Les gestionnaires de mots de passe font partie des outils de sécurité les plus utiles du marché, car ils permettent de générer des mots de passe
La directive NIS2 représente le cadre de cybersécurité actualisé de l’Union européenne, visant à accroître la cyberrésilience dans les secteurs critiques. Succédant à la directive sur la sécurité des réseaux et des systèmes d’information (NIS), la directive NIS2 accroît notablement son champ d’application afin d’inclure des domaines tels que la santé, l’industrie, l’énergie, le transport et les services managés. La directive NIS2 impose en outre des exigences de cybersécurité plus rigoureuses, une obligation de rendre des comptes directement pour la direction, et des délais déterminés pour le signalement des incidents. Il est nécessaire pour les organisations établies dans l’UE de non seulement appréhender ces obligations, mais également d’appliquer des mesures de sécurité concrètes pour satisfaire aux impératifs de conformité.
Éléments clés
- La directive NIS2 représente le cadre de cybersécurité actualisé de l’Union européenne, imposant des exigences plus rigoureuses, un champ d’application sectoriel étendu ainsi qu’une responsabilité renforcée pour la haute direction des organisations opérant au sein de l’Union européenne.
- La directive NIS2 s’est substituée à la directive NIS d’origine, le cadre précédent étant devenu inadapté face à l’évolution des rançongiciels, des attaques sur la chaîne d’approvisionnement et des cybermenaces avancées visant les infrastructures critiques.
- La directive NIS2 vise principalement les organisations de taille moyenne et grande opérant dans les secteurs assujettis ; il convient toutefois de noter que certaines entités doivent respecter ces obligations, sans égard à leur taille, du fait de la nature critique de leurs services.
- L’article 21 énonce les sept mesures de sécurité principales devant être déployées par les organisations, s’étendant de la gestion des risques à la réponse aux incidents ainsi qu’à la sécurisation de la chaîne d’approvisionnement.
- Les écarts de conformité NIS2 fréquemment observés comprennent l’absence d’uniformité dans l’application de la MFA, une visibilité limitée sur les prestataires ainsi qu’une gestion des accès privilégiés (PAM) insuffisamment robuste.
- Les sanctions liées à une non-conformité peuvent comprendre des amendes pouvant aller jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial (selon le montant le plus élevé) pour les entités essentielles, parallèlement à des exigences de rapports obligatoires dans des délais de 24 heures, 72 heures et un mois suivant un incident significatif.
Les raisons du remplacement de la directive NIS par la directive NIS2
La directive NIS de départ portait principalement sur les infrastructures critiques traditionnelles et était axée sur la sécurité périmétrique. En raison de l’absence d’obligations de rapports claires et d’une mise en œuvre hétérogène parmi les États membres de l’UE, son efficacité s’est trouvée limitée. La directive NIS2 accroît la couverture sectorielle conformément aux annexes I et II, introduit des délais de déclaration d’incidents plus contraignants et confère une responsabilité plus importante à la haute direction, incluant, selon les transpositions nationales de certains États membres, une responsabilité personnelle. Cette évolution marque la transition d’un modèle fondé sur des exigences de sécurité minimales vers une approche davantage proactive en matière de cyber-résilience.
Qui est tenu de se conformer à la directive NIS2 ?
La NIS2 classe les organisations en deux grands groupes : entités essentielles et entités importantes. Ces deux catégories sont tenues de respecter les exigences de la NIS2 en matière de cybersécurité et de rapports ; toutefois, les entités essentielles font face à un contrôle plus rigoureux ainsi qu’à des pénalités potentiellement plus lourdes.
En principe, la directive NIS2 s’applique aux organisations de taille moyenne et grande opérant au sein des secteurs assujettis. Selon la définition de l’UE, les entreprises de taille moyenne sont celles qui emploient 50 personnes ou plus et dont le chiffre d’affaires annuel dépasse 10 000 000 € – les deux critères sont considérés ensemble, et non comme des alternatives. Les secteurs couverts par NIS2 englobent diverses industries, notamment soins de santé, fabrication, services financiers, énergie, transports, eau, infrastructures numériques, espace et gestion des déchets.
La taille d’une organisation ne détermine pas le champ d’application de la directive NIS2. Certaines entités entrent dans le champ d’application si leurs services sont considérés comme essentiels à la stabilité sociétale ou économique. Concernant les organisations exerçant leurs activités à travers divers États membres de l’UE, la directive NIS2 s’applique à l’échelon national ; ainsi, les exigences en matière de conformité sont susceptibles de varier selon les modalités de transposition de la directive NIS2 dans le droit national de chaque pays.
