Retour au blog

NIS2 : Quels impacts pour mon organisation ?

Cybersécurité • 28 février 2023

PME, grands groupes, entreprises du numérique ou de la santé, la directive NIS2 concerne un grand nombre d'organisations !

Pour vous donner un aperçu des changements qui vous attendent et vous aider dans votre mise en conformité, nous avons analysé pour vous ce texte de loi.

Si vous n’avez que 5 min devant vous, vous pouvez vous rendre sur la dernière édition de notre newsletter Linkedin mensuelle “Le Cyber Café”,  vous y trouverez un résumé des obligations et implications de NIS2 pour les entreprises.


Pas de panique, la transposition dans le droit national de cette directive devra avoir lieu au plus tard le 17 octobre 2024, pour une mise en application à partir du 18 octobre de la même année.

On vous conseille tout de même de commencer à vous pencher dessus pour anticiper les impacts sur votre organisation.

Bonne lecture !

1. NIS2 - Qu'est-ce que c'est ?

NIS (Network and Information Security) est une directive européenne, adoptée en 2016.

Aussi appelée SRI en français pour Sécurité des Réseaux et des systèmes d’Information, elle est destinée à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union.

Créée dans l’objectif de mieux gérer les menaces et de créer un fort socle de compétences en matière de cybersécurité au sein de l’Union européenne, elle cible notamment des secteurs-clés dit “essentiels” afin de permettre la continuité de leurs services en cas d’incidents.

Elle cible notamment : 

  • L’énergie (Électricité, pétrole, gaz)
  • Les transports (aériens, ferroviaires, routiers, transports par eau)
  • Le secteur bancaire
  • Les infrastructures des marchés financiers
  • La santé
  • La fourniture et distribution d’eau potable
  • Les infrastructures numériques

Grâce à cette 1ère version de NIS, des stratégies nationales en matière de sécurité des réseaux et des systèmes d’informations ont pu être mises en place et un groupe de coopération ainsi que des CSIRT (centres de réponse aux incidents de sécurité informatique) ont vu le jour.

 

Une belle avancée donc !

 

Mais, en raison de l’intensité des échanges transfrontières entre les pays membres de l’Europe, et de notre société toujours plus interconnectée, le paysage des menaces cyber s’est étendu et chaque faille au sein d’une entité essentielle est en mesure d’impacter plusieurs États membres de l’Union.

 

La directive se devait ainsi d’être revue pour permettre de :

  • Pallier une trop grande disparité au niveau de l’application du texte de 2016 par les États membres (le champ d’application étant parfois laissé à la libre appréciation des États).

  • Répondre aux défis actuels et émergents liés à la cybersécurité.

  • Élargir le champ d’application de la directive pour une protection renforcée de toute la chaîne de valeur.

 

En France c’est l’ANSSI qui a la charge de piloter cette transposition.

 

2. Quelles sont les nouvelles entités concernés par NIS2 ?

 

L’ensemble des secteurs concernés par la 1ère version de NIS restent concernés par l’évolution de la directive. Ils seront considérés comme des entités essentielles.

 

À ceux-ci viennent s’ajouter d’autres secteurs ainsi qu’une distinction entre des entités dites essentielles (secteurs dit “hautement critiques” ) et des entités dites importantes (secteurs dit “critiques”.).

 

En voici la liste 👇

 

Entités essentielles (secteur du hautement critique) : 

  • L’énergie (Électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène)

  • Les transports (aériens, ferroviaires, routiers, transports par eau)

  • Le secteur bancaire

  • Les infrastructures des marchés financiers

  • La santé

  • L’eau potable

  • Les eaux usées

  • Les infrastructures numériques

  • La gestion des services TIC (inter-entreprises)

  • Les administrations publiques

  • L’espace


Entités importantes (secteur du critique) :

  • Services postaux et d’expédition

  • Gestion des déchets

  • Fabrication, production et distribution de produits chimiques

  • Production, transformation et distribution de denrées alimentaires

  • Fabrication (de dispositifs médicaux, de produits informatiques, mécaniques et optiques, d’équipements électroniques, de machines et d’équipements autonomes, constructions de véhicules automobiles, remorques et semi-remorques, et d’autres matériels de transports).

  • Fournisseurs numériques

  • La recherche

❌ Fini donc l'appellation OSE (Opérateurs de Services Essentiels).

Accédez au détail des entités concernées en cliquant sur ce lien.

 

Seules les moyennes et grandes entreprises de ces secteurs (sauf quelques exceptions) devront se conformer à la directive NIS2. C’est-à-dire les entreprises qui emploient plus de 50 personnes et dont le chiffre d'affaires annuel ou le total du bilan annuel excède 10 millions d’euros.

