Quelles sont les mesures de sécurité à déployer dans le cadre de la directive NIS2 ?

La Directive NIS2 (Network and Information System) a été rendue publique avec pour objectif de remplacer la Directive NIS de 2016. Cette dernière avait pour but de renforcer la sécurité des réseaux et des systèmes d'information au sein de l'Union européenne (UE). Avec la Directive NIS2, certaines entreprises opérant dans des secteurs stratégiques seront obligées de mettre en place des mesures de sécurité appropriées et de signaler les incidents de sécurité graves aux autorités compétentes. Tout cela dans le but de renforcer davantage la sécurité des réseaux et des systèmes d'information au sein de l'UE.

Les sociétés concernées par cette directive sont réparties en 2 catégories selon les secteurs sur lesquels elles opèrent leurs activités :

• Les Entités Essentielles quel que soit leur taille évoluant sur les secteurs critiques visé par la directive (UE) 2022/2557. Cela concerne notamment une partie des sociétés opérant dans secteurs suivants : énergie, transport, banques, santé, eaux potables et usées, infrastructure numérique, administration publique, espace, services gérés et de sécurités gérés

• Les Entités Importantes dont le CA ou le bilan est supérieur à 10 m€ ou de plus de 50 salariés. Cela concerne notamment une partie des sociétés opérant dans secteurs suivants : gestion des déchets, industrie manufacturière (chimie, dispositif médicaux, électrique, informatique, automobile), place de marché, réseaux sociaux, moteurs de recherche, organismes de recherche.

En tant qu’entité essentielle ou importante, vous serez dans l’obligation de justifier d’un niveau de sécurité. Commencez dès maintenant les démarches pour vous assurer une mise en conformité pour octobre 2024.

Afin de s'assurer que les infrastructures critiques restent disponibles, résilientes et sécurisées, les entreprises doivent mettre en place certaines mesures de sécurité pour se conformer à la directive NIS2. Voici quelques exemples de ces mesures :

• Identification des risques de sécurité : Les entreprises doivent effectuer une analyse des risques pour identifier les menaces et les vulnérabilités qui pourraient affecter leur système d’information
• Mise en place de mesures techniques et organisationnelles : Les entreprises doivent mettre en place des mesures techniques et organisationnelles pour prévenir les incidents de sécurité, détecter les menaces et y répondre efficacement
• Gestion des incidents de sécurité : Les entreprises doivent mettre en place un processus de gestion des incidents de sécurité pour prévenir, détecter et réagir efficacement aux incidents de sécurité et minimiser les conséquences. Ce point couvre également tout ce qui a attrait à la continuité des activités, la gestion des crises et la reprise
• Protection de la chaîne d’approvisionnement : Les entreprises doivent mettre en place des mesures de sécurité pour s’assurer de la production et de la livraison d’un produit ou d’un service en cas de cyber attaques. Cela passe par une surveillance des fournisseurs, prestataires de services directs et des relations entre chaque entité
• Intégration de solutions en cyber sécurité : Les entreprises doivent s’assurer que les normes de sécurité sont intégrées dès le début du développement de logiciels, que les infrastructures des réseaux et des systèmes d’information sont sécurisés et maintiennent un haut niveau de sécurité pour empêcher toute intrusion
• Test de pénétration : Les entreprises doivent effectuer régulièrement des tests de pénétration pour s’assurer que les politiques, procédures et solutions mises en place sont efficaces en matière de cyber sécurité
• Formation des employés : Les entreprises doivent former leurs employés sur les pratiques de sécurité informatique pour minimiser les risques de cyberattaques
• **Protection des données sensibles :**Les entreprises doivent utiliser la cryptographie. Elle permet de protéger les données sensibles en les chiffrant, ce qui rend leur accès impossible sans une clé de décryptage appropriée
• Sécurisation des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs : Les entreprises doivent mettre en place des procédures de vérification pour connaître qui se connecte sur le réseau avec quel outil et d’où il se connecte.
• Authentification multi facteurs : Les entreprises doivent utiliser des solutions d’authentification à plusieurs facteurs ou d’authentification continue, des communication vocales, vidéo et textuelles sécurisées et des systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Les sociétés concernées doivent appliquer ces mesures dès octobre 2024.

Il convient de souligner que ces mesures de sécurité ne représentent pas une liste exhaustive, et que les entreprises doivent adopter une approche globale de la sécurité pour garantir la protection de leur système d'information. Dans le cas où ces directives ne sont pas respectées, la NIS2 prévoit des sanctions financières considérables pour les entités essentielles, pouvant aller jusqu'à 2% du chiffre d'affaires mondial de l'entreprise.