIS2 : Historique, contenu essentiel et importance pour l'encadrement supérieur
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Aperçu du NIS2 : Historique, contenu essentiel et importance pour l'encadrement supérieur

Collection ISO 27001
Aperçu du NIS2 : Historique, contenu essentiel et importance pour l'encadrement supérieur
Collection NIS2
Aperçu du NIS2 : Historique, contenu essentiel et importance pour l'encadrement supérieur
Cyberday blog
Aperçu du NIS2 : Historique, contenu essentiel et importance pour l'encadrement supérieur

La directive NIS2 (Network and Information Systems Directive 2) est le nouveau cadre réglementaire de l'UE pour la sécurité de l'information dans les industries importantes.

Elle place la barre plus haut pour les normes de sécurité de l'information, étend le champ d'application du NIS original, introduit des activités de contrôle strictes pour la conformité, ainsi que des sanctions potentielles en cas d'infraction. L'objectif est de mieux protéger l'infrastructure d'information de l'Europe.

Il est particulièrement important de noter que la NIS2 ne se contente pas de fixer des normes de cybersécurité organisationnelle, mais qu'elle rend les cadres supérieurs responsables de leur respect. La négligence ou un engagement insuffisant à l'égard de ces réglementations pourrait avoir des répercussions juridiques importantes. Si vous ne faites pas preuve de diligence dans la mise en œuvre de mesures de cybersécurité robustes conformes aux normes NIS2, la direction générale peut être tenue personnellement responsable de toute défaillance de sécurité qui en résulterait.

Les dirigeants d'une organisation devraient y voir une opportunité stratégique d'améliorer leur cyberdéfense et leur vigilance - et pas seulement les risques et les tâches à accomplir. Ce billet traite du NIS2 en général et explique pourquoi le fait d'en faire un engagement de la haute direction peut être la voie de la durabilité et du succès de vos opérations à l'ère numérique.

Historique du NIS2

Le NIS2 affecte directement l'organisation d'industries importantes et de leurs chaînes d'approvisionnement.

La directive NIS2, qui succède à la directive NIS initiale, fait partie des plans ambitieux de l'Union européenne visant à garantir un niveau commun élevé de cybersécurité dans tous les États membres. Initialement proposée en 2013, la directive NIS visait à mettre en place une approche unifiée de la cybersécurité. Mais à mesure que les cybermenaces devenaient plus complexes et plus répandues, la nécessité d'un cadre plus solide est apparue clairement, ce qui a conduit à l'introduction de la NIS2. Cette directive améliorée vise un plus large éventail de secteurs et impose des responsabilités plus lourdes aux cadres supérieurs pour garantir la mise en œuvre de normes de cybersécurité plus élevées, reflétant ainsi l'importance de la cybersécurité à l'ère numérique moderne.

En dépit de ses bonnes intentions, la directive NIS initiale a souffert de plusieurs lacunes qui ont entravé son efficacité dans la mise en place d'une approche unifiée de la cybersécurité au sein de l'UE. Parmi ces lacunes, on peut citer

  • Un champ d'application insuffisant : La directive NIS initiale ne s'appliquait qu'à un nombre restreint de secteurs, laissant des pans entiers de l'économie numérique vulnérables aux cybermenaces.
  • Une mise en œuvre inactive : L'application de la directive a été largement incohérente, ce qui s'est traduit par des normes de cybersécurité tout aussi incohérentes d'un État à l'autre.
  • Une attention insuffisante accordée à l'encadrement supérieur : L'accent n'a pas été suffisamment mis sur les responsabilités de l'encadrement supérieur en matière de cybersécurité, ce qui a entraîné un manque d'appropriation des cyberrisques au niveau stratégique.
  • Manque de clarté : De nombreuses organisations ont trouvé que les définitions vagues et les lignes directrices peu claires étaient difficiles à interpréter, ce qui a entraîné des incohérences dans l'application.

Toutes ces lacunes sont abordées et "corrigées" dans le NIS2. Cela signifie également que de nombreux points sont désormais définis en détail dans la directive proprement dite et que les États membres ont moins de marge de manœuvre dans leur législation nationale.

Quels sont les principaux contenus du NIS2 ?

La directive NIS2 n'énumère pas d'exigences détaillées en matière de sécurité pour les organisations, mais elle énumère 13 domaines principaux de la sécurité de l'information, pour lesquels les organisations doivent disposer de procédures documentées. Il s'agit des thèmes clés de la directive NIS2 pour les organisations régulières. Ces procédures peuvent ensuite être demandées aux autorités ou faire l'objet d'un examen de mise en œuvre, par exemple dans le cadre d'un audit de sécurité.