7 mesures de sécurité exigées pour la mise en conformité avec la directive NIS2
L’article 21 de la directive NIS2 expose les mesures de cybersécurité dont la mise en œuvre est attendue de la part des organisations. Bien que les mesures de sécurité illustrent, dans les grandes lignes, les exigences d’un programme de sécurité dûment piloté, nombre d’organisations font face à des obstacles opérationnels induits par le jargon juridique exhaustif de la directive. Voici les sept principaux domaines abordés par le cadre.
1. Gestion des risques
Dans le cadre de la directive NIS2, les organisations doivent mettre en place un processus continu de gestion des risques plutôt que de se contenter d’évaluations ponctuelles. Les organisations doivent procéder à l’identification continue de leurs vulnérabilités en matière de sécurité, évaluer le préjudice potentiel lié à ces risques et assurer leur traitement de façon régulière. Cela suppose la conduite fréquente d’évaluations des risques, la tenue à jour de plans d’atténuation documentés ainsi qu’un contrôle permanent de l’activité aux fins de détection des menaces nouvelles. En dernier ressort, il incombe à l’organisation de désigner un responsable pour chaque risque identifié, lequel devra en assurer le traitement et l’atténuation.
2. Capacité de réponse aux incidents
En vertu de la directive NIS2, les organisations sont tenues de maintenir des procédures formelles de réponse aux incidents préalablement à la survenance d’un incident de sécurité, afin de garantir une gestion maîtrisée et d’éviter toute situation de chaos. Cette démarche implique de maintenir un plan de réponse aux incidents documenté avec des rôles clairement définis, afin d’écarter toute incertitude quant à l’attribution des tâches. La mise à l’épreuve des plans revêt une importance équivalente à leur création. À titre d’exemple, lorsqu’un rançongiciel est détecté sur une portion du réseau d’une entreprise au beau milieu de la nuit, la capacité à contenir l’incident plutôt qu’à subir une panne majeure peut reposer sur l’entraînement préalable de l’équipe au processus.
3. Continuité des activités
En vertu de la directive NIS2, il est attendu des organisations qu’elles garantissent leur résilience, tant au cours qu’à l’issue d’incidents cyber ; cela englobe les processus de sauvegarde et de reprise, l’accessibilité au stockage des données en cas de compromission, ainsi que l’aptitude à rétablir les systèmes dans des cadres temporels prédéfinis. La planification de la reprise après sinistre doit fixer des objectifs de temps de récupération explicites, en abordant la question de la durée pendant laquelle une organisation est en mesure de supporter, de façon réaliste, une interruption de ses activités. Des tests de résilience réguliers permettent de s’assurer de l’effectivité de ces plans en conditions réelles ; par ailleurs, la redondance des systèmes et infrastructures critiques, lorsqu’elle est opérationnellement justifiée, constitue un niveau de protection additionnel. La sécurisation des accès et des identifiants connectés aux systèmes critiques constitue le pivot de la continuité d’activité, la phase de reprise s’avérant bien plus complexe dès lors que les clés d’accès à l’infrastructure sont au nombre des éléments compromis.
4. Sécurité de la chaîne d’approvisionnement
La directive NIS2 confère une importance majeure à la gestion des risques induits par les relations avec des tiers. En vertu de la directive NIS2, il est établi que les organisations assument la responsabilité de la gestion des risques engendrés par leurs vendeurs, prestataires de services et fournisseurs. La visibilité étant primordiale, les organisations doivent identifier les tiers ayant accès à leurs systèmes, déterminer le niveau d’accès accordé et vérifier si leurs fournisseurs appliquent des mesures de sécurité adéquates. L’évaluation des risques liés aux fournisseurs, la revue des accès ainsi qu’une surveillance continue gagneraient à être instaurées en tant que processus opérationnels standards. Les attaques récentes contre la chaîne d’approvisionnement ont prouvé que l’exposition liée aux tiers peut très vite se transformer en un risque majeur pour l’organisation.
