La directive NIS2 : pourquoi la cyber-résilience est la nouvelle norme pour les organisations européennes

La directive européenne sur les réseaux et les systèmes d’information (NIS2), qui doit être adoptée sous forme de loi par les États membres d’ici octobre 2024, est la législation sur la cybersécurité la plus importante jamais adoptée dans les États membres.

Alors que la directive initiale NIS1 de 2016 était considérée comme une évolution majeure dans la réglementation de la cybersécurité, beaucoup de choses ont changé depuis, notamment les hypothèses sur le risque posé par une gamme croissante de cyberattaques. À cette époque, la cybersécurité était avant tout considérée comme un problème auquel étaient confrontées les organisations individuelles. Aujourd’hui, la cybercriminalité est considérée comme une menace pour des secteurs industriels entiers et pour la stabilité de l’économie numériquement connectée au sens large.

Dans ce contexte, le secteur public, le gouvernement et les infrastructures nationales critiques (CNI) sont particulièrement vulnérables. L’aggravation des tensions géopolitiques augmente la probabilité que CNI soit ciblée d’une manière qui pourrait entraîner un cyber-incident à grande échelle. Défendre cela n’allait jamais être facile à une époque de budgets restreints et de pénurie de compétences techniques.

Pour y remédier, NIS2 impose de nouvelles exigences complexes en matière de cyber-résilience tout en élargissant la gamme de secteurs industriels couverts de 7 à 15, y compris une large part de l’infrastructure numérique. Les organisations des 27 États membres devront adopter une gestion des risques plus sophistiquée, imposer davantage de contrôles sur leurs systèmes et améliorer leur gestion des incidents. L’un des plus grands défis sera l’accent mis par NIS2 sur le renforcement de la sécurité de la chaîne d’approvisionnement, largement reconnu comme une faiblesse potentielle majeure.

L’objectif de la législation à l’échelle de l’UE est toujours d’imposer des normes minimales aux organisations, aux secteurs et aux pays sur la même échelle de temps. La manière dont les nouvelles règles et normes seront communiquées et comprises par les professionnels de la cybersécurité censés répondre à ses exigences sera au cœur de cette démarche. Les praticiens doivent non seulement évaluer l’impact sur leurs propres systèmes, mais également réfléchir à l’impact de leur propre sécurité sur la résilience des nombreuses organisations avec lesquelles ils interagissent.

C’est extrêmement ambitieux. NIS2 implique une approche différente de la cyber-résilience par rapport à l’approche « c’est le mieux que nous puissions faire » et aux hypothèses optimistes du passé. La menace est devenue une question de sécurité nationale. Les organisations devront non seulement évaluer les risques liés à leur cyber-résilience, mais aussi analyser leur capacité à continuer à fonctionner dans des scénarios pessimistes. En cas de violation des règles NIS2, les organisations doivent rapidement comprendre les exigences de reporting et les éventuelles sanctions financières.

Série de webinaires HPE

Le Cyber-résilience pour le secteur public Le programme de HPE propose aux professionnels de la cybersécurité une série de webinaires en trois parties conçues pour explorer plus en détail les défis de NIS2. Conçus pour les équipes informatiques du secteur public de l’UE avec une séance de questions-réponses complète à la fin de chaque session, les webinaires comprennent des présentations par un éventail d’experts indépendants et HPE. Les sujets abordés comprennent :

• Comprendre les nouvelles exigences de NIS2
• Bonnes pratiques pour la cybersécurité du secteur public
• Comment le secteur public peut tirer parti du cloud sans accroître sa vulnérabilité
• L’importance de l’agilité en cybersécurité
• Le défi de cybersécurité auquel sont confrontées les DSI du secteur public
• Les dernières réflexions sur l’atténuation des ransomwares
• Le rôle du Zero Trust dans la sécurité future
• Corriger la vulnérabilité créée par la transformation numérique avec NIS2