Contenu essentiel du NIS2 : 13 domaines de sécurité à documenter et à mettre en œuvre

La norme NIS2 exige que les organisations disposent de mesures documentées pour :

  • Gestion des risques et sécurité des systèmes d'information : comment votre organisation analyse activement les menaces potentielles afin d'identifier, d'évaluer et de gérer les risques de sécurité. Cela peut inclure l'utilisation de modèles d'évaluation des risques, l'identification d'évaluateurs de risques compétents et la documentation des stratégies d'atténuation des risques.
  • Gestion des incidents et rapports : Les opérations mises en place par votre entreprise pour identifier, gérer et atténuer tout incident de sécurité potentiel. La communication joue ici un rôle essentiel, car il ne s'agit pas seulement de détecter un problème, mais aussi d'être en mesure de partager rapidement les informations requises avec les bonnes équipes afin d'accélérer le temps de réponse. Le NIS2 exige également que les incidents majeurs soient signalés à l'autorité de contrôle nationale.
  • Journalisation et détection : La manière dont votre organisation capture, analyse et traite systématiquement les événements liés à la cybersécurité. Vos journaux doivent non seulement enregistrer et documenter les incidents de sécurité, mais aussi fournir suffisamment de détails pour faciliter la corrélation des événements, la détection des anomalies et les enquêtes sur les incidents.
  • Continuité des activités et sauvegardes : Comment votre organisation entend-elle s'assurer que les activités critiques peuvent se poursuivre sans interruption, même en cas d'événements défavorables. Il peut s'agir d'élaborer des plans de continuité complets, de les tester régulièrement et de former votre personnel. La mise en œuvre et le test régulier de processus de sauvegarde robustes constituent également un élément essentiel de ce processus.
  • Sécurité et surveillance de la chaîne d'approvisionnement : Comment les accords d'approvisionnement et les choix des partenaires de votre organisation garantissent un niveau de sécurité acceptable. Par exemple, il est essentiel d'évaluer soigneusement les mesures de sécurité fournies par les fournisseurs de services tiers avant de conclure tout accord d'externalisation. Il est tout aussi important de contrôler régulièrement la sécurité de vos chaînes d'approvisionnement et de veiller à ce que les partenaires puissent rendre compte de leurs mesures NIS2.  
  • Acquisition et développement de systèmes sécurisés : Comment votre organisation acquiert, développe et gère la sécurité des systèmes, des applications et de l'infrastructure tout au long de leur cycle de vie. Les actions devraient inclure, par exemple, l'adoption de méthodologies et d'architectures qui minimisent les vulnérabilités et les risques de sécurité, l'utilisation de tests de sécurité robustes, des lignes directrices pour un codage sécurisé et des pratiques pour des changements contrôlés.
  • L'évaluation de l'efficacité des mesures de sécurité : La manière dont vous contrôlez et testez les cyberdéfenses de votre organisation, ainsi que les améliorations apportées à votre sécurité de l'information. Il peut s'agir d'audits, de mesures de suivi, de revues de direction ou d'approches plus techniques telles que les tests de vulnérabilité ou de pénétration. L'essentiel est d'évaluer à la fois la mise en œuvre de vos mesures de sécurité et leur efficacité à protéger votre organisation.
  • Pratiques et formation en matière d'hygiène cybernétique : La manière dont vous mettez en œuvre des pratiques d'hygiène cybernétique efficaces à tous les niveaux. Il s'agit notamment d'assurer la sécurité des appareils, d'appliquer de bonnes pratiques en matière de mots de passe et d'utiliser le courrier électronique de manière sécurisée afin d'éviter les attaques par hameçonnage. Il s'agit de guider tous les employés vers des méthodes de travail sûres et de créer ainsi une culture de la sécurité de l'information. Des sessions de formation régulières et complètes peuvent contribuer à ce que l'ensemble du personnel comprenne les cyberrisques et leur rôle dans leur atténuation.
  • Cryptage : La façon dont les informations numériques, en particulier les données sensibles, seront transformées en code pour empêcher tout accès non autorisé. Il est essentiel que vous compreniez que le cryptage n'implique pas seulement une communication sécurisée entre différentes plateformes numériques, mais aussi une gestion efficace des clés de cryptage.
  • Sécurité des ressources humaines : comment votre organisation s'assure que les employés, les sous-traitants et les utilisateurs tiers comprennent et s'engagent à assumer leurs responsabilités en matière de sécurité de l'information. Il est essentiel que les entreprises mettent en place des processus de recrutement solides, y compris des vérifications des antécédents, afin de disposer d'un personnel sûr dès le départ. Une culture mettant l'accent sur la nécessité de la sécurité de l'information, un contrôle proportionné et, par exemple, des accords de non-divulgation peuvent renforcer la protection d'une organisation contre les menaces internes.
  • Contrôle d'accès : Ces actions décrivent comment votre organisation décide qui aura accès à quelles informations. Il s'agit notamment de mettre en place des protocoles tels que la gestion de l'accès basée sur les rôles et des examens réguliers de l'accès. Le contrôle d'accès basé sur les rôles permet de s'assurer que seul le personnel nécessaire a accès aux données sensibles, réduisant ainsi la probabilité d'une mauvaise utilisation accidentelle ou délibérée des données.
  • Gestion des actifs : La manière dont votre organisation identifie et classe ses actifs informationnels. Il est important de clarifier la propriété des actifs et de s'assurer que le propriétaire est responsable de la sauvegarde de ces actifs. Il est également essentiel de s'assurer que toutes les informations cruciales sont classées et protégées de manière appropriée.
  • Authentification multifactorielle (AMF) : La façon dont votre organisation utilise des couches de protection supplémentaires par rapport aux protocoles de mots de passe standard. Cette confirmation accrue vise à réduire la probabilité de perturbations du réseau et d'accès non autorisés. Les méthodes utilisées peuvent inclure la vérification biométrique, les jetons de sécurité ou les messages textuels en plus de la saisie régulière du mot de passe. L'utilisation généralisée de l'AMF nécessite souvent de former les employés aux outils connexes.

Exigences spécifiques pour la notification des incidents et la sécurité de la chaîne d'approvisionnement

Le NIS2 prévoit également des mesures supplémentaires pour la gestion des incidents et la gestion de la chaîne d'approvisionnement.

Exigences du NIS2 en matière de rapports d'incidents

Il est important de noter que la NIS2 reconnaît que des incidents se produisent et qu'ils continueront à se produire. L'objectif de la directive n'est pas d'attribuer des responsabilités, mais d'assurer la transparence, de maintenir la confiance et de promouvoir le partage des informations et des meilleures pratiques afin de renforcer la résilience globale en matière de sécurité.

Les organisations sont tenues de signaler aux autorités et aux utilisateurs des services tout incident de sécurité important susceptible de compromettre leur fonctionnement ou les données qu'elles détiennent, 24 heures, 72 heures et 30 jours après la détection de l'incident.

Les premiers rapports doivent contenir des informations de base ainsi qu'une évaluation de l'étendue des effets. La dernière notification doit comprendre une description détaillée de ce qui s'est passé, ainsi qu'une analyse des causes profondes et des mesures prises à la suite de l'incident.

Exigences du NIS2 en matière de suivi de la chaîne d'approvisionnement

La NIS2 vous impose de veiller à ce que votre chaîne d'approvisionnement ne soit pas le maillon faible de la matrice de cybersécurité. Il ne s'agit plus seulement de vos opérations immédiates ; votre mandat réglementaire s'étend également à vos fournisseurs tiers et à vos prestataires de services.

Les organisations doivent avoir une bonne compréhension de leur propre chaîne d'approvisionnement, notamment en répondant à des questions telles que : quels sont les acteurs essentiels à la fourniture de nos services, quel type d'assurance avons-nous quant à leur niveau de sécurité et comment contrôlons-nous leur sécurité et les engageons-nous à prendre certaines mesures?

Cet effet élargira également l'effet du NIS2 non seulement aux entreprises qui sont directement concernées par le NIS2, mais aussi à leurs principaux fournisseurs.

La supervision du NIS2 en quelques mots

Le NIS initial présentait des lacunes évidentes en matière de contrôle. Le NIS2 tente d'éviter cela en définissant des méthodes minimales claires pour la supervision au niveau de la directive et en laissant seulement la possibilité d'en ajouter d'autres dans les lois nationales.

Les législations nationales mettant en œuvre le NIS2 définiront bien sûr quelles sont les autorités qui supervisent la mise en œuvre du NIS2 dans le pays suivant, et si la supervision est par exemple séparée en différentes autorités par industrie.

La directive définit des méthodes minimales pour effectuer la supervision :

  • Demandes d'information
  • Demandes de preuves plus détaillées
  • Contrôles sur place ou hors site
  • Audits de sécurité détaillés

En cas de non-conformité, par exemple, les méthodes suivantes seront utilisées :

  • Avertissements
  • Instructions contraignantes assorties de délais
  • Amendes (max. 10 millions d'euros ou 2 % du chiffre d'affaires annuel global)

Pourquoi le NIS2 est-il stratégiquement important pour les cadres supérieurs ?

Le NIS2 confère à l'encadrement supérieur un rôle clé dans la mise en œuvre de la sécurité de l'information.

