Les risques liés à la cybersécurité sont en recrudescence (l’hameçonnage continue d’être la menace la plus répandue : environ 562,4 millions d’e-mails d’hameçonnage recensés, il devient nécessaire de renforcer les normes liées à la sécurité. Au sein des organisations, la sécurité est a renforcer tant sur la partie technique que sur le plan organisationnel. Dans cette optique, la Directive NIS, ou Network and Information Systems Directive, a été un jalon important dans les efforts de l’Union européenne ces dernières années pour renforcer la cybersécurité et la résilience des infrastructures critiques. C’est aujourd’hui au tour de NIS2 de révolutionner les normes de cybersécurité de l’UE.
La première itération de cette directive, communément appelée NIS1, a été adoptée en 2016 et est entrée en vigueur en mai 2018. Son objectif principal était d’établir un cadre juridique commun pour la sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne.
Cette directive a été élaborée dans le contexte de la menace croissante des attaques cybernétiques et des cybercrimes. Celles-ci peuvent entraîner des conséquences graves sur la sécurité nationale, l’économie et les services publics. En reconnaissant l’importance critique des infrastructures essentielles, la directive visait à créer un environnement sûr et résilient pour les réseaux et les systèmes d’information au sein de l’UE.
Qu’en est-il de sa grande sœur NIS 2 ? Quelles nouveautés par rapport à NIS 1 ? Qui est concerné ? Jetons un œil à tout cela.
Directive NIS2 : un petit pas pour l’homme, un grand pas pour la cybersécurité
La directive NIS2, tout comme sa petite sœur NIS1, vise toujours à unifier et consolider les normes de cybersécurité à travers l’Union Européenne, à la différence près, et non des moindres, qu’elle va cette fois-ci fortement agrandir son champ d’action.
L’objectif principal de NIS2
L’objectif de cette nouvelle version de la directive est d’étendre son champ d’actions afin d’inclure de nouveaux secteurs. Pour rappel, NIS 1 ne concernait que les entités désignées comme essentielles par les Etats membres, c’est-à-dire les Opérateurs de Services Essentiels, ou « OSE ».
Maintenant que l’on connaît le changement principal de NIS2 par rapport à NIS1, la question est : qui est concerné ?
Qui est concerné par la directive NIS2 ?
La directive NIS2 englobe divers secteurs critiques tels que l’énergie, les transports, la santé, les services bancaires et financiers, ainsi que les services numériques. Initialement, NIS 1 couvrait 19 secteurs et en élargissant son champ d’action, la directive NIS2 s’adresse à un plus grand nombre d’entreprises. Environ 160 000 sont concernées. Ce nouveau périmètre d’application comprend 16 secteurs supplémentaires soit 35 en tout. Cela concerne des milliers d’entités, disposant de plus de 50 salariés et réalisant un chiffre d’affaires de plus d’un million d’euros.
Principaux enjeux de la directive
- Élargissement de la portée d’action. Comme susmentionné, NIS2 étend la portée de la directive pour inclure de nouveaux secteurs et services numériques. Ceci représente les plateformes en ligne, les moteurs de recherche et les places de marché en ligne, qui jouent un rôle de plus en plus crucial dans l’économie numérique.
- Renforcement des obligations de sécurité. Comme son prédécesseur, NIS2 impose des obligations de sécurité plus strictes aux fournisseurs de services numériques et aux opérateurs d’infrastructures essentielles.
- Coopération internationale renforcée. Avec la nature transnationale des menaces cybernétiques, NIS2 renforce la coopération internationale entre les États membres de l’UE et avec d’autres partenaires.
- Gestion des incidents et des risques. La directive comprenait des dispositions renforcées pour la gestion des incidents et des risques, y compris des exigences accrues en matière de notification des incidents et de coopération avec les autorités compétentes.
- Focus sur les technologies émergentes. Étant donné l’évolution rapide des technologies, NIS 2 était probablement axée sur la prise en compte des défis liés à l’IA, à l’Internet des objets (IoT) et à d’autres innovations technologiques.