5. Contrôle des accès et gestion des identités
Pour réduire leur surface d’attaque, les organisations doivent impérativement maîtriser les accès à leurs systèmes ainsi que les droits associés à ces derniers. Conformément aux exigences centrales de la directive NIS2, la gestion des accès doit être régie par le principe du moindre privilège (PoLP), assurant que les utilisateurs et les systèmes n’obtiennent que les permissions nécessaires à l’exercice de leurs fonctions. Les contrôles d’accès basés sur les rôles (RBAC) offrent le cadre nécessaire pour garantir cette application à grande échelle, tandis que la gestion du cycle de vie des utilisateurs permet de neutraliser les comptes inactifs ou orphelins, qui pourraient constituer des failles de sécurité exploitables ultérieurement. Cette mesure revêt une importance capitale pour les comptes à privilèges, d’autant plus que les administrateurs ainsi que les comptes de service dotés d’accès privilégiés représentent des cibles d’une grande valeur. La PAM, associé à une politique de sécurité rigoureuse des identifiants dans toute l’organisation, contribue à assurer la sécurisation, la surveillance et l’audit de ces comptes.
6. Chiffrement et cryptographie
Les organisations, aussi préparées soient-elles, ne sont pas à l’abri d’une fuite de données ; dans ce contexte, le chiffrement contribue à limiter les conséquences réelles d’une compromission. En vertu de la directive NIS2, il est attendu des organisations qu’elles procèdent au chiffrement des données, qu’elles soient stockées ou en cours de transfert, qu’elles garantissent la protection des identifiants et des informations sensibles, et qu’elles mettent en œuvre des normes cryptographiques robustes. Si la NIS2 n’impose pas d’architecture de chiffrement particulière, le chiffrement zero-knowledge va au-delà des exigences minimales et permet d’apporter une protection additionnelle pertinente aux organisations traitant des données et des identifiants sensibles. Dans un environnement zero-knowledge, les données sont chiffrées et déchiffrées au niveau de l’appareil, ce qui signifie que même le fournisseur de services ne peut y accéder.
7. MFA et authentification sécurisée
La compromission des identifiants représentant l’un des points d’entrée privilégiés par les cybercriminels, la directive NIS2 prescrit aux organisations l’implémentation de mesures d’authentification rigoureuses, tant au niveau des systèmes que des utilisateurs. Cette mesure englobe l’obligation d’utiliser l’authentification multifacteur (MFA), laquelle introduit un niveau de vérification additionnel visant à réduire l’impact lié à l’utilisation d’identifiants dérobés. Autant que possible, les organisations doivent privilégier des méthodes d’authentification sans mot de passe résistantes au phishing, afin d’écarter tout risque de manipulation des utilisateurs visant à obtenir leurs identifiants ou l’approbation de demandes de connexion. Ces mesures de contrôle compliquent considérablement les tentatives d’accès non autorisé par des cybercriminels et permettent de réduire l’impact en cas de compromission d’identifiants.
Les organisations souhaitant connaître les étapes concrètes à suivre peuvent explorer notre guide dédié à une préparation efficace à la directive NIS2.
Principales lacunes de conformité à la directive NIS2 observées au sein des organisations
Bien que la majorité des organisations disposent déjà de quelques mesures de sécurité, des failles opérationnelles font souvent obstacle à une mise en conformité complète, particulièrement au regard de la directive NIS2. Qu’il s’agisse d’un défaut de compréhension de la directive ou d’une défaillance dans le déploiement des exigences associées, les organisations s’exposent à des sanctions potentielles.
Application incomplète de la MFA
De nombreuses organisations déploient la MFA de manière incohérente. Si les comptes utilisateurs sont sécurisés, des failles peuvent persister au sein des systèmes hérités ou des accès VPN, lesquels dépendent encore exclusivement de mots de passe traditionnels. La mise en place incomplète de l’authentification multifacteur (MFA) offre aux cybercriminels des failles exploitables et fragilise la stratégie de sécurité globale en laissant subsister des accès privilégiés ou distants non protégés.
Faible visibilité des fournisseurs
Les exigences de la directive NIS2 relatives à la chaîne d’approvisionnement soulignent une vérité fâcheuse pour un grand nombre d’organisations : le manque de visibilité sur les accès à leurs environnements et sur les risques inhérents aux parties tierces. Il est fréquent que les privilèges d’accès octroyés aux fournisseurs soient surdimensionnés, alors même que ces accès font rarement l’objet d’un audit. Sans une visibilité complète, les organisations ne peuvent pas gérer efficacement les risques liés à des tiers dans le cadre du NIS2.