La NIS2 est très claire sur le fait que l'encadrement supérieur de l'organisation peut être tenu pour responsable du non-respect des exigences de sécurité de l'article 21. Ainsi, selon la NIS2, le rôle de l'encadrement supérieur en matière de sécurité de l'information est au moins de.. :

  • Accepter les mesures de sécurité pour les 13 thèmes énumérés - et confirmer qu'elles sont suffisantes pour maîtriser les risques liés à la sécurité de l'information.
  • Contrôler et assurer la mise en œuvre de ces mesures de sécurité
  • Superviser les mesures de sécurité de la chaîne d'approvisionnement et les rapports d'incidents
En clair, dans le cadre du NIS2, la responsabilité de l'encadrement supérieur va bien au-delà de la simple information sur la cybersécurité. Il s'agit d'agir et de rendre des comptes - en mettant en œuvre les réglementations, en gérant les risques et en prenant l'initiative de réagir aux incidents de cybersécurité.

En outre, dans un bon travail de sécurité de l'information, l'encadrement supérieur participe généralement au moins en allouant des ressources, en fixant des objectifs de sécurité et en démontrant son engagement envers la sécurité de l'information en général.

Cela signifie que le rôle de l'encadrement supérieur s'accompagne d'une responsabilité à la fois réglementaire et éthique. Le NIS2 estime que l'implication et l'engagement actifs de l'encadrement supérieur sont essentiels pour atteindre ses objectifs.

Comment préparer votre organisation ? 3 niveaux d'action.

Niveau léger : Documentez vos procédures en sélectionnant les mesures appropriées dans les meilleures pratiques.

L'une des façons d'aborder le NIS2 consiste à comparer les normes de meilleures pratiques les plus courantes (par exemple ISO 27001 ou NIST CSF) et à rechercher des contrôles plus détaillés sur la façon de mettre en œuvre les 13 domaines de sécurité.

Vous pouvez aborder la question sous l'angle de "ce que nous avons déjà fait", du moins en partie, afin de vous mettre rapidement au diapason.

L'inconvénient évident de cette approche est souvent qu'elle n'aboutira pas à un développement durable de votre sécurité de l'information et qu'elle finira par être un exercice de documentation.

Niveau moyen : Commencez à construire votre SMSI (sur la base des meilleures pratiques)

La mise en place d'un SGSI (système de gestion de la sécurité de l'information) crée une approche systématique de la sécurité de l'information en rassemblant les informations relatives à la sécurité de l'information en un seul endroit, en vous aidant à comprendre votre niveau de sécurité actuel et en permettant un contrôle approfondi des mesures de sécurité.

Vous pouvez ainsi maintenir la conformité à long terme et réduire les risques de cybersécurité en améliorant continuellement vos mesures de sécurité.

Niveau fort : Certifiez votre SMSI selon la norme ISO 27001

La certification de votre SGSI (par exemple selon la norme ISO 27001) signifie qu'un auditeur externe accrédité a examiné votre SGSI et s'est assuré qu'il est conforme aux exigences et aux contrôles du cadre sélectionné.  

Cette approche offre des avantages tels que la preuve indéniable d'un bon niveau de sécurité, que vous pouvez utiliser non seulement pour les efforts de supervision NIS2, mais aussi pour tout type d'efforts de vente ou de collaboration impliquant des perspectives de sécurité de l'information.

Conclusion

Pour conclure, il est bon de comprendre que la directive NIS2 s'inscrit dans le cadre plus large de la croissance de la transformation numérique dans l'Union européenne. Elle exige de la clarté de la part des organisations - en documentant la manière dont elles ont mis en œuvre les différents aspects de la sécurité de l'information, et en soutenant ces choix. Elle engage également les cadres supérieurs à s'impliquer dans la sécurité de l'information à un niveau totalement nouveau.

Les mesures de sécurité étendues de la directive et les exigences en matière de notification des incidents soulignent un changement de priorité vers l'amélioration de la transparence, de la responsabilité et de la résilience globale contre les cybermenaces. Si la mise en œuvre du NIS2 implique indubitablement un engagement substantiel, les avantages l'emportent largement sur les dépenses.

La mise en place d'un système de gestion de la sécurité de l'information (SGSI), qu'il soit fondé sur d'autres bonnes pratiques ou qu'il vise la certification ISO 27001, est un moyen éprouvé de réussir. Cependant, n'oubliez pas qu'il s'agit d'un parcours et non d'une course. L'adoption d'une stratégie progressive adaptée au contexte, aux capacités et aux moyens de votre organisation vous permettra d'obtenir des résultats durables et contribuera à votre intégrité numérique à long terme.

Rédigé par
Aleksi Pulkkanen
16.2.2024
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité