Comment préparer votre organisation aux futures obligations de la directive NIS 2 ?

Votée en novembre 2022 par les députés européens, la directive NIS 2 entrera en vigueur en France au deuxième semestre 2024. Cette directive s’appuie sur les acquis de la directive NIS 1, en application depuis 2018, qui vise à augmenter le niveau de cybersécurité des acteurs majeurs de 10 secteurs d’activité stratégiques.

NIS 2 renforce et précise les obligations énoncées par NIS 1. Et surtout la directive élargit ces mesures à des milliers d’autres entités, publiques et privées, relativement à la criticité de leur activité. Une opportunité d’élever collectivement, à l’échelle européenne et nationale, le niveau de résistance aux cyberattaques, dont l’intensité et la fréquence ne faiblissent pas.

Comment s’y préparer ? Avec quels outils et méthodes ?

Mon organisation est-elle concernée ?

Selon le Panorama de la cybermenace 2022 édité par l’ANSSI, plus de 60 % des attaques déclarées concernent de petites structures : TPE, PME, ETI et collectivités territoriales. Cela signifie qu’aucune organisation n’est épargnée.

Face à ces cyberattaques, il paraît essentiel de renforcer les mesures de sécurité de l’ensemble des entreprises européennes considérées comme importantes ou critiques. La directive NIS 2 prévoit ainsi la régulation d’entités privées, des administrations publiques et des collectivités territoriales. À l’échelle nationale, cela représente des milliers d’entités appartenant à plus de 18 secteurs d’activité.

Les critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés (≥ 50) et/ou du chiffre d’affaires (≥ à 10 millions d’euros), ainsi que la nature de l’activité réalisée par l’entité.

La transposition de NIS 2 dans le droit national pourrait également inclure des cas particuliers, soumettant à cette régulation des entités qui ne répondent pas a priori aux critères évoqués. Sont par exemple citées les entités :

Secteurs d'activité soumis à la directive NIS 2
À ce jour, la directive NIS 2 comprend des annexes 1 et 2 dans lesquelles sont indiqués les secteurs, sous-secteurs et les types d'entités concernés. Si votre organisation se retrouve dans une de ces catégories et que vous respectez les critères de taille et/ou de chiffre d’affaires, alors vous serez concerné par la directive NIS 2.

Vous souhaitez rester informé ? Inscrivez-vous à notre newsletter.

En quoi consistent les nouvelles obligations apportées par la directive NIS 2 ?

Il est encore un peu tôt pour que l’ANSSI (l’organisme de contrôle en France chargé de l’application de la directive) publie un document qui regroupe l’ensemble des exigences réglementaires de NIS 2. Certaines dispositions de la directive doivent en effet encore être transposées au niveau national, au plus tard le 17 octobre 2024. D’ici là, les acteurs concernés seront consultés pour que la réglementation tienne compte de leurs réalités et du coût économique et opérationnel de ces mesures.

On sait néanmoins déjà que les mesures de sécurité prévues par NIS 2 viseront, de manière globale, les politiques et procédures des organisations relatives à l’analyse des risques, à la sécurité des SI et à l’utilisation de la cryptographie. Cela comprend :

Que faire en attendant d’en savoir plus ?

En attendant de connaître les contours précis des obligations qui vous incomberont, vous pouvez d’ores et déjà mettre en place des process et actions de prévention face aux risques de sécurité. L’un des enjeux est donc de travailler le « hardening » de vos machines (ou « durcissement » en français).

Mais de quoi parle-t-on ? Il s’agit d’un ensemble de mesures destinées à réduire l’exposition d’un système aux attaques, par des actions relativement simples, comme notamment la suppression des services inutilisés et la limitation des droits et accès aux seuls utilisateurs nécessaires. Basique, mais redoutablement efficace !

Lorsqu’on installe un serveur Linux, par défaut il embarque des services qui ne nous sont pas nécessaires. Le superflu, désormais on le retire [avec Rudder] et c’est bénéfique tant pour les performances que pour la sécurité.

La deuxième mesure à mettre en place est la gestion des correctifs (patch management), pour éviter d’exposer des machines dont les systèmes et applications ne seraient pas à jour et contiendraient des failles de sécurité potentielles ou avérées.

Le hardening système et le patch management sont deux piliers essentiels pour sécuriser ses systèmes en profondeur. Ils font partie des recommandations des principaux référentiels de sécurité, tels que SecNumCloud, ISO 27001 ou CIS Benchmarks.

Les nouvelles obligations imposées par la directive NIS 2 seront d’ailleurs en accord avec ces standards nationaux et internationaux. En adoptant ces mesures de bon sens, vous ne perdrez donc pas votre temps. Au contraire, vous prendrez de l’avance sur la législation et vous augmenterez rapidement votre niveau de protection.

Peut-on automatiser la sécurité ?

La conformité a toujours été intimement liée aux enjeux de sécurité. Ces deux aspects, avec l’entrée en vigueur prochaine de la directive NIS 2, se révèlent plus que jamais complémentaires et indissociables. La conformité permet en effet de prouver et d’assurer la sécurité dans le temps.

C’est pourquoi les outils d’infrastructure automation tels que Rudder adoptent désormais des fonctionnalités de renforcement de la sécurité et de contrôle de la conformité. Ces outils sont idéaux pour automatiser tout ce qui peut l’être afin de mieux maîtriser la sécurité de ses systèmes : déploiement et audite des configurations de sécurité, évaluation des vulnérabilités, gestion des campagnes de patch, remédiation, etc.

Profitez de 30 jours pour explorer tout le potentiel de Rudder

Pourquoi choisir Rudder ?

Rudder aide les entreprises à sécuriser et contrôler l’ensemble de leur infrastructure IT grâce à l’automatisation. Notre solution comprend toutes les fonctionnalités nécessaires pour renforcer la sécurité de vos machines et démontrer votre conformité dans le cadre de certification ou d’obligations légales comme NIS2. Simple d’usage et graphique, Rudder sera par exemple un soutien idéal pour rapporter rapporter avec exactitude un incident de sécurité à l’ANSSI le cas échéant.

Dernier point : en vous offrant une traçabilité rigoureuse de l’état et des actions effectuées sur vos machines, Rudder vous permettra de démontrer votre conformité, mais aussi de rapporter avec exactitude un incident de sécurité à l’ANSSI le cas échéant.

D’autre part, en tant que membre de CIS SecureSuite®, notre équipe peut vous aider à évaluer, mettre en œuvre et contrôler les politiques et lignes directrices de votre entreprise en matière de cybersécurité.

Partager ce post

Retour en haut
Rudder robot named Ruddy makes an announcement.

Rudder 8.2 : simplifiez la conformité de la sécurité IT avec la solution Policy and benchmark

Détails du module Security management

Ce module a pour objectif de garantir une sécurité et une conformité optimales pour la gestion de votre infrastructure, avec des fonctionnalités pour les entreprises telles que :

Pour en savoir plus sur ce module, consultez la page gestion de la sécurité.

Détails du module configuration & patch management

Ce module vise une performance et une fiabilité optimales pour la gestion de votre infrastructure et de vos patchs, avec des fonctionnalités pour les entreprises telles que :

Pour en savoir plus sur ce module, consultez la page gestion des configurations et des patchs.