NAKIVO > Blog

Guide détaillé sur la directive NIS 2 : renforcer les normes de cybersécurité de l’UE

Publié le: octobre 2, 2024

Written by: NAKIVO Team

En 2022, selon l’Agence de l’Union européenne pour la cybersécurité, le coût moyen d’un incident informatique s’élevait à 200 000 euros dans l’UE. Avec une augmentation annuelle de 150 % du nombre de cybermenaces et environ 280 attaques de ransomware par mois, ces coûts devraient continuer à augmenter. L’évolution constante du paysage des cybermenaces exige une plus grande résilience et une meilleure sensibilisation aux risques de la part des organisations de l’UE, ce qui a donné lieu à la nouvelle loi européenne sur la cybersécurité, la directive NIS2.

Cet article traite des conditions à remplir pour la directive NIS2 et de leur impact sur le paysage numérique de l’UE. Nous examinerons également comment la solution NAKIVO peut vous aider à protéger vos données dans un environnement conforme à la directive NIS2.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Qu’est-ce que la NIS2 ?

La NIS2 est une directive européenne sur la sécurité des réseaux et de l’information n° 2022/2555 qui a été officiellement publiée en décembre 2022 et est entrée en vigueur au début de l’année 2023. La NIS2 vise à normaliser et à renforcer la sécurité des réseaux dans toute l’UE. Cette directive remplace la précédente directive NIS1, entrée en vigueur en 2016.

Contrairement aux réglementations directement applicables telles que la loi sur la résilience opérationnelle numérique (DORA), qui reste la même dans tous les États membres de l’UE, les directives doivent être adaptées dans les législations nationales de chaque État individuellement. Les États membres ont jusqu’à octobre 2024 pour adopter et publier toutes les mesures nécessaires à la conformité à la NIS2. Après cette date, les organisations seront légalement tenues de s’y conformer.

Les objectifs de la directive NIS2

La directive NIS2 vise à améliorer les normes actuelles en matière de cybersécurité et à établir une nouvelle référence pour la résilience des organisations de l’UE face aux menaces numériques.

La directive se concentre sur quatre aspects principaux :

  • Renforcer la sécurité numérique grâce à de nouvelles conditions à remplir en matière de gestion des risques, de responsabilité des entreprises et de continuité des activités.
  • Réduire les incohérences en matière de cybersécurité dans l’UE par élargissement du champ d’application de la directive et par inclusion de davantage de secteurs.
  • Encourager la connaissance de la situation et la collaboration au niveau national et transfrontalier afin de traiter efficacement les incidents cybernétiques existants et les nouvelles menaces.
  • Introduire des obligations de notification standardisées lors d’incidents afin d’améliorer la transparence et de faciliter une réponse coordonnée.

Principales différences entre la directive NIS originale et la directive NIS 2

Bien que la directive NIS1 visait à renforcer la cybersécurité et la résilience de l’Union européenne, la numérisation rapide et l’évolution des menaces pendant et après la pandémie ont révélé ses lacunes, en particulier l’absence de conditions à remplir et la mise en œuvre inégale dans l’ensemble de l’UE.

La proposition de mise à jour de la directive NIS a été publiée pour la première fois en 2020 et soulignait la nécessité d’élargir le champ d’application, de renforcer les normes de cybersécurité, d’introduire de nouvelles conditions à remplir et d’adopter une approche plus unifiée.

Par rapport à la directive NIS1, la nouvelle directive :

  • élargit considérablement le champ d’application initial en ajoutant davantage de secteurs et en introduisant une nouvelle classification basée sur le rôle de l’organisation dans l’économie numérique d’un pays
  • introduit des conditions à remplir plus strictes en matière de sécurité et de gestion des risques avec une liste de mesures de sécurité minimales à mettre en œuvre
  • impose la planification de la continuité des activités en cas d’incidents cybernétiques importants
  • exige des conditions à remplir plus strictes de signalement des incidents
  • établit des amendes en cas de non-conformité et des mesures coercitives plus strictes
  • impose une surveillance réglementaire, y compris des inspections sur site et hors site, des audits ad hoc et des analyses de sécurité
  • tient la gestion responsable en cas de non-conformité et autorise les autorités à demander la suspension des activités
  • met en avant la sécurité de la chaîne d’approvisionnement comme un aspect essentiel de la cybersécurité globale.

Élargissement du champ d’application des réglementations européennes en matière de cybersécurité

La NIS2 élargit de plus de deux fois le champ d’application de la NIS initiale. Elle remplace également la distinction précédente entre « opérateurs de services essentiels » et « fournisseurs de services numériques » par Essential et Important catégories basées sur la taille de l’organisation et les seuils de chiffre d’affaires.

Contrairement au RGPD, la directive NIS2 fixe des critères plus stricts pour les organisations concernées, car elle ne s’appliquera qu’à celles qui fournissent des services ou exercent des activités dans l’UE. Par exemple, si une entreprise internationale possède une filiale dans l’UE, seule cette filiale sera soumise à la directive NIS2. Cependant, il y a un hic. En raison d’une diligence plus exigeante en matière de chaîne d’approvisionnement, les entreprises situées en dehors de l’UE peuvent tout de même être concernées.

Secteurs et entités concernés par la directive

Le champ d’application de la NIS2 est couvert par l’annexe I (secteurs hautement critiques pouvant être classés comme essentiels ou importants) et l’annexe II (importants).

Le champ d’application de la NIS1 comprenait déjà la majorité des secteurs spécifiés dans l’annexe I, tels que :

  • Énergie
  • Transports
  • Santé
  • Eau potable
  • Infrastructure des marchés financiers
  • Banque
  • Infrastructure numérique

Les nouveaux secteurs ajoutés au champ d’application de la directive NIS2 dans l’annexe I sont les suivants :

  • Espace
  • Eaux usées
  • Gestion des services des technologies de l’information et de la communication (TIC)
  • Administration publique

En fonction de leur type, de leur taille et de leur chiffre d’affaires, les organisations relevant de l’annexe I peuvent être classées comme suit :

  • Essentielles, si leur perturbation peut avoir des conséquences graves pour le pays :
    • grandes entreprises de plus de 250 salariés ou dont le chiffre d’affaires annuel est supérieur à 50 millions d’euros
    • Administrations publiques des gouvernements centraux
    • Opérateurs de services essentiels
    • Autres entreprises sélectionnées par un État membre
  • Important:
    • Entreprises comptant plus de 50 employés ou dont le chiffre d’affaires annuel dépasse 10 millions d’euros
    • Autres entreprises sélectionnées par un État membre

    • Les mêmes conditions de sécurité s’appliquent aux deux groupes. Cependant, le groupe « Essentiel » fait l’objet d’une surveillance proactive, tandis que le groupe « Important » n’est contrôlé que lorsqu’un incident de non-conformité est signalé. Pour les organisations « Essentielles », les autorités peuvent imposer des amendes plus élevées en cas de non-conformitéet même interdire temporairement l’exercice de fonctions de direction.

    L’annexe II ajoute d’autres secteurs, qui relèvent tous de la catégorie «Important»:

    • Services postaux et de messagerie
    • Alimentation
    • Produits chimiques
    • Fabricants
    • Fournisseurs numériques
    • Gestion des déchets
    • Recherche
    • Services d’enregistrement de noms de domaine

    La directive habilite les États membres à établir des listes nationales d’organisations importantes et essentielles, indépendamment des seuils de chiffre d’affaires et de taille, si leur impact sur l’économie nationale est critique ou si l’entreprise est le seul fournisseur de certains services. Chaque État membre est tenu d’établir une telle liste par avril 2025.

    Obligations pour les petites et moyennes entreprises (PME)

    La plupart des moyennes entreprises comptant 50 salariés ou plus et réalisant un chiffre d’affaires annuel de 10 millions d’euros sont considérées comme importantes ou essentielles selon le secteur.

