Blogue
/
Cyber-résilience

Comment se préparer au NIS2 : ce que vous devez savoir

Trevor Dearing
,
Directeur du marketing des solutions industrielles
September 14, 2023
23 min. de lecture
The EU's NIS2 directive requires cyber resilience for member states
Image tirée de dans Cyber

Beaucoup de choses ont été écrites sur le NIS2 récemment alors que nous nous dirigeons vers une étape clé de sa mise en œuvre. D'ici le 18th d'octobre 2024, les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive NIS2.

Bien que cette date puisse semer la panique chez de nombreuses personnes, il s'agit simplement de la date à laquelle les différents pays devront adopter la loi NIS2 et abroger la NIS1 (UE 2016/1148). Le calendrier de mise en conformité des différentes organisations sera défini dans les lois promulguées par les différents États. Pour certains, cela pourrait prendre jusqu'à quatre ans après cette date.

Peu importe quand NIS2 entrera en vigueur, il est temps pour les organisations de commencer à se préparer à se conformer aux mandats du NIS2 pour cyber-résilience.

Quelle est la différence entre NIS1 et NIS2 ?

Beaucoup se sont demandé pourquoi une version deux ou même une future version trois de la directive NIS étaient nécessaires.

La réponse est simple : les choses changent.

La nouvelle directive NIS2 reflète mieux le paysage actuel de la cybersécurité. Il effectue également des mises à jour sur la base des enseignements tirés du NIS1.

Depuis NIS1 entrée en vigueur en 2016 :

  • Les types d'organisations considérées comme critiques ont changé.
  • La technologie a évolué avec l'augmentation de l'automatisation et des appareils intelligents.
  • La cybersécurité a évolué et l'ancienne approche axée sur la protection des réseaux statiques a été remplacée par une approche plus agile.
  • L'adoption de Confiance zéro a simplifié la manière dont la cybersécurité est déployée, ce qui a permis d'adopter une approche plus sécurisée à moindre coût.
  • Les types de cyberattaques ont évolué en raison de l'augmentation des attaques perturbatrices et de l'apparition d'attaques générées par l'IA.

L'autre raison principale d'une mise à jour de NIS1 est d'améliorer la gouvernance. En 2016, l'idée était que chaque État élaborerait son propre ensemble de réglementations et que le régulateur national les appliquerait. Malheureusement, il existe une grande disparité dans la manière dont chaque pays a mis en œuvre le NIS1. Le NIS2 définit donc des normes minimales pour certains domaines d'intervention et a renforcé la supervision de la Commission européenne.

Le dernier changement consiste en une reclassification des organisations et une augmentation du nombre et de la taille des organisations incluses dans la directive :

  • La distinction entre les services essentiels et les fournisseurs de services numériques est remplacée par une classification des organisations en fonction de leur importance pour le pays et une division en catégories essentielles et importantes.
  • Les organisations comptant plus de 50 employés et réalisant un chiffre d'affaires annuel de plus de 50 millions d'euros sont désormais considérées comme importantes.
The EU is considering more organizations as critical in the NIS2 directive
Image tirée de Ernst & Young

Comment le NIS2 affectera-t-il mon organisation ?

Le NIS2 cherche à harmoniser les exigences entre les États membres en établissant des règles spécifiques pour les cadres mis en place par les membres. Cela met l'accent sur certains mesures de cybersécurité, y compris :

  • Analyse des risques et politiques de sécurité des systèmes d'information
  • Gestion des incidents
  • Continuité des activités et gestion de crise
  • Sécurité de la chaîne d'approvisionnement
  • Acquisition, développement et maintenance sécurisés de réseaux et de systèmes, y compris la gestion et la divulgation des vulnérabilités
  • Politiques et procédures pour évaluer l'efficacité des mesures
  • Pratiques de base en matière d'hygiène informatique et formation à la cybersécurité
  • Politiques et procédures concernant l'utilisation de la cryptographie et du chiffrement
  • L'utilisation du MFA, des communications sécurisées et des communications d'urgence sécurisées

Les États membres où ces mesures ne sont pas encore intégrées dans les réglementations nationales devront ajouter ces fonctionnalités. Et les organisations de ces pays qui ne mettent pas encore en œuvre ces contrôles devront les adopter.

L'impact le plus important du NIS2 concerne probablement les organisations qui n'étaient pas couvertes par le NIS1 auparavant. Bien que cela semble préoccupant, une étude menée par l'ENISA montre que le budget moyen pour la mise en œuvre du NIS est consacré à des projets d'une durée de 14 à 18 mois.

Que peut faire mon organisation maintenant pour se préparer au NIS2 ?

En 2016, les organisations étaient limitées en termes d'outils et d'approches de sécurité disponibles, piégées par des technologies statiques telles que l'antivirus traditionnel, le NAC et les pare-feux, et une visibilité limitée.

Même si Zero Trust faisait l'objet de discussions à l'époque, l'accent était toujours mis sur la prévention de chaque attaque en essayant de détecter tous les malwares. Aujourd'hui, la menace combinée des rançongiciels et de l'IA pose de nouveaux problèmes auxquels la directive NIS2 tentera de répondre.

Bien que les exigences techniques spécifiques à la NIS2 ne soient pas encore disponibles pour chaque État membre, les organisations peuvent commencer leur parcours vers la conformité en adoptant une approche de limitation des violations à l'aide de technologies telles que Segmentation Zero Trust, également appelée microsegmentation. Cette approche moderne part du principe que les violations sont inévitables et, en réponse, garantit la mise en place de mesures de sécurité proactives.

Eras of cybersecurity from the 2000s to 2020s

Une stratégie Zero Trust pour contenir les failles repose sur les piliers suivants :

  1. Assumez une violation et planifiez-la
  1. Identifiez tous les actifs et ressources et cartographiez les interdépendances
  1. Protégez-vous contre toutes les vulnérabilités et tous les ports exposés
  1. Réagissez rapidement et avec agilité
  1. Restaurez en toute sécurité sans réinfection

L'objectif de la directive NIS est d'améliorer la résilience des infrastructures critiques dans l'Union européenne. Cela signifie qu'il faut s'assurer que les services peuvent être maintenus en cas d'attaque.

Pour y parvenir, l'objectif doit passer de la tentative de stopper une attaque à la garantie qu'elle est contenue et ne peut pas atteindre les ressources critiques de l'entreprise.

Comment Illumio s'aligne-t-il aux exigences du NIS2 ?

NIS2 se concentre sur la standardisation des principales mesures de cybersécurité, et Illumio Zero Trust Segmentation (ZTS) vous aide à répondre aux exigences suivantes.

1. Politiques relatives à l'analyse des risques et à la sécurité de l'information

La cartographie des dépendances des applications fournit une visibilité complète du trafic sur toutes les charges de travail, y compris les conteneurs, l'IoT et les machines virtuelles, dans une console unique. Cela permet aux équipes de sécurité d'identifier les risques du réseau et de créer des politiques de sécurité qui bloquent les connexions inutiles entre les ports.

2. Gestion des incidents

En cas de violation active, Illumio peut réagir rapidement pour restreindre l'accès aux ressources critiques, stopper la propagation d'une attaque et isoler complètement les systèmes compromis. Après la violation, ZTS sépare intelligemment le système infecté en temps réel pour permettre une restauration sécurisée des données.

3. Continuité des activités et gestion de crise

Les équipes de sécurité et informatiques peuvent utiliser Illumio pour mettre en place une protection autour des différents services et systèmes afin qu'ils puissent reprendre leurs activités tout en étant protégés des attaques. Toute tentative de réinfection peut être empêchée en autorisant uniquement la connexion à une source de données immuable lors de la restauration.

4. Sécurité de la chaîne d'approvisionnement

Illumio n'autorise que les communications connues et vérifiées entre les environnements. Cela garantit qu'en cas de violation dans la chaîne d'approvisionnement, ZTS empêchera la violation de pénétrer et de se propager dans les systèmes de l'organisation.

5. Sécurité des réseaux et des systèmes d'information

Illumio étend la microsegmentation cohérente à tous les environnements, des centres de données sur site aux environnements hybrides et multicloud. Cela garantit qu'une brèche est stoppée et maîtrisée immédiatement, afin que les attaquants ne puissent pas se déplacer vers d'autres parties du réseau.