- Sanctions et mesures correctives. NIS2 stipule des sanctions plus sévères en cas de non-conformité et définit des mesures correctives spécifiques pour garantir une mise en œuvre efficace des mesures de cybersécurité.
Comment s’y conformer ?
Que faire pour se conformer à cette nouvelle directive ?
Il existe de nombreuses façons de se conformer à cette nouvelle directive, mais il est nécessaire au minimum de :
- Connaître le niveau de maturité de son système d’information. Il est important de rappeler qu’être conscient de son exposition aux risques est essentiel. Plus vous en saurez sur votre système, qu’il soit organisationnel ou technique, plus vous serez en mesure d’élaborer le plan d’action nécessaire à vos éventuelles lacunes.
- Sensibiliser et se préparer. La sensibilisation et la prévention sont vos deux meilleurs alliés dans cette mise en conformité. En mettant en place des mesures organisationnelles comme le programme Avant de Cliquer, vous vous engagez à améliorer la cyber hygiène de vos collaborateurs, et donc à protéger votre organisation face aux cyberattaques.
- Adopter les bonnes pratiques. Il existe de nombreuses bonnes pratiques à adopter au sein de votre organisation pour améliorer la cybersécurité de cette dernière. Authentification multi-facteurs (AMF), gestionnaires de mots de passe sécurisés, utiliser des protocoles de chiffrement pour les échanges de données entre utilisateurs et serveurs…
- Établir un plan de continuité des activités (PCA). Pour anticiper les imprévus, il est fortement conseillé de créer un PCA afin de limiter les dégâts en cas de cyberattaque.
Quand NIS2 entrera-t-elle en vigueur en France ?
La directive NIS2 a été adoptée par le Parlement Européen le 10 novembre 2022 et diffusée le 27 décembre 2022. Elle continue de se répandre dans l’Union Européenne et prévoit d’être mise en application en France au plus tard en octobre 2024.
Comment Avant de Cliquer peut me conformer à cette directive ?
Avant de Cliquer, acculture votre organisation au phishing. Cet outil SAAS de sensibilisation à la cybersécurité permet la mise en conformité de votre organisation avec cette directive.
Pour rappel, Avant de Cliquer s’articule en trois phases essentielles :
| Apprentissage par l’action |
|
| Apprentissage Théorique |
|
| Accompagnement |
|
Avant de Cliquer conforme à cette directive et permet entre autres de :
-
- Sensibiliser vos utilisateurs à la cybersécurité. Aussi aux différentes techniques des hackeurs, les bonnes pratiques à adopter pour limiter les risques d’intrusion
- Évaluer la maturité de vos collaborateurs en temps réel grâce à un espace dédié
- Faire monter en compétence vos utilisateurs et les rendre autonomes face à tout type de situation
- Créer un climat de cyber vigilance au sein de votre organisation.
Réalisez une cartographie des risques dès maintenant
Avant de Cliquer vous offre une cartographie de votre organisation. Pendant 5 jours, nous effectuons une première campagne de phishing en utilisant entre 50 et 100 templates d’e-mails différents, avec un envoi d’1 à 4 e-mails par utilisateurs.
L’objectif de cet audit est d’évaluer le niveau de vigilance de vos utilisateurs en prenant en compte trois principaux critères :
- Le nombre d’e-mails reçus ;
- Le taux d’e-mails ouverts ;
- Le taux d’e-mails cliqués.
À l’issue de cet audit, un expert vous présente un rapport complet relatant l’ensemble des données obtenues sur 5 jours en visioconférence. Ce rapport vous est ensuite remis ainsi qu’une infographie facilitant la restitution des résultats à l’ensemble de vos collaborateurs.
Alors, qu’attendez vous pour réaliser une cartographie des risques de votre organisation ?
DSI, RSSI, DPO, demandez une démonstration gratuite de la solution totalement automatisée de sensibilisation au phishing et au QRiching :