 

À noter que certains domaines de l’administration publique comme la défense, la sécurité nationale, la sécurité publique ou encore les banques centrales ne sont pas concernés par cette directive.

 

Les États membres pourront également inclure les TPE de certains secteurs dans la liste des entités concernées. Ils devront réaliser une liste des entités essentielles et importantes visées par la directive dans leur pays d’ici la mi-avril 2025. Cette liste sera ensuite mise à jour tous les 2 ans.

 

Selon Emmanuel Naëgelen, Directeur adjoint de l’ANSSI : « Nous allons passer de 500 opérateurs régulés, que nous suivons de manière assez fine à l’ANSSI, à plus de 10 000 ».

 

3. Quelles sont les obligations et implications de cette directive ?


Au niveau de l’État

  • Mettre en place une stratégie nationale en matière de cybersécurité

  • Désigner un point de contact unique, afin de faciliter la coopération et la communication transfrontières. Celui-ci sera chargé de transmettre les notifications d’incidents importants ayant un impact transfrontière aux points de contact uniques des autres États membres touchés.

  • Les CSIRT seront chargés de la gestion des incidents.

    • À la demande d’une entité essentielle ou importante, ils pourront surveiller ses ressources connectées à Internet, à la fois sur site et hors site, afin de repérer, comprendre et gérer les risques organisationnels globaux encourus par cette entité face aux compromissions nouvellement découvertes dans les chaînes d’approvisionnement ou vulnérabilités critiques.

    • Ils devront également réagir aux incidents et apporter une assistance aux entités essentielles et importantes concernées.

    • Activer le mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes concernées ainsi qu’auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel.

  • La nouvelle institution EU-CyCLONe voit le jour, afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents de cybersécurité majeurs et des crises, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions de l’Union.

    EU-CyCLONe a pour tâches : 

    • de renforcer le niveau de préparation à la gestion des incidents de cybersécurité majeurs et des crises;

    • de développer une connaissance partagée des incidents de cybersécurité majeurs et des crises;

    • d’évaluer les conséquences et l’impact des incidents de cybersécurité majeurs et des crises en question et de proposer d’éventuelles mesures d’atténuation;

    • de coordonner la gestion des incidents de cybersécurité majeurs et des crises et de soutenir la prise de décision au niveau politique en ce qui concerne ces incidents et ces crises;

    • d’examiner, à la demande de l’État membre concerné, le plan national de réaction aux crises et aux incidents de cybersécurité majeurs

  • Les États membres devraient promouvoir des politiques favorisant l’établissement de Partenariats Public-Privé de cybersécurité.

  • Promouvoir l’utilisation de produits, services et processus TIC certifiés par des normes européennes et internationales pertinentes.

  • Les services de la quasi-totalité des entités essentielles et importantes dépendant de services fournis sur Internet, l’État devra veiller au maintien de la sécurité des réseaux de communications électroniques publics et veiller à la protection de leurs intérêts vitaux sur le plan de la sécurité contre le sabotage et l’espionnage. La stratégie nationale en matière de cybersécurité devra ainsi tenir compte de la cybersécurité des câbles de communication sous-marins et inclure une cartographie des risques potentiels en matière de cybersécurité et des mesures d’atténuation afin de garantir le niveau de protection le plus élevé possible.

  • Renforcer les valeurs de cyberrésilience et de cyberhygiène au sein de l’État

  • Fournir des orientations et un soutien facilement accessibles pour répondre aux besoins spécifiques des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la directive.

Au niveau des entreprises concernées

  • Les entités essentielles et importantes doivent un minima prendre les mesures techniques, opérationnelles et organisationnelles suivante : 

    • Prévoir des politiques relative à l’analyse des risques et à la sécurité des systèmes d’information

    • Prévoir la gestion des incidents

    • Prévoir la continuité des activités, par exemple la gestion des sauvegardes, la reprise des activités, et la gestion des crises

    • S’assurer de la sécurité de la chaîne d’approvisionnement

    • S’assurer de la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information

    • Prévoir des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité

    • Mettre en place les pratiques de base en matière de cyberhygiène et de la formation à la cybersécurité

    • Prévoir des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement

    • Tenir également compte de la sécurité liée aux ressources humaines et mettre en place des politiques appropriées en matière de gestion et de contrôle des accès.

    • Utiliser des solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Elles devront également :

  • Se fonder sur une approche «tous risques» et protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre : 

    • Les vols,

    • Les incendies,

    • Les inondations,

    • Une défaillance des télécommu­nications ou une défaillance électrique,

    • Tout accès physique non autorisé.