6. Politiques et procédures pour évaluer l'efficacité des mesures

Le tableau de bord de protection contre les rançongiciels Illumio permet de mieux se préparer et de se protéger contre les menaces d'attaque en fournissant des informations sur l'exposition aux risques liés à la charge de travail, la visibilité des charges de travail protégées par rapport aux charges de travail non protégées et un score de couverture de protection.

7. Pratiques de base en matière d'hygiène informatique et formation à la cybersécurité

La visibilité de bout en bout d'Illumio sur l'ensemble de la surface d'attaque fournit un aperçu des failles de sécurité qui aident à répondre aux besoins en matière de cyberhygiène et de formation. ZTS veille également à ce que les erreurs humaines inévitables ne laissent pas de vulnérabilités exploitables par les attaquants.

8. Sécurité des ressources humaines, contrôles d'accès et mesures de gestion des actifs

Avec Illumio, les équipes de sécurité peuvent mettre en œuvre des politiques de segmentation granulaire pour limiter l'accès aux systèmes, y compris aux ressources humaines. Cela signifie que si une partie du réseau est violée, les attaquants ne peuvent pas se propager aux ressources critiques.

Pour en savoir plus, consultez Atteignez la conformité NIS2 avec Illumio.

NIS2 : un cadre simplifié pour sécuriser les services essentiels

Par rapport aux stratégies traditionnelles de prévention et de détection, une approche de confinement des violations est beaucoup plus simple car les organisations n'ont qu'à définir les quelques éléments autorisés sur le réseau, au lieu des milliers de choses qui doivent être arrêtées. La capacité de l'IA à détecter les vulnérabilités et à ouvrir des connexions nous rend plus vulnérables aux violations, mais un changement d'approche peut y contribuer.

En vous concentrant sur la protection de la ressource, qu'elle se trouve sur un serveur, dans le cloud ou sur un appareil OT, vous n'avez plus à concevoir une politique pour les technologies de sécurité statiques basées sur le réseau.

Obtenez plus d'informations sur la façon dont Illumio protège les organisations de services essentiels.

Contactez-nous dès aujourd'hui pour une démonstration et une consultation gratuites.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Tester en permanence l'efficacité de vos contrôles Zero Trust
Cyber-résilience

Tester en permanence l'efficacité de vos contrôles Zero Trust

Une stratégie Zero Trust holistique devrait prendre en compte chacun de ces cinq piliers et fournir une couverture pour chacun de ces cinq piliers.

En savoir plus
Qu'est-ce qu'une architecture Zero Trust ? Un guide complet
Cyber-résilience

Qu'est-ce qu'une architecture Zero Trust ? Un guide complet

Learn what it means to build Zero Trust architecture, including its core concept, network design principles, and its role in cybersecurity.

En savoir plus
Nos articles Zero Trust préférés de décembre 2023
Cyber-résilience

Nos articles Zero Trust préférés de décembre 2023

Découvrez les points de vue des experts de Zero Trust sur les raisons pour lesquelles la cyberstratégie, le retour sur investissement et la résilience sont au cœur des préoccupations des leaders de la cybersécurité en 2024.

En savoir plus
Les directives de sécurité NIS2 et DORA de l'UE : ce que vous devez savoir
Cyber-résilience

Les directives de sécurité NIS2 et DORA de l'UE : ce que vous devez savoir

Découvrez les 3 manières dont Illumio Zero Trust Segmentation peut vous aider à atteindre la conformité NIS2 et DORA.

En savoir plus
S&P Global : les trois meilleurs moyens de faire face à la menace des rançongiciels qui pèsent sur les infrastructures critiques
Confinement des ransomwares

S&P Global : les trois meilleurs moyens de faire face à la menace des rançongiciels qui pèsent sur les infrastructures critiques

Trevor Dearing, directeur marketing des solutions Illumio, et Eric Hanselman, analyste en chef de Global Market Intelligence chez S&P Global, répondent aux préoccupations liées aux rançongiciels.

En savoir plus
10 raisons de choisir Illumio pour une segmentation Zero Trust
Segmentation Zero Trust

10 raisons de choisir Illumio pour une segmentation Zero Trust

Learn why organizations are adopting Zero Trust Segmentation as a foundational and strategic pillar of any Zero Trust architecture.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus