inforsud technologies accueil Logo
Nous contacter0 811 349 609
Top

INFORSUD Technologies

Solutions et impulsions technologiques

/

La directive NIS 2 (Directive (UE) 2022/2555) est un cadre législatif visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne. Cette directive étend et renforce le cadre établi par la directive NIS1, élargissant son champ d’application à un plus grand nombre d’entités.

NIS1 - NIS2, les entreprises à la traîne

Seuls 6% des entreprises sont conformes à NIS1, la version précédente de la directive (source IT Social). Ce faible taux de conformité suggère que la grande majorité des entreprises ne sont pas encore préparées pour NIS2, qui est plus étendue et plus exigeante.

Objectif : établir un niveau commun élevé de sécurité pour les réseaux et les systèmes d’information.

Applicabilité : la directive s’applique aux entreprises considérées comme entités essentielles et entités importantes, le secteur d’activité de l’organisation peut être l’un des suivants :

NIS Applicabilité

Sources : infographie ANSSI (MonEspaceNIS2)

Impact pour les entreprises concernées : nouvelles obligations en termes de gouvernance, de gestion des risques et de déclaration des incidents.

Etes-vous concerné ? A vous de faire la démarche !

Les entreprises ne doivent pas attendre une notification officielle les désignant en tant qu’entité concernée, c’est de leur responsabilité d’identifier si l’organisation est soumise au dispositif.

L’ANSSI met à disposition un simulateur sur MonEspaceNis2 :

https://monespacenis2.cyber.gouv.fr/simulateur

 

REMARQUE : les administrations publiques ne sont pas intégrées au simulateur pour le moment.

Questionnaire NIS

Le résultat du questionnaire permet de vérifier le statut probable de l’entreprise, il est à retenir que la désignation des entreprises est prévue à échéance du 17 avril 2025.

Pourquoi la conformité à NIS2 est-elle essentielle pour nos clients ?

La conformité à NIS2 est essentielle pour nos clients car elle garantit non seulement la sécurité de leurs systèmes et données, mais aussi leur conformité avec les régulations européennes.

La mise en conformité s’inscrit dans une démarche stratégique qui consolide la résilience face aux cybermenaces grâce à la mise en place des mesures de gestion des risques et des plans de continuité d’activité.

Les clients et partenaires sont de plus en plus sensibles à la manière dont les entreprises protègent leurs données et leurs systèmes. Être conforme à NIS2 montre un engagement dans une démarche de sécurité et permet de renforcer la réputation de l’entreprise.

Le non-respect de NIS2 peut entraîner des sanctions financières importantes et des poursuites judiciaires. En conformité avec cette directive, nos clients évitent ces risques, ce qui réduit leur exposition à des amendes et protège leur position légale.

Comprendre la Directive NIS2

La nouvelle directive est organisée autour de 23 règles sous 4 domaines différents :

  • Gouvernance
  • Protection
  • Défense
  • Résilience

Le volet gouvernance est composé des éléments habituels destinés à réaliser ce type de démarche :

  • Analyse de risque dans le cadre de l’homologation de sécurité
  • Mise en œuvre d’une politique de sécurité du système d’information (PSSI)
  • Mettre en œuvre une procédure d’homologation (prévue dans la PSSI) basée sur un/des référentiel(s)
  • Evaluer en continu à l’aide d’indicateurs
  • Assurer des audits réguliers dans le cadre de l’homologation de sécurité
  • Cartographier le système d’information afin de fournir une vision claire

La thématique de Protection détaille 17 règles à respecter dans le cadre de la directive :

  • Respect des bonnes pratiques en matière de configuration/paramétrage
  • Cloisonnement des réseaux dans le but de limiter les attaques
  • Protection des accès distants
  • Mécanismes de filtrage destinés à sécuriser les données
  • Création de comptes spécifiques à l’administration
  • Gestion des configurations des solutions matérielles et logicielles spécifiques au SI
  • Création de comptes d’identification pour l’accès aux ressources (compte nominatif)
  • Règles de gestion et attribution des droits d’accès
  • Déploiement d’une procédure de maintien en condition de sécurité du SI
  • Appliquer des mesures de protection physiques et environnementales (ex : accès au locaux)

La thématique de Protection concerne l’aspect traçabilité et alerte que peuvent générer les incidents de sécurité, on retrouve donc des règles propres à la supervision :

  • Détecter les incidents de sécurité
  • Gérer la journalisation sur les systèmes d’information
  • Analyser les journaux et corréler les évènements
  • Traiter les incidents de sécurité affectant le SI
  • Mettre en place un service de traitement des alertes (en relation avec l’ANSSI)

La dernière thématique traite de la résilience de l’entreprise face à une attaque d’ampleur ayant un impact important sur l’activité :

  • Gestion de crise en cas d’incident de sécurité majeur impactant l’entité

Les défis de la mise en conformité pour nos clients

La directive NIS2 impose des exigences détaillées en matière de cybersécurité, notamment sur la gestion des risques, les obligations de notification des incidents, et la mise en place de mesures de protection adéquates.

On retrouve 3 obstacles principaux : le manque de ressources internes, la complexité technique, les difficultés de priorisation et la mise en place obligatoire de notification des incidents.

  • Manque de ressources internes et coûts associés

La pénurie de professionnels qualifiés en cybersécurité constitue un obstacle majeur. Les organisations doivent non seulement mettre en place des systèmes techniques pour se conformer à la directive, mais aussi s’assurer de disposer de personnel formé et compétent pour gérer et superviser la sécurité.

