NIS 2 : Des mesures applicables depuis le 7 novembre 2024 pour certains secteurs critiques, particulièrement dans le secteur IT

Le Règlement d’exécution (UE) 2024/2690 qui a été publié le 17 octobre 2024 établit les exigences techniques et méthodologiques pour la mise en œuvre de la directive (UE) 2022/2555, plus connue sous le nom de Directive NIS2, visant à garantir un niveau commun de cybersécurité dans l’Union européenne.

Ce Règlement d’exécution vise à renforcer la cybersécurité des infrastructures critiques en définissant des obligations précises pour différents sous-secteurs concernés par la Directive NIS 2 et considérés comme « Hautement critiques » :

• Les fournisseurs de services DNS,
• Les registres des noms de domaine de premier niveau,
• Les fournisseurs de services d’informatique en nuage,
• Les fournisseurs de services de centres de données,
• Les fournisseurs de réseaux de diffusion de contenu,
• Les fournisseurs de services gérés,
• Les fournisseurs de services de sécurité gérés,
• Les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux,
• Les prestataires de services de confiance.
  

Le règlement détaille les exigences techniques et organisationnelles que les entités concernées doivent suivre :

Politique de sécurité des réseaux et systèmes d’information

Chaque entité concernée doit élaborer une politique globale de cybersécurité qui :

• Définit des objectifs clairs pour sécuriser ses systèmes.
• Inclut un engagement à améliorer continuellement la sécurité.
• Fournit des ressources dédiées (humaines, financières et technologiques) pour mettre en œuvre les mesures.
• Dresse une hiérarchie des documents de sécurité (politique principale et sous-politiques).
• Établit des indicateurs pour mesurer l’efficacité des mesures.

La politique doit être revue annuellement ou après un incident majeur.

Cadre de gestion des risques

Les évaluations doivent être documentées et revues périodiquement, au moins une fois par an.

Gestion des accès et authentification

• Contrôle des accès : Limitation des droits d’accès aux systèmes critiques.
• Authentification multifactorielle : Requise pour les accès à distance, les comptes privilégiés ou sensibles.
• Segmentation des réseaux : Isolation des systèmes critiques pour minimiser les risques de propagation des attaques.

Protection des données

• Chiffrement des données : Les données sensibles doivent être protégées pendant leur stockage et leur transmission.
• Gestion des sauvegardes : Maintenir des copies de sauvegarde sécurisées et tester leur restauration régulièrement.

Gestion des vulnérabilités

• Mise à jour régulière des logiciels pour corriger les failles de sécurité.
• Procédure de gestion des correctifs : Application rapide des correctifs pour éviter les exploitations.

Sécurité physique

• Contrôle des accès physiques : Les installations critiques doivent être protégées par des systèmes de surveillance et des contrôles d’accès stricts.
• Protection contre les catastrophes : Les entités doivent prévoir des mesures pour minimiser les impacts d’incendies, d’inondations ou autres menaces environnementales (ex. : systèmes de climatisation redondants, compartiments coupe-feu).

Tests de sécurité

Les entités doivent réaliser des tests réguliers, tels que :

• Tests d’intrusion pour évaluer la résistance des systèmes.
• Analyses de vulnérabilité et audits de configuration pour identifier les faiblesses.
• Tests dynamiques et statiques des applications critiques.

Audits indépendants

Un réexamen indépendant de la politique de sécurité doit être conduit par des tiers ou des équipes internes n’ayant pas d’autorité hiérarchique sur le domaine audité. Les audits doivent être réalisés périodiquement et après chaque incident majeur.

Gestion de la chaîne d’approvisionnement

Les entités doivent évaluer les risques liés à leurs fournisseurs et prestataires de services :

• Clauses de sécurité dans les contrats : Exiger que les fournisseurs respectent les mêmes normes de cybersécurité.
• Vérifications régulières : Audit des prestataires pour s’assurer de leur conformité.

