Comprendre la conformité NIS 2 et comment l'architecture SASE peut aider

Établissant un ensemble de normes destinées à renforcer la résilience des acteurs économiques, NIS 2 est importante pour l'amélioration de la position de l'Europe en matière de cybersécurité.

Alors que l’accélération des cyber-menaces sur la scène internationale transforme les interactions entre les nations, l’Union européenne (UE) a décidé de mettre en œuvre la directive sur la sécurité des réseaux et de l'information 2 (NIS 2). Lancée en janvier 2023, avec une date limite de mise en conformité fixée au 18 octobre 2024, la directive cible particulièrement 18 secteurs clés tels que l'énergie, la santé, le secteur financier ou encore le numérique.

Alors que la dissolution de l’Assemblée nationale le 9 juin dernier a retardé le projet de transposition en droit national de la directive européenne, la France se trouve dans l’obligation d’informer la Commission européenne des règles et mesures adoptées. Elle devra par ailleurs, de déposer la liste des entreprises concernées par la règlementation avant le 17 avril 2025. Un temps supplémentaire largement nécessaire pour que les entreprises intègrent correctement les règlementations demandées.

NIS 2 plaçant la barre très haut en matière de normes de cybersécurité, le temps presse pour les organisations d'aligner leurs défenses mais l’implantation de cette nouvelle directive peut être intimidante pour les entreprises.

Un champ d’application large qui concerne de nombreuses entreprises

Aujourd’hui, la directive NIS 2 divise en deux catégories les entités qu’elle touche : les entités essentielles et les entités importantes. Elles sont censées respecter les mêmes normes de sécurité, cependant la manière dont elles sont pénalisées et supervisées varie et se résume généralement à la taille de l’organisation : les entités essentielles peuvent faire l’objet d’une surveillance proactive afin de s’assurer de correspondre à tous les critères de la directive et les entités importantes feront l’objet d’une surveillance réactive, que si les autorités reçoivent des preuves de non-conformité.

A l’instar de la mise en place du RGPD, parallèlement à l’effet d’entraînement sur la supply chain, le champ d’application de NIS 2 pourrait bien s’étendre à d’autres pays et organisations en exigeant des contrôles en matière de cyber hygiène et de gestion des risques. Aujourd’hui, la directive devrait concerner plus de 10 000 entreprises, contre 300 pour NIS 1, un chantier conséquent qui doit être reçu sérieusement.

Une réorganisation nécessaire pour les entreprises concernées

Afin de répondre à ces nouvelles demandes, les entreprises peuvent mettre en place une approche de la sécurité et de la mise en réseau basée sur les services d’accès sécurisés (SASE). Elles doivent cependant savoir qu’aucune plateforme ne couvrira les dix mesures de sécurité minimales requises par NIS 2, comme pour toute règlementation.

En revanche, les organisations peuvent déployer des outils afin de permettre une approche de défense en profondeur de leur structure, en adoptant par exemple le zero trust, une segmentation réseau, une meilleure gestion des identités et des accès ou encore sensibiliser ses utilisateurs.

Une cybersécurité accrue assurant la continuité des activités

Dans un premier temps, l’entreprise peut mettre en place des outils facilitant l’application complète des exigences afin de cartographier, inventorier et sécuriser les systèmes d’information critiques (CIS), dans les environnements web, cloud et sur site, tels que des évaluations de sécurité, des audits et des options d'auto-remédiation pour les services cloud. Ces outils peuvent également prendre en charge la gestion des incidents avec des contrôles d'atténuation pour contenir les menaces et utilisent des détections basées sur les signatures afin d’empêcher les activités malveillantes au sein des réseaux et des systèmes CIS. In fine, l’objectif est de permettre la continuité des activités en cas d’incident de sécurité.

Par ailleurs, ces outils sont en mesure d’identifier les risques de sécurité dans la supply chain, en particulier pour les services déployés via le cloud afin d’évaluer la posture de sécurité des fournisseurs de services cloud, qui peuvent eux aussi être touchés. L’architecture SASE favorise des connexions et un accès sécurisé au réseau et aux systèmes d'information, en appliquant les principes zero trust et en fournissant des contrôles de protection des menaces et des données pour se prémunir contre les cyber-attaques.

Alors que les organisations réexaminent les investissements en matière de sécurité à l'approche de l'échéance du 18 octobre 2024, c’est le bon moment pour éliminer les déchets et établir un écosystème de cybersécurité dans lequel chaque composant non seulement fonctionne bien, mais aussi se complète et s'intègre les uns aux autres. 

La directive NIS 2 est avant tout une mesure de protection. L'implémenter dès maintenant, permet de se protéger contre les cyberattaques et augmenter la cyber résilience des entreprises. La France n’est pas seule à prendre un délai supplémentaire pour ratifier ce texte, mais ces mois supplémentaires doivent être mis à profit.