Retour au blog

Entreprise : 7 mesures pour se conformer à la directive NIS2

Réglementations et normes • 29 mars 2024

La directive NIS2, qui vise à renforcer et harmoniser la cybersécurité pour les entreprises membres de l’UE, entrera en vigueur en octobre 2024. Systématisation de la MFA, mise en place du chiffrement pour protéger les données, sécurisation des réseaux, formation des collaborateurs… Les démarches à effectuer sont nombreuses, et peuvent paraître laborieuses pour les entreprises. Pourtant, il existe des mesures pour se préparer dès maintenant à ces nouvelles directives. Découvrez nos conseils pour commencer à se conformer à NIS2 et faciliter son application en entreprise.

NIS2 : quels changements pour les entreprises ? 

 

La directive NIS2 renforce les normes de cybersécurité pour les entreprises des États membres de l’Union Européenne. La France a jusqu'au second semestre de 2024 pour transposer la directive dans sa législation nationale et jusqu'à la mi-avril 2025 pour élaborer une liste des Entités Essentielles (EE) et Entités Importantes (EI) visées par la directive.

Ensuite, NIS2 devra s’appliquer dans toutes les entreprises concernées, sous peine de sanctions financières et pénales, engageant la responsabilité directe des dirigeants. Les entreprises sont donc incitées à prendre dès aujourd’hui des mesures concrètes pour se conformer à NIS2, et faciliter ainsi son application en entreprise.

NIS1 et NIS2 : quelles différences ?


NIS2
vise à compléter la directive NIS1, entrée en vigueur en août 2016, en élargissant notamment son champ d’application.
En effet avec NIS1, seuls les banques, les institutions financières, les acteurs de l’énergie, des transports, de la santé, des infrastructures numériques et des réseaux d’eau étaient concernés par les directives à appliquer. 

NIS2 élargit son périmètre en y ajoutant d’autres acteurs tels que les ESN, ou encore les administrations publiques. La nouvelle directive prévoit également une segmentation entre les Entités Essentielles (EE) et les Entités Importantes (EI). Cette classification vise à ajuster les responsabilités des entreprises en fonction de leur degré de criticité en cas d'incidents de cybersécurité et des conséquences que leurs dysfonctionnements pourraient engendrer.

Retrouvez la liste complète des secteurs concernés par NIS2 ici

Quelles sont les nouvelles obligations de NIS2 ?


Les EE et les EI doivent mettre en œuvre de nouvelles mesures techniques, organisationnelles et opérationnelles, comprenant :

  • Une évaluation des risques de sécurité encourus par l’entreprise et la considération des cybermenaces.

  • La sécurisation des réseaux, englobant le traitement et la divulgation de vulnérabilités.

  • La formation des collaborateurs à une meilleure hygiène cyber.

  • L'adoption de techniques de cryptographie, comme le chiffrement pour protéger les données sensibles.

  • Un contrôle d'accès rigoureux pour prévenir les intrusions.

  • La mise en place de l'authentification multifacteur (MFA) pour renforcer la sécurité sur les services sensibles. Pour rappel, cette méthode est déjà préconisée par l’ANSSI depuis 2021¹, particulièrement pour renforcer la sécurité liée aux mots de passe

  • L’établissement de mesures garantissant la continuité des activités de l’entreprise en cas d’incidents ou de cyberattaques.

  • L'obligation d'émettre une alerte à l'ANSSI dans les 24 heures suivant un incident de sécurité, suivi d'une notification détaillée avec l'évaluation de l'impact dans les 72 heures après l'événement.


Pour plus de détails sur les mesures prévues par NIS2 consultez notre article : 
NIS2 : Quels impacts pour mon organisation ?

NIS2 et authentification multifacteur (MFA)


D’après une étude de Verizon, 81 % des violations de données mondiales seraient liées à une problématique de mots de passe ² . Face à ce constat, l'authentification multifacteur ne semble plus être une option. 

En imposant aux entreprises la MFA pour protéger les accès sensibles, NIS2 ajoute une couche de sécurité supplémentaire sur les authentifications. L’objectif est de réduire le risque d'accès non autorisé avec une étape supplémentaire lors de la demande d’accès aux services sensibles. 

Il devient donc essentiel pour les organisations de combiner la MFA avec une politique IAM robuste pour se conformer à NIS2 et renforcer leur résilience face aux cybermenaces.

Pour démocratiser la MFA et renforcer les authentifications en entreprise, plusieurs méthodes existent : les OTP (codes à usage unique), le second facteur envoyé par mail ou SMS, ou encore les applications MFA qui génèrent des codes de manière autonome, comme Google Authenticator ou Authy.

7 conseils pour faciliter l’application de NIS2 en entreprise


Pour faciliter l’application de NIS2 en entreprise, il est conseillé de prendre dès maintenant plusieurs mesures. 

Voici 7 conseils, pour une transition vers NIS2 sereine : 

1. Auditer l’ensemble des services de l’entreprise


La première étape pour se conformer à NIS2 consiste à déterminer les services essentiels au bon fonctionnement de l’entreprise. Le but est de hiérarchiser les efforts de sécurisation en se focalisant sur les ressources les plus critiques. Un audit devra ensuite être fait, afin d’identifier les failles de sécurité existantes et évaluer le niveau de sécurité de chaque service, dans le but de répondre aux exigences de NIS2.


