Comment se préparer au NIS2 : ce que vous devez savoir
Beaucoup de choses ont été écrites sur le NIS2 récemment alors que nous nous dirigeons vers une étape clé de sa mise en œuvre. D'ici le 18th d'octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS2.
Bien que cette date puisse semer la panique chez de nombreuses personnes, il s'agit simplement de la date à laquelle les différents pays devront adopter la loi NIS2 et abroger la NIS1 (UE 2016/1148). Le calendrier de mise en conformité des différentes organisations sera défini dans les lois promulguées par les différents États. Pour certains, cela pourrait prendre jusqu'à quatre ans après cette date.
Peu importe quand NIS2 entrera en vigueur, il est temps pour les organisations de commencer à se préparer à se conformer aux mandats du NIS2 pour cyber-résilience.
Quelle est la différence entre NIS1 et NIS2 ?
Beaucoup se sont demandé pourquoi une version deux ou même une future version trois de la directive NIS étaient nécessaires.
La réponse est simple : les choses changent.
La nouvelle directive NIS2 reflète mieux le paysage actuel de la cybersécurité. Il effectue également des mises à jour sur la base des enseignements tirés du NIS1.
Depuis NIS1 entrée en vigueur en 2016 :
- Les types d'organisations considérées comme critiques ont changé.
- La technologie a évolué avec l'augmentation de l'automatisation et des appareils intelligents.
- La cybersécurité a évolué et l'ancienne approche axée sur la protection des réseaux statiques a été remplacée par une approche plus agile.
- L'adoption de Confiance zéro a simplifié la manière dont la cybersécurité est déployée, ce qui a permis d'adopter une approche plus sécurisée à moindre coût.
- Les types de cyberattaques ont évolué en raison de l'augmentation des attaques perturbatrices et de l'apparition d'attaques générées par l'IA.
L'autre raison principale d'une mise à jour de NIS1 est d'améliorer la gouvernance. En 2016, l'idée était que chaque État élaborerait son propre ensemble de réglementations et que le régulateur national les appliquerait. Malheureusement, il existe une grande disparité dans la manière dont chaque pays a mis en œuvre le NIS1. Le NIS2 définit donc des normes minimales pour certains domaines d'intervention et a renforcé la supervision de la Commission européenne.
Le dernier changement consiste en une reclassification des organisations et une augmentation du nombre et de la taille des organisations incluses dans la directive :
- La distinction entre les services essentiels et les fournisseurs de services numériques est remplacée par une classification des organisations en fonction de leur importance pour le pays et une division en catégories essentielles et importantes.
- Les organisations comptant plus de 50 employés et réalisant un chiffre d'affaires annuel de plus de 50 millions d'euros sont désormais considérées comme importantes.
Comment le NIS2 affectera-t-il mon organisation ?
Le NIS2 cherche à harmoniser les exigences entre les États membres en établissant des règles spécifiques pour les cadres mis en place par les membres. Cela met l'accent sur certains mesures de cybersécurité, y compris :
- Analyse des risques et politiques de sécurité des systèmes d'information
- Gestion des incidents
- Continuité des activités et gestion de crise
- Sécurité de la chaîne d'approvisionnement
- Acquisition, développement et maintenance sécurisés de réseaux et de systèmes, y compris la gestion et la divulgation des vulnérabilités
- Politiques et procédures pour évaluer l'efficacité des mesures
- Pratiques de base en matière d'hygiène informatique et formation à la cybersécurité
- Politiques et procédures concernant l'utilisation de la cryptographie et du chiffrement
- L'utilisation du MFA, des communications sécurisées et des communications d'urgence sécurisées
Les États membres où ces mesures ne sont pas encore intégrées dans les réglementations nationales devront ajouter ces fonctionnalités. Et les organisations de ces pays qui ne mettent pas encore en œuvre ces contrôles devront les adopter.
L'impact le plus important du NIS2 concerne probablement les organisations qui n'étaient pas couvertes par le NIS1 auparavant. Bien que cela semble préoccupant, une étude menée par l'ENISA montre que le budget moyen pour la mise en œuvre du NIS est consacré à des projets d'une durée de 14 à 18 mois.
Que peut faire mon organisation maintenant pour se préparer au NIS2 ?
En 2016, les organisations étaient limitées en termes d'outils et d'approches de sécurité disponibles, piégées par des technologies statiques telles que l'antivirus traditionnel, le NAC et les pare-feux, et une visibilité limitée.
Même si Zero Trust faisait l'objet de discussions à l'époque, l'accent était toujours mis sur la prévention de chaque attaque en essayant de détecter tous les malwares. Aujourd'hui, la menace combinée des rançongiciels et de l'IA pose de nouveaux problèmes auxquels la directive NIS2 tentera de répondre.
Bien que les exigences techniques spécifiques à la NIS2 ne soient pas encore disponibles pour chaque État membre, les organisations peuvent commencer leur parcours vers la conformité en adoptant une approche de limitation des violations à l'aide de technologies telles que Segmentation Zero Trust, également appelée microsegmentation. Cette approche moderne part du principe que les violations sont inévitables et, en réponse, garantit la mise en place de mesures de sécurité proactives.