La mise en œuvre des mesures de cybersécurité imposées par NIS2 peut entraîner des coûts élevés, en particulier pour les petites et moyennes entreprises (PME) qui n’ont pas les ressources financières ou humaines nécessaires pour développer des systèmes de cybersécurité complexes. Cela inclut des investissements dans des infrastructures de sécurité, des logiciels, et des formations du personnel.

  • Complexité technique et ambigüité des exigences

Certaines des exigences de la directive peuvent être perçues comme vagues ou difficiles à interpréter, surtout pour les organisations de petite taille. L’absence de directives détaillées sur la mise en œuvre précise de certaines mesures de sécurité peut créer des incertitudes quant à leur conformité.

  • Difficultés de priorisation des risques et résistance au changement

L’évolution rapide des menaces et des techniques d’attaque peut rendre difficile pour les organisations de suivre les recommandations de NIS2 et de maintenir un niveau de sécurité adéquat. Les cyberattaques deviennent de plus en plus sophistiquées, et la mise en œuvre de nouvelles technologies de sécurité nécessite des mises à jour constantes.

Certaines entreprises, en particulier dans des secteurs moins réglementés, peuvent être réticentes à adopter des mesures de sécurité supplémentaires en raison de préoccupations concernant les coûts, la complexité et les perturbations potentielles pour leurs opérations.

  • Mise en place d’une notification obligatoire des incidents

NIS2 impose des obligations de notification rapide des incidents de sécurité, ce qui peut être un défi pour les entreprises qui manquent de mécanismes en place pour détecter et répondre rapidement aux cyberattaques. Il existe également des préoccupations concernant les conséquences juridiques et économiques de la notification des incidents de sécurité.

Focus sur l’importance de l’accompagnement externe pour gérer ces défis

L’accompagnement permet d’assurer que l’organisation respecte les exigences légales de la directive NIS2. Cette directive impose aux entreprises de renforcer leur sécurité informatique et de garantir la résilience de leurs systèmes d’information.

La présence d’un expert aide à évaluer les risques et les vulnérabilités des systèmes d’information de l’organisation. L’analyse de risques permet d’identifier les menaces potentielles et permet de mettre en place des mesures adaptées pour les contrer, réduisant ainsi la probabilité d’incidents de sécurité.

Un accompagnement à NIS2 aide à instaurer des pratiques de cybersécurité solides au sein de l’organisation. Cela inclut la gestion des accès, la sécurisation des réseaux et des données, ainsi que la mise en place de plans de réponse aux incidents, afin d’assurer la continuité de l’activité en cas de cyberattaque. Un bon accompagnement inclut également des actions de formation et de sensibilisation des employés à la cybersécurité. Cela permet de réduire les risques humains (erreurs, négligence) en formant le personnel aux bonnes pratiques de sécurité, à la reconnaissance des menaces (comme le phishing), et à la gestion des incidents.

Être conforme à NIS2 envoie un signal fort à vos clients, partenaires et actionnaires concernant la gestion sérieuse des risques de cybersécurité. Cela peut renforcer la confiance dans votre organisation et améliorer votre réputation, surtout dans des secteurs sensibles où la sécurité est primordiale.

L’approche d’Inforsud Technologies

  • Présentation des services proposés par INFORSUD Technologies 

En tant que Lead Implementer ISO/EIC 27001,INFORSUD Technologies possède l’expertise nécessaire pour aider une organisation à planifier, mettre en œuvre, gérer, surveiller et maintenir efficacement un système de management de la sécurité de l’information (SMSI).

La directive NIS2 n’impose pas de méthodologie particulière cependant INFORSUD Technologies s’appuie depuis plusieurs années sur l’approche EBIOS Risk Manager, permettant de traiter l’analyse de risques sur la base d’ateliers organisés de manière collaborative. Cette méthode est proposée et maintenue par l’ANSSI.

Une première étape : Le diagnostic initial pour un audit des pratiques et évaluation des écarts par rapport à NIS2. 

Il est proposé de réaliser une mesure d’écart pour situer l’entreprise par rapport aux exigences de la norme. L’audit doit permettre de fixer les priorités et engager dans les meilleurs délais la mise en conformité.

Nous proposons un audit de maturité basé essentiellement sur les 23 règles et 4 domaines que couvre la directive. L’objectif est de mesurer les écarts entre le niveau de conformité observé et les résultats attendus.

Cet accompagnement stratégique est élaboré à partir d’un plan d’action sur mesure, adapté à votre organisation et déployé à votre rythme.

Il est proposé une mise en œuvre technique et le cas échéant opérationnelle, assurant l’intégration ou amélioration des solutions de sécurité informatique (SIEM, pare-feu, systèmes de détection d’intrusion, etc.) adapté à votre structure.

En complément, des sessions de formation et sensibilisation à destination des collaborateurs visent à garantir une culture de cybersécurité propre à l’entreprise. 

Conclusion

NIS2 impose des exigences strictes en matière de cybersécurité, ce qui oblige les entreprises à améliorer leurs infrastructures, processus, et pratiques de sécurité pour protéger leurs données et leurs systèmes critiques.

En adoptant des mesures comme la gestion des vulnérabilités, la surveillance continue et les plans de réponse aux incidents, les entreprises minimisent les risques de pertes financières, de réputation ou d’interruption d’activité.

INFORSUD Technologies propose un accompagnement spécifique pour chaque client, notre approche est basée sur :

  • Une évaluation de la maturité de l’organisation par rapport aux attentes NiS2
  • Un plan d’action décliné par priorités
  • Un rythme adapté à l’entreprise et une approche collaborative
  • Une méthodologie éprouvée et maitrisée par les équipes

Ne laissez pas la directive NIS2 être une contrainte, transformez-la en une opportunité stratégique avec INFORSUD Technologies.

 

Demande de contact
Retours aux actualités

Suivez toute notre actualité sur nos réseaux sociaux