    • Toute interférence susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées.

Les mesures de gestion des risques en matière de cybersécurité devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels.

  • Tenir également compte de la sécurité liée aux ressources humaines et mettre en place des politiques appropriées en matière de contrôle de l’accès.

  • Les organes de direction des entités essentielles et importantes seront tenus de suivre une formation pour acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. Il sera également encouragé d’offrir régulièrement une formation similaire aux membres de leur personnel.

  • Adopter une politiques de cyberhygiène basée sur les principes de “confiance zéro” (ou “Zéro Trust”) incluant : 

    • Les mises à jour logicielles et matérielles,

    • Les changements de mots de passe,

    • La gestion de nouvelles installations,

    • La segmentation des réseaux,

    • La restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, 

    • La sensibilisation des utilisateurs, organiser une formation pour leur personnel et sensibiliser aux cybermenaces, au hameçonnage ou aux techniques d’ingénierie sociale.

  • Les entités essentielles et importantes sont encouragées à intégrer des mesures de gestion des risques en matière de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs. Notamment pour les fournisseurs tels que : 

    • Les fournisseurs de services de stockage et de traitement des données

    • Les fournisseurs de services de sécurité gérés et les éditeurs de logiciels

L’objectif est ainsi de répondre aux risques découlant de la chaîne d’approvisionnement.

  • En cas d’incident important, une alerte devra être faite dans les 24 heures à son CSIRT. Elle sera suivie d’une notification d’incident dans les 72 heures suivant la prise de connaissance de l’incident important. Un rapport final devra également être présenté au plus tard un mois après la notification de l’incident.

4. Quels risques si vous ne vous mettez pas en conformité ?

 

Pour les entités essentielles, les sanctions pourront s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

 

Pour les entités importantes, les sanctions pourront s’élever à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial de l’entreprise.

 

Dans les deux cas, le montant le plus élevé sera retenu.

 

5. Comment LockSelf peut vous aider dans votre mise en conformité ?

 

En attendant la transposition officielle dans le droit national français d’ici 2024, vous pouvez dès à présent commencer à vous préparer à ces changements !

 

Avec la suite LockSelf vous pourrez répondre aux enjeux liés à : 

  • La gestion des identités et des accès

  • Les changements de mots de passe,

  • La restriction des comptes d’accès de niveau administrateur et la sauvegarde de données,

  • Au chiffrement.

Vous pourrez également répondre aux exigences de traçabilité liées à la mise en place de ces mesures grâce aux rapports de gestion des droits ainsi qu’aux logs d’actions disponibles dans LockPass.


Que vous soyez directement concerné par cette V2 de la directive NIS ou que vous ne fassiez pas partie des entités visées, on vous invite à vous inspirer des mesures présentées ci-dessus pour sécuriser votre organisation et être mieux protégé face à la menace cyber.

On vous donne rendez-vous à la mi-2024 pour en savoir plus !


En attendant, vous pouvez toujours lire l’intégralité du texte de loi accessible juste là 🤓

La cyber missive

Tout savoir sur l'actualité cyber et la suite LockSelf

Directement dans votre  boîte mail
Chaque 1er jeudi du mois
Recevoir 📩

Retour d'expérience

Circonscrire une cyberattaque en moins de 24h

Malik Himiche, RSSI du SIIM 94 vous raconte
Télécharger
Couverture du SIIM 94

LA CYBER MISSIVE

Tout savoir sur l'actualité cyber en France

1 fois par mois dans votre boîte mail 📩

À lire aussi

Les derniers articles

Cybersécurité

Les cyberattaques contre le secteur public français en 2023

Découvrez notre tour d’horizon des cyberattaques à l’encontre du secteur public les plus marquantes de 2023.

Réglementations et normes

Entreprise : 7 mesures pour se conformer à la directive NIS2

Découvrez nos conseils pour commencer à se conformer à la directive NIS2 et faciliter son application en entreprise.

Actualité LockSelf

Le connecteur SSH : nouvelle fonctionnalité LockPass à venir

Romain Challier, Lead DevSecOps chez LockSelf nous dévoile cette fonctionnalité à venir permettant de stocker et lancer des connexions SSH depuis LockPass.

LockSelf SAS
6 Rue des Bateliers
92110 Clichy

contact@lockself.com
01 87 66 15 65
Solutions
LockPass
LockTransfer
LockFiles
Suite LockSelf
Extensions
Chrome
Brave
Edge
Autres
Hébergement
Sécurité
Livres Blancs
Support
Contact
Copyright © LockSelf 2022
CGU
CGV
Mentions légales