    Les petites entreprises ne sont pas concernées, sauf si elles figurent sur la liste nationale des entités essentielles et importantes ou appartiennent aux secteurs suivants :

    • Infrastructure numérique
      • Fournisseurs de services DNS
      • Fournisseurs de services de confiance
      • Registres de noms de domaine de premier niveau
      • Fournisseurs de réseaux publics de communications électroniques et de services de communications accessibles au public
    • Entités de l’administration publique

    Bien que la mise en conformité puisse nécessiter des investissements supplémentaires, les principes d’adéquation et de proportionnalité de la directive NIS2 de l’UE aident les PME à appliquer des mesures de cybersécurité malgré des ressources limitées. Par exemple, les PME peuvent se concentrer sur la gestion des risques et la sensibilisation à la cybersécurité en organisant régulièrement des formations pour leur personnel.

    Examinons plus en détail les mesures de sécurité ci-dessous.

    Gestion des risques liés à la cybersécurité dans le cadre de la directive NIS 2

    Gestion des risques et politiques de sécurité

    Étant donné que le paysage numérique évolue plus rapidement que la législation ne peut suivre, la directive NIS2 impose une approche « à la pointe de la technologie », exigeant des organisations qu’elles adoptent des mesures de sécurité qui soient adéquates, proportionnées et économiques en fonction de leurs besoins et capacités spécifiques. Lorsqu’elles évaluent l’adéquation des mesures de sécurité, les organisations doivent tenir compte de l’exposition aux risques, la taille de l’organisation, la probabilité et la gravité des incidents de sécurité et les coûts de mise en œuvre.

    Les organisations doivent mettre en œuvre les mesures les plus récentes et les plus efficaces disponibles à ce moment-là pour prévenir ou minimiser les incidents informatiques et leur impact sur leurs opérations. Toutefois, la directive n’oblige pas les organisations à garantir la sécurité à tout prix et souligne l’importance d’une évaluation continue des risques et de la sécurité afin de rester à la pointe de la technologie.

    Les conditions à remplir en matière de cybersécurité de la NIS2 sont centrées sur l’ approche fondée sur les risques (« tous risques ») (article 21) et encouragent les organisations à évaluer régulièrement les risques auxquels elles sont exposées au moyen d’analyses de sécurité, d’analyses des risques, de tests de pénétration réguliers, de correctifs et de gestion des actifs.

    En outre, la directive définit dix mesures de sécurité de base obligatoires pour tous :

    1. Politiques en matière d’évaluation des risques et de sécurité de l’information
    2. Gestion des incidents (prévention, détection et réponse)
    3. Continuité des activités plan avec sauvegarde et plans de reprise après sinistre, procédures d’urgence, gestion de crise et équipe de réponse aux crises établie
    4. Sécurité de la chaîne d’approvisionnement, analyse des risques liés aux fournisseurs directs et aux prestataires de services, plan visant à atténuer les vulnérabilités des fournisseurs et autres aspects liés à la sécurité dans les relations entre l’organisation et ses fournisseurs directs et prestataires de services
    5. Formation à la cybersécurité et cyberhygiène
    6. Évaluation de l’efficacité des mesures de sécurité mises en œuvre
    7. Politiques et procédures relatives à la cryptographie et au chiffrement
    8. Utilisation d’une authentification multifactorielle ou continue , communication sécurisée avec chiffrement vocal, vidéo et texte
    9. Politiques et procédures pour la sécurité du personnel, l’accès aux données, la gestion des actifs
    10. la sécurité des réseaux et des systèmes d’information, y compris l’acquisition, le développement et la maintenance

    Parallèlement à ces mesures, la directive NIS2 de l’UE encourage également la coopération et le partage d’informations afin de faciliter la sensibilisation mutuelle et la collaboration pour faire face aux nouvelles menaces numériques et améliorer la résilience globale de l’UE face aux cyberattaques.

    Sécurité de la chaîne d’approvisionnement

    Comme l’ancienne directive NIS ne mettait pas l’accent sur la sécurité de la chaîne d’approvisionnement, la nouvelle directive NIS2 comble cette lacune. Le préambule 85 souligne l’importance de la sécurité de la chaîne d’approvisionnement en raison de la prévalence des cyberattaques dans lesquelles des acteurs malveillants exploitent les vulnérabilités des outils et services tiers pour compromettre la sécurité des Réseaux et des systèmes d’information de l’organisation.

    La directive exige des organisations qu’elles évaluent la résilience, la qualité et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services et qu’elles intègrent des mesures de gestion des risques appropriées dans leurs accords contractuels. Le préambule 86 se concentre spécifiquement sur la réponse aux incidents, les tests de pénétration, les audits de sécurité et le conseil.