Les relations avec les fournisseurs doivent être surveillées pour éviter des vulnérabilités introduites par des tiers.

Sensibilisation et formation

L’entité doit mettre en œuvre :

• Formation régulière du personnel sur les pratiques de sécurité (ex. : phishing).
• Sensibilisation des utilisateurs : Politiques claires sur l’utilisation des systèmes, l’accès aux données et la protection contre les menaces.

L’objectif est d’assurer une culture de la cybersécurité au sein de l’organisation.

Continuité des activités

Pour assurer la résilience face aux incidents, les entités doivent mettre en place des plans de continuité qui incluent :

• Analyse d’impact sur l’activité (BIA) : Déterminer les objectifs de rétablissement en cas de panne (RTO, RPO).
• Plans de continuité et de reprise : Définir des stratégies pour assurer la continuité des activités et pour restaurer les opérations critiques dans les délais requis.

Surveillance et détection des incidents

Les entités doivent surveiller leurs réseaux et systèmes d’information pour :

• Utiliser des outils avancés pour détecter les attaques (ex. : déni de service, accès non autorisé).
• Détecter les anomalies et les événements suspects en temps réel.
  • Cette surveillance doit inclure des journaux d’activité permettant de retracer l’origine des incidents.
• Établir un plan de réponse aux incidents couvrant :
  • Analyse les incidents pour évaluer leur gravité.
  • Communication interne et externe pendant un incident.
  • Réactions immédiates pour contenir et remédier aux attaques.
  • Retour d’expérience des incidents pour améliorer les systèmes de défense
    

Notification des incidents Importants – quels critères ?

Le règlement précise les cas dans lesquels un incident est considéré comme important, ce qui entraîne une obligation de notification rapide aux autorités compétentes. Ces incidents sont classés selon leur impact potentiel ou réel sur les opérations, la santé publique ou la sécurité économique :

• Le nombre d’utilisateurs touchés par l’incident, en tenant compte des clients professionnels et des clients finaux
• Perte financière significative : tout incident entraînant une perte supérieure à 500 000 euros ou 5 % du chiffre d’affaires annuel de l’entité est considéré comme important.
• Atteinte à la santé ou à la vie humaine : Les incidents entraînant des dommages considérables à la santé ou la mort d’une personne sont qualifiés d’importants.
• Accès non autorisé : Un accès suspecté d’être malveillant aux systèmes d’information, même sans impact immédiat, est classé comme incident important s’il peut perturber gravement les opérations.
• Incidents récurrents : Des incidents apparemment mineurs mais récurrents sont également pris en compte lorsqu’ils se produisent au moins deux fois en six mois et entraînent des pertes financières.

Cette notion d’incident récurrents est une nouveauté dans la définition d’un incident important et donc notifiable à l’Autorité de Contrôle.

Des conditions spécifiques selon les sous-secteurs s’appliquent également pour la catégorisation des incidents importants.

Conclusion

Le Règlement d’exécution (UE) 2024/2690 impose un cadre de sécurité précis pour renforcer la cybersécurité des entités concernés en Europe. Il est applicable sans transposition depuis le 7 novembre 2024 !

Les mesures couvrent un spectre large, allant de la gestion proactive des risques à la réponse rapide aux incidents, tout en tenant compte des spécificités de chaque sous-secteur. Leur mise en œuvre vise à protéger efficacement les infrastructures critiques contre des cybermenaces de plus en plus sophistiquées.

Sur l’ensemble de ces mesures, la mise en place d’un Système de Management de la Sécurité de l’Information ISO 27001 est conseillé car il vous permettra de démontrer votre conformité à ces exigences et vous assurera de les faire « vivre » dans le temps, en les faisant évoluer régulièrement.

Vous vous posez des questions sur la Directive NIS 2, si vous êtes concernés par ce Règlement d’exécution, CLIQUEZ ICI pour échanger avec un consultant expert.