Une stratégie Zero Trust pour contenir les failles repose sur les piliers suivants :
- Assumez une violation et planifiez-la
- Identifiez tous les actifs et ressources et cartographiez les interdépendances
- Protégez-vous contre toutes les vulnérabilités et tous les ports exposés
- Réagissez rapidement et avec agilité
- Restaurez en toute sécurité sans réinfection
L'objectif de la directive NIS est d'améliorer la résilience des infrastructures critiques dans l'Union européenne. Cela signifie qu'il faut s'assurer que les services peuvent être maintenus en cas d'attaque.
Pour y parvenir, l'objectif doit passer de la tentative de stopper une attaque à la garantie qu'elle est contenue et ne peut pas atteindre les ressources critiques de l'entreprise.
Comment Illumio s'aligne-t-il aux exigences du NIS2 ?
NIS2 se concentre sur la standardisation des principales mesures de cybersécurité, et Illumio Zero Trust Segmentation (ZTS) vous aide à répondre aux exigences suivantes.
1. Politiques relatives à l'analyse des risques et à la sécurité de l'information
La cartographie des dépendances des applications fournit une visibilité complète du trafic sur toutes les charges de travail, y compris les conteneurs, l'IoT et les machines virtuelles, dans une console unique. Cela permet aux équipes de sécurité d'identifier les risques du réseau et de créer des politiques de sécurité qui bloquent les connexions inutiles entre les ports.
2. Gestion des incidents
En cas de violation active, Illumio peut réagir rapidement pour restreindre l'accès aux ressources critiques, stopper la propagation d'une attaque et isoler complètement les systèmes compromis. Après la violation, ZTS sépare intelligemment le système infecté en temps réel pour permettre une restauration sécurisée des données.
3. Continuité des activités et gestion de crise
Les équipes de sécurité et informatiques peuvent utiliser Illumio pour mettre en place une protection autour des différents services et systèmes afin qu'ils puissent reprendre leurs activités tout en étant protégés des attaques. Toute tentative de réinfection peut être empêchée en autorisant uniquement la connexion à une source de données immuable lors de la restauration.
4. Sécurité de la chaîne d'approvisionnement
Illumio n'autorise que les communications connues et vérifiées entre les environnements. Cela garantit qu'en cas de violation dans la chaîne d'approvisionnement, ZTS empêchera la violation de pénétrer et de se propager dans les systèmes de l'organisation.
5. Sécurité des réseaux et des systèmes d'information
Illumio étend la microsegmentation cohérente à tous les environnements, des centres de données sur site aux environnements hybrides et multicloud. Cela garantit qu'une brèche est stoppée et maîtrisée immédiatement, afin que les attaquants ne puissent pas se déplacer vers d'autres parties du réseau.
6. Politiques et procédures pour évaluer l'efficacité des mesures
Le tableau de bord de protection contre les rançongiciels Illumio permet de mieux se préparer et de se protéger contre les menaces d'attaque en fournissant des informations sur l'exposition aux risques liés à la charge de travail, la visibilité des charges de travail protégées par rapport aux charges de travail non protégées et un score de couverture de protection.
7. Pratiques de base en matière d'hygiène informatique et formation à la cybersécurité
La visibilité de bout en bout d'Illumio sur l'ensemble de la surface d'attaque fournit un aperçu des failles de sécurité qui aident à répondre aux besoins en matière de cyberhygiène et de formation. ZTS veille également à ce que les erreurs humaines inévitables ne laissent pas de vulnérabilités exploitables par les attaquants.
8. Sécurité des ressources humaines, contrôles d'accès et mesures de gestion des actifs
Avec Illumio, les équipes de sécurité peuvent mettre en œuvre des politiques de segmentation granulaire pour limiter l'accès aux systèmes, y compris aux ressources humaines. Cela signifie que si une partie du réseau est violée, les attaquants ne peuvent pas se propager aux ressources critiques.
Pour en savoir plus, consultez Atteignez la conformité NIS2 avec Illumio.
NIS2 : un cadre simplifié pour sécuriser les services essentiels
Par rapport aux stratégies traditionnelles de prévention et de détection, une approche de confinement des violations est beaucoup plus simple car les organisations n'ont qu'à définir les quelques éléments autorisés sur le réseau, au lieu des milliers de choses qui doivent être arrêtées. La capacité de l'IA à détecter les vulnérabilités et à ouvrir des connexions nous rend plus vulnérables aux violations, mais un changement d'approche peut y contribuer.
En vous concentrant sur la protection de la ressource, qu'elle se trouve sur un serveur, dans le cloud ou sur un appareil OT, vous n'avez plus à concevoir une politique pour les technologies de sécurité statiques basées sur le réseau.
Obtenez plus d'informations sur la façon dont Illumio protège les organisations de services essentiels.
Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.