    Cela impose une charge supplémentaire aux fournisseurs et prestataires de services, y compris les fournisseurs de services gérés et de services de sécurité, qui travaillent avec des organisations visées par la NIS2. Les fournisseurs sont tenus d’améliorer leur sécurité numérique et leur résilience opérationnelle, même s’ils ne relèvent pas du champ d’application de la NIS2.

    Exigences renforcées en matière de notification des incidents cybernétiques

    La nouvelle directive impose la déclaration et la notification des incidents dans des délais précis en cas d’incident grave ou de cyberattaque. Par « grave », la NIS2 (article 23) entend les incidents susceptibles de causer de graves perturbations opérationnelles ou des pertes financières pour l’organisation ou d’entraîner des dommages matériels ou immatériels importants pour toute autre partie.

    • Dans les 24 heures. Les organisations doivent notifier l’incident aux autorités compétentes ou à l’équipe d’intervention en cas d’incident de sécurité informatique (CSIRT) et préciser s’il s’agit d’une cyberattaque ou si elle pourrait avoir un impact transfrontalier.
    • Dans les 72 heures. Les organisations doivent fournir une première évaluation de la gravité et de l’impact de l’incident.
    • Sur demande. Les autorités compétentes et le CSIRT peuvent demander aux organisations de fournir un rapport intermédiaire sur le statut d’avancement.
    • Dans un délai de 1 mois après la notification de l’incident. Le rapport final doit contenir une description détaillée de l’incident, une évaluation de son impact, la cause profonde qui a conduit à l’incident et les mesures d’atténuation mises en œuvre. Lorsque l’incident dure plus d’un mois, l’organisation doit soumettre un rapport d’étape et le rapport final une fois l’incident terminé.

    Outre la notification des incidents, les organisations doivent également informer les bénéficiaires de services de l’incident et des mesures qu’ils peuvent prendre pour en atténuer les conséquences.

    Défis et opportunités liés à la conformité à la directive NIS 2

    Avantages de la conformité

    La conformité à la directive NIS2 de l’UE peut aider les organisations à renforcer leur cybersécurité et à améliorer leur résilience opérationnelle face aux perturbations. Il en résulte une meilleure réputation et une plus grande transparence de l’organisation, de sorte que la conformité peut offrir des avantages concurrentiels.

    Un autre avantage évident de la conformité à la directive NIS2 est d’éviter les amendes pour non-conformité. La directive prévoit les sanctions suivantes :

    • Organisations essentielles: au moins 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu
    • Organisations importantes: au moins 7 millions d’euros ou jusqu’à 1,4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu

    Les autres mesures coercitives comprennent les avertissements, la suspension des activités, la suspension de la certification ou de l’autorisation de l’organisation et la suspension des personnes exerçant des responsabilités managériales.

    Défis et considérations

    Le plus grand défi de la directive NIS2 est qu’elle entre en jeu lorsque les organisations sont confrontées à des menaces numériques plus sophistiquées et plus complexes, ce qui signifie que des stratégies plus sophistiquées et plus complexes sont désormais nécessaires pour y faire face. C’est pourquoi la directive NIS2 élargit considérablement les responsabilités des organisations en matière de cybersécurité et introduit des mesures plus rigoureuses.

    Les nouvelles mesures de cybersécurité obligeront les organisations à investir dans la technologie et l’expertise, ce qui peut peser lourdement sur les petites organisations. Selon le rapport d’évaluation d’impact de la Commission européenne, au cours des trois années suivantes, les organisations devront investir 22 % d’investissements supplémentaires dans la sécurité de l’information si elles n’étaient pas concernées par la directive NIS1, et 12 % d’investissements supplémentaires si elles sont déjà conformes à la directive NIS1.

    Un autre défi réside dans le risque important de non-conformité, qui a des conséquences financières élevées pour les organisations. Les entités essentielles seront soumises à des audits de sécurité réguliers et ponctuels ex-ante à titre de mesure préventive.

    L’impact de la directive NIS 2 sur le marché numérique de l’UE

    La directive NIS2 devient le principal moteur du renforcement et de l’harmonisation du niveau de cybersécurité dans l’ensemble de l’UE. Cependant, comme la directive doit être transposée dans les législations nationales, les normes et les conditions à remplir en matière de cybersécurité varieront d’un pays à l’autre.

    La directive NIS2 fixe des normes plus élevées en matière de cybersécurité et contribue à améliorer la résilience opérationnelle de tous les secteurs face aux menaces numériques. Pour le secteur de la cybersécurité, la directive ouvre un nouveau marché de solutions conçues pour aider les organisations à se conformer à la NIS2.

    Il convient de mentionner que le secteur financier de l’UE est en outre protégé par la loi sur la résilience opérationnelle numérique (DORA). Cette loi impose des conditions à remplir inchangées à tous les pays de l’UE en tant que réglementation spécifique à un secteur. Ses conditions prévalent sur celles de la NIS2, mais ne la remplacent pas et ne lui font pas concurrence. Ainsi, les institutions financières sont tenues de se conformer à la fois à la DORA et à la NIS2.

    Se préparer à la conformité à la NIS 2

    Commencez par déterminer si votre organisation relève du champ d’application de la directive NIS2 ou si vous fournissez des services gérés ou d’autres services à des organisations réglementées par la directive NIS2. Vous devez également déterminer la législation de l’État membre qui s’applique à votre organisation afin de connaître les conditions à remplir.

    Réalisation d’une analyse des écarts

    Obtenez des informations sur la sécurité informatique et l’exposition aux risques de votre organisation en effectuant une analyse des lacunes. Avant que les conditions à remplir exactes de la directive NIS2 ne soient définies dans votre pays, vous pouvez utiliser des normes internationales telles que la norme CEI 62443 et le modèle de maturité des capacités en matière de sécurité informatique (C2M2), ainsi que les conditions à remplir en matière de sécurité informatique des logiciels et du matériel de la loi européenne sur la résilience informatique (CRA) comme référence pour votre évaluation.

    La NIS2 s’articule autour de trois catégories principales, qu’il convient donc de prendre en compte en premier lieu lors de la réalisation d’une analyse des lacunes :

    • Gouvernance (article 20). La NIS2 met fortement l’accent sur la responsabilité de la direction en matière de conformité et de cybersécurité globale, ce qui peut nécessiter de revoir la culture de travail et d’adopter des changements de comportement au sein de votre organisation.
    • Mesures de gestion des risques liés à la cybersécurité (article 21). La directive NIS2 exige des organisations qu’elles évaluent et se préparent à tous les risques possibles en mettant en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées.

      La directive définit dix mesures minimales, notamment un plan d’intervention en cas d’incident, une évaluation des risques, la sécurité de la chaîne d’approvisionnement, l’évaluation de l’efficacité des mesures de cybersécurité, la sécurité des communications et la formation régulière du personnel.

    • Notification (article 23). Veiller à ce que les rapports post-incident soient transparents et opportuns afin de se conformer aux conditions à remplir pour la directive NIS2.
    • Certification de cybersécurité de l’UE (article 24). Selon la directive NIS2, les États membres peuvent exiger des organisations qu’elles utilisent des services et des produits technologiques certifiés par l’UE.

    Complétez votre stratégie de cybersécurité avec NAKIVO

    NAKIVO Backup & Replication est une solution robuste pour la sauvegarde et la reprise après sinistre. Ses fonctionnalités avancées et ses caractéristiques de cybersécurité peuvent aider les organisations à protéger leurs données tout en restant conformes à la NIS 2.

    Voici quelques aspects de la solution NAKIVO correspondant aux mesures de base de la NIS2 pour vous aider à mettre en œuvre une stratégie de protection des données à la fois résiliente et cyber-résiliente.

    Sécurité des TIC et protection des données

    • Résilience des données. Avec la solution NAKIVO, vous pouvez protéger toutes vos charges de travail sur des machines virtuelles et physiques, dans le cloud, les données dans les partages de fichiers et les applications Microsoft 365 via un tableau de bord web centralisé. Respectez facilement la règle d’or de la sauvegarde et stockez des copies de vos données à plusieurs emplacements sur site et hors site (y compris sur des appliances NAS et de déduplication, des clés USB et des bandes magnétiques), dans le cloud public ou sur des plateformes cloud compatibles S3 .
    • Intégrité des données. La solution prend en charge le mode App-Aware et vous permet de créer des sauvegardes cohérentes des Workloads exécutant des applications et des bases de données, y compris les applications Microsoft sur site telles que Active Directory et Exchange Server, ainsi que la base de données Oracle. La prise en charge des applications et services Microsoft 365 vous permet de sauvegarder facilement les boîtes aux lettres Exchange Online, les messages Teams, les sites SharePoint Online et les données OneDrive for Business.
    • Protection contre les cybermenaces telles que les ransomwares. Avec la solution NAKIVO, vous pouvez suivre les bonnes pratiques en matière de cybersécurité afin d’atténuer le risque d’une cyberattaque réussie. Vous pouvez rendre vos sauvegardes immuables dans le cloud, dans des dossiers locaux ou sur des périphériques HYDRAstor afin de garantir que personne ne puisse supprimer ou modifier les données pendant la période spécifiée. Vous pouvez également envoyer des copies de sauvegarde vers un stockage hors ligne amovible, tel qu’une bande magnétique, afin de créer un espace isolé et d’empêcher les cybercriminels d’accéder aux données via le réseau.
    • Chiffrement. Protégez vos données de sauvegarde en activant le chiffrement AES 256 bits. La solution NAKIVO prend en charge le chiffrement côté source, ce qui signifie que vos données sont sécurisées pendant leur transfert et au repos.
    • Contrôle d’accès. Configurez le Contrôle d’accès basé sur les rôles à la solution, en suivant le principe du moindre privilège.
    • Authentification. Activez l’authentification multifactorielle lors de l’accès aux données à sauvegarder et aux activités de protection des données. La solution NAKIVO prend également en charge les comptes Microsoft 365 compatibles MFA, vous n’avez donc pas à compromettre la sécurité au sein de l’infrastructure Microsoft 365.

    Détection, gestion et réponse aux incidents

    • Continuité des activités. La solution offre des fonctionnalités de sauvegarde, de réplication, réplication en temps réel, ainsi que 12 options de récupération différentes pour vous permettre de restaurer vos données dans n’importe quel scénario. Überprüfen Sie instantanément que les sauvegardes et les réplicas des machines virtuelles sont récupérables et analysez les sauvegardes à la recherche de logiciels malveillants afin de garantir une récupération fluide et sécurisée.
    • Reprise après sinistre. En cas de sinistre, un simple clic suffit pour déclencher la séquence et effectuer le basculement vers une réplica située sur le site secondaire. La fonctionnalité de reprise après sinistre vous permet de créer des workflows automatisés pour effectuer le basculement et revenir en quelques secondes tout en atteignant tous les objectifs de récupération.
    • Surveillance en temps réel. Avec Surveillance informatique pour VMware, vous pouvez détecter rapidement toute consommation inhabituelle et suspecte de processeur, de RAM et d’espace disque, avant qu’elle ne devienne un problème plus grave.

    Évaluation de l’efficacité des mesures de sécurité

    • Test de reprise après sinistre. La solution NAKIVO vous permet d’effectuer des tests non perturbateurs afin de vous assurer que votre plan de reprise après sinistre fonctionne et que les objectifs de récupération sont atteints. Pendant les tests, vous pouvez vérifier les réseaux et vous assurer que le mappage réseau et les paramètres de réassignation d’adresses IP sont corrects. Vous pouvez également vérifier si les séquences de reprise après sinistre sont efficaces ou doivent être modifiées. Les tests n’ont aucun impact sur votre environnement de production et peuvent être exécutés selon un programme.

    See the Solution in Action

    See the Solution in Action

    Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

    Book a Free Demo

    Les gens qui ont consulté cet article ont également lu

    Picture
    Les principaux défis en matière de cybersécurité auxquels les MSP doivent se préparer
    Picture
    Ressources VMware vSphere : explication de HotAdd/HotPlug
    Picture
    Qu’est-ce que le suivi des modifications résilientes Hyper-V : utilisation du RCT pour sauvegarder les machines virtuelles