L’utilisation correcte de la cybersécurité est aujourd’hui plus importante que jamais. En raison de l’augmentation des menaces, le risque d’attaques ne cesse de croître. Le législateur l'a également reconnu et a créé la ligne directrice NIS2. Axians donne des conseils sur la manière dont les entreprises doivent procéder dès maintenant.
Un quart de million de variantes de logiciels malveillants nouvellement découvertes, 2.000 21.000 vulnérabilités identifiées dans des produits logiciels par mois, 68 XNUMX systèmes nouvellement infectés chaque jour, XNUMX attaques de ransomware réussies et deux tentatives par mois contre des installations municipales ou des entreprises municipales uniquement. Le rapport actuel sur la situation en matière de cybersécurité de l'Office fédéral de la sécurité de l'information (BSI) mentionne des chiffres alarmants : l'office prévient que les criminels évoluent. Aujourd’hui, les cybercriminels professionnels travaillent en réseau et travaillent selon une division du travail. Ils utilisent l’intelligence artificielle (IA) et d’autres technologies modernes pour leurs attaques.
En raison de ces conditions dans le paysage de la cybersécurité, l'UE a publié la directive NIS2. Les exigences de la directive sont en cours d’intégration dans les législations nationales et doivent être codifiées d’ici le 17 octobre 2024. Toutes les institutions concernées sont alors tenues de mettre en œuvre une série de mesures de cybersécurité.
Quelles exigences les entreprises doivent-elles remplir pour NIS2 ?
Les entreprises doivent entre autres avoir un concept de gestion des risques, mettre en place des plans d'urgence et signaler les incidents de sécurité au BSI. Des mesures techniques de protection sont nécessaires, telles qu'une sauvegarde systématique des données, des concepts de contrôle d'accès, de cryptage et de gestion des vulnérabilités. Semblable à l'IT Security Act 2.0, le NIS2 stipule également que les entreprises doivent tenir compte des vulnérabilités de leurs chaînes d'approvisionnement dans leurs concepts de sécurité afin que les criminels ne puissent pas pénétrer dans les systèmes via les fournisseurs. Il est important de mettre enfin en œuvre l’état de l’art en intégrant les normes et processus de sécurité déjà recommandés comme bonnes pratiques avant NIS2.
Quiconque a veillé ces dernières années à protéger son entreprise contre les criminels conformément aux normes en vigueur n'a besoin que de quelques ajustements pour répondre aux exigences. Mais les entreprises et les institutions qui entrent pour la première fois dans la zone NIS2 et qui ont jusqu’ici négligé le thème de la cybersécurité sont désormais confrontées à des défis majeurs. Pour se préparer aux exigences, les nouvelles entreprises devraient prendre des mesures de protection le plus tôt possible. Le chemin vers l’objectif comporte cinq étapes.
L'entreprise est-elle concernée par la législation NIS2 ?
Tout d’abord, les entreprises doivent préciser si elles appartiennent au cercle élargi du règlement NIS2. Il existe deux grands groupes : les exploitants d’installations critiques et les installations « particulièrement importantes » ou « importantes ». Ce qui compte est de savoir si ces entreprises opèrent dans des secteurs économiques soumis à réglementation. Il y a encore beaucoup d’incertitude ici. Pour plus de clarté, les entreprises doivent se poser les questions suivantes : Suis-je active dans l'un des secteurs réglementés ? Mon entreprise respecte-t-elle les seuils officiels ? Le turnover est-il suffisamment élevé et le nombre d’employés est-il correct ? Si la réponse à ces questions est oui, les exigences de protection NIS2 s'appliquent. Il est toutefois conseillé à toutes les entreprises - qu'elles relèvent ou non de NIS2 - de tester leurs propres concepts de sécurité et de vérifier s'ils correspondent à l'état de la technique. Les responsables informatiques ne doivent pas non plus oublier de déterminer quels domaines de l’entreprise doivent être protégés.
Dans quelle mesure l’infrastructure informatique est-elle sécurisée ?
L’étape suivante consiste à découvrir où se situent les plus gros points faibles. Comment s’articule la cybersécurité dans l’entreprise ? Quel est le niveau de protection actuel ? Une évaluation des risques montre où commence le mieux la stratégie de sécurité, à savoir là où les entreprises peuvent obtenir les améliorations les plus rapides. Ensuite, les utilisateurs doivent répéter le processus à intervalles réguliers. L'évaluation continue peut contribuer à accroître progressivement la résilience informatique.
Quelle est la sécurité de la chaîne d’approvisionnement ?
Dans l'évaluation obligatoire des risques, non seulement les risques de votre entreprise doivent jouer un rôle, mais les points faibles spécifiques de la chaîne d'approvisionnement doivent également être pris en compte. Si des vulnérabilités sont identifiées, des contre-mesures doivent être prises pour se conformer aux exigences réglementaires et protéger les interfaces. Les analyses de surface d'attaque externe (EAS), par exemple, peuvent y contribuer. Il est conseillé d'agir de manière proactive et de réaliser une analyse des risques pour identifier d'éventuelles vulnérabilités dans les chaînes d'approvisionnement. Les installations concernées peuvent alors développer un concept de sécurité commun avec leurs fournisseurs.
Quel système est adapté à la détection des attaques ?
Afin d’assurer la sécurité requise des systèmes d’information, des systèmes de détection d’attaques sont également recommandés. Pour de nombreuses entreprises, la mise en œuvre d’une solution de gestion des informations et des événements de sécurité (système SIEM) est conseillée car elle constitue la base de la majorité des systèmes de détection d’intrusion. Le SIEM collecte des données qui peuvent également être évaluées dans un centre d'opérations de sécurité (SOC). Il fournit des informations utiles pour les opérations informatiques, telles que des indications de mauvaises configurations. La variété des options SIEM offre de nombreuses possibilités pour répondre aux besoins propres de l'entreprise. Par exemple, les entreprises peuvent décider d'utiliser un système SIEM autogéré ou les services d'un SOC professionnel. La gamme de services proposés s'étend de votre propre opération interne ou d'un SIEM cogéré jusqu'aux services IT/OT SOC entièrement gérés par des prestataires de services TIC externes tels qu'Axians.
À quoi ressemble un concept de sécurité sensé pour NIS2 ?
Il est important non seulement d'acheter des systèmes de sécurité informatique composés de matériel et de logiciels, mais également d'établir des règles et des procédures qui définissent, gèrent, surveillent, maintiennent et améliorent continuellement la sécurité des informations. Les entreprises peuvent procéder selon le principe modulaire : il convient tout d'abord de prendre des mesures qui augmentent rapidement le niveau de sécurité. La protection peut alors être étendue niveau par niveau. Les normes de sécurité telles que BSI-Grundschutz ou ISO 2700x ainsi qu'une architecture Zero Trust peuvent servir de guide. En particulier, l'orientation vers le Compendium de protection de base est d'une grande aide, car elle contient un catalogue de bonnes pratiques en matière de mesures de sécurité.
Le législateur a reconnu la gravité de la situation et a renforcé les exigences avec de nouvelles réglementations. La situation de menace croissante montre que les entreprises doivent s’attaquer directement à la mise en œuvre. Afin de ne pas vous perdre dans des décisions techniques détaillées, vous pouvez demander l'aide de prestataires de services TIC expérimentés tels qu'Axians. Ceux-ci mettent en œuvre quotidiennement des systèmes pour les clients comme l'exige la réglementation NIS2. Des évaluations professionnelles, des conseils préalables et un accompagnement continu permettent d'élaborer rapidement une stratégie adaptée et de soulager les services informatiques des entreprises.
Plus d’informations sur Axians.com
À propos d’Axiens
Axians accompagne les entreprises privées, les institutions publiques, les opérateurs de réseaux et les prestataires de services dans la modernisation de leurs infrastructures et solutions numériques. Qu'il s'agisse d'applications ou d'analyse de données, de réseaux d'entreprise, d'espace de travail partagé, de centres de données, de solutions cloud, d'infrastructures de télécommunications ou de sécurité Internet.