2. Mettre en place des mesures de protection du SI

Pour protéger efficacement le SI d’une organisation, il est indispensable de segmenter les droits et les accès utilisateurs. La mise en place d'un gestionnaire de mots de passe professionnel vous permettra de gérer finement ces droits d'accès aux différentes ressources de la société. Il peut également être utile de le relier à votre annuaire d'entreprise afin de calquer la segmentation de celui-ci sur la gestion de vos mots de passe. Cela assurera une distribution appropriée des autorisations au sein de l'entreprise, en veillant à ce qu'elles soient alignées sur les besoins opérationnels tout en limitant les risques de sécurité. 

Côté authentification, le mot de passe seul n’est plus suffisant pour protéger les accès sensibles, et ce n’est pas NIS2 qui dira le contraire !

Déployer dès maintenant la MFA fera donc gagner un temps précieux aux organisations, qui pourront par exemple miser sur un déploiement progressif pour une meilleure acceptation collaborateurs.

3. Utiliser le chiffrement pour protéger les données sensibles


Afin de se conformer aux directives de NIS2 et garantir la sécurité des données sensibles, la mise en place du chiffrement est incontournable.

Cela peut être fait par le biais de protocoles de chiffrement tels que SSL / TLS qui sécurisent les échanges de données entre les utilisateurs et les serveurs. 

Pour les organisations utilisant des applications de messagerie instantanée ou de partage de fichiers, déployer dès maintenant le chiffrement de bout en bout est préconisé car il assure une protection des données tout au long de leur parcours, depuis l'émetteur jusqu'au destinataire.
 
Le chiffrement peut également être intégré à 3 niveaux :

 

  • Le transfert et la réception sécurisée de fichiers auprès de vos parties prenantes (clients, fournisseurs, partenaires). Ce niveau de sécurité supplémentaire prend notamment tout son sens dans le cadre de projets à haute valeur ajoutée (Recherche & Développement, Fusion/Acquisition, Due diligence par exemple), pour la protection de données de santé ou encore de données personnelles.

  • Le stockage sécurisé de documents confidentiels destinées par exemple à vos PRA (plan de reprise d’activité) et PCA (plan de continuité d’activité) permettant, en cas d’attaque, de récupérer les informations indispensables à la pérennité de votre activité. Privilégiez là aussi, des outils de stockage sécurisés, assurant un chiffrement des documents et un stockage externe à votre système d’information (SI).

  • La protection des mots de passe qui sont encore trop souvent stockés en clair dans les navigateurs ou sur des fichiers bureautiques. L’utilisation d’un gestionnaire centralisé de mots de passe est évidemment vivement conseillée.

    Ces cas d’usages sont notamment couverts par la suite LockSelf (LockPass, LockTransfer, LockFiles) qui présente l’avantage d’être certifiée CSPN par l’ANSSI.


    4. Miser sur un outil de détection des incidents


    Utiliser des outils de détection des incidents comme les EDR (Endpoint Detection Response) ou les EXDR (Extended Detection and Response) permettra aux organisations de repérer rapidement les menaces, et de se conformer à NIS2

    Pour les entreprises utilisant LockSelf, la possibilité de remonter les logs d’utilisation (via un dashboard par exemple) dans votre SIEM et d’activer des notifications sur certains assets sensibles est également un must have permettant de renforcer vos mécanismes de détection et de réponse à incident.

    5. Créer un plan de continuité des activités (PCA)


    Pour répondre aux exigences de NIS2, anticiper les imprévus et les incidents de sécurité à travers l’élaboration d’un Plan de Continuité des Activités (PCA) est fortement conseillé. Ce dernier permet aux entreprises de maintenir leurs opérations en cas de perturbations, et de limiter les dégâts d’une cyberattaque. 

    Pour construire un PCA efficace, 3 axes doivent être étudiés en priorité:

  • L’identification des fonctions essentielles au bon fonctionnement de l’entreprise, pour prioriser les services à protéger.

  • L’évaluation des risques, pour hiérarchiser les niveaux de sécurité à appliquer.

  • La mise en place de procédures de réponse aux incidents, pour une reprise d’activité rapide.

    Pour plus d’informations sur la reprise d’activité après une cyberattaque, consultez notre livre blanc : Circonscrire une cyberattaque en moins de 24h.

    6. Établir des procédures de communication


    Comme évoqué plus haut, NIS2 exige une communication exemplaire pour prévenir toutes les parties prenantes externes et internes dans les 24h suivant un incident de sécurité.

    Établir des procédures de communication en amont permettra aux entreprises de réagir de manière cohérente aux événements type cyberattaques. Complémentaires au PCA, ces mesures contribueront également à respecter les délais de prévenance fixés par NIS2, tout en assurant une coordination efficace des efforts de récupération. 

    7. Sensibiliser tous les collaborateurs de l’entreprise

    Au-delà des mesures techniques pour se conformer à NIS2, la sensibilisation des collaborateurs aux bonnes pratiques cyber est indispensable. Cela passe par une éducation rigoureuse, en tenant compte des menaces émergentes et des réflexes à adopter en entreprise pour s’en protéger. 

    En outre, l'entraînement des collaborateurs aux procédures du PCA les familiarise avec les étapes à suivre en cas d'incident, pour un déroulé plus fluide lors d’une éventuelle cyberattaque, par exemple.  

    Cette sensibilisation active contribue à renforcer l'efficacité globale du plan de sécurité, en faisant des collaborateurs des acteurs informés et réactifs face aux menaces potentielles.


    Sources :

    ¹ https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe

    ² https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Découvrez LockSelf

La solution cyber adaptée à vos équipes métiers

Certifiée par l'ANSSI.

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.

LockSelf