Contrôles d’accès privilégiés faibles
Les comptes privilégiés constituent certains des actifs les plus risqués au sein de toute organisation, mais les contrôles qui les entourent sont souvent très faibles. L’utilisation d’identifiants administratifs partagés et de privilèges permanents demeure fréquente ; toutefois, ces pratiques accroissent la surface d’attaque et le risque de détournement des identifiants. La directive NIS2 attend un renforcement de la gouvernance autour de la gestion des accès privilégiés, du suivi des sessions et des procédures d’audit.
Délais de signalement des incidents NIS2
La directive NIS2 instaure des obligations de déclaration structurées en cas d’incidents de cybersécurité importants. Il est attendu des organisations qu’elles appliquent un processus structuré en plusieurs phases à partir du moment où elles ont connaissance d’un incident majeur :
- Dans un délai de 24 heures : transmettre une alerte précoce aux autorités nationales concernées pour confirmer la survenance d’un incident significatif.
- Dans un délai de 72 heures : fournir un aperçu plus complet de l’incident, en précisant ce que l’on sait de sa nature et de ses conséquences.
- Dans un délai d’un mois : transmettre un rapport final détaillant les circonstances de l’incident, sa gestion ainsi que les mesures correctives prévues pour éviter qu’il ne se reproduise.
Pour respecter ces délais, les organisations doivent surveiller et consigner les incidents de sécurité au fur et à mesure qu’ils se produisent, plutôt que de peiner à établir une chronologie précise des événements après coup. Finalement, la mise en conformité avec la directive NIS2 impose aux organisations l’instauration de pratiques de cybersécurité matures, l’optimisation de leur résilience opérationnelle, ainsi que le maintien d’une visibilité exhaustive sur les utilisateurs et les systèmes, dans l’objectif de réduire les risques de sécurité.
Comment Keeper peut contribuer à la conformité à la norme NIS2
Satisfaire aux exigences de la directive NIS2 nécessite une infrastructure de sécurité robuste, capable de mettre en œuvre des contrôles d’accès précis, de sécuriser les identifiants et de garantir une visibilité complète pour une gestion des risques à l’échelle. La plateforme de sécurité des identités zero-knowledge de Keeper accompagne les organisations en consolidant plusieurs solutions de sécurité, notamment le PAM, la gestion des mots de passe, la gestion des secrets, la gestion des privilèges des terminaux et l’accès distant sécurisé. Afin de satisfaire aux obligations les plus exigeantes de la directive NIS2, Keeper propose des fonctionnalités avancées comme le contrôle d’accès basé sur les rôles (RBAC), l’imposition du MFA, l’audit des identifiants, la surveillance des sessions et la sécurité zero-trust. Que vous amorciez la prise en compte des mesures NIS2 ou que vous visiez l’optimisation de votre posture de sécurité existante, Keeper permet à votre organisation de répondre aux exigences NIS2 avec assurance.
Commencez dès aujourd’hui votre essai gratuit de Keeper et renforcez la capacité de votre organisation à se conformer aux exigences de la directive NIS2
Foire aux questions
La directive NIS2 s’applique-t-elle aux entreprises hors UE ?
La directive NIS2 peut s’appliquer aux organisations dont le siège social est situé en dehors de l’UE si celles-ci fournissent des services à des clients ou à des entités situés au sein de l’UE. Cela concerne principalement les fournisseurs de cloud, les entreprises SaaS et les opérateurs de services qui entrent dans les secteurs couverts par NIS2. Si votre organisation soutient des clients ou des infrastructures de l’UE, vous devez déterminer si les obligations du NIS2 s’appliquent.
Que se passe-t-il si une entreprise ne respecte pas la directive NIS2 ?
Le non-respect de la directive NIS2 entraîne des conséquences financières, juridiques et de réputation importantes. En vertu de la directive NIS2, les entités essentielles sont passibles d’amendes s’élevant jusqu’à 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial (au plus élevé des deux montants), tandis que les entités importantes peuvent se voir infliger des amendes atteignant 7 000 000 € ou 1,4 % du chiffre d’affaires annuel mondial (au plus élevé des deux montants). Les autorités sont également en mesure d’ordonner des audits, voire de suspendre temporairement les opérations.
La norme ISO 27001 est-elle suffisante pour se conformer à la norme NIS2 ?
Bien que la norme ISO 27001 constitue une preuve d’engagement significatif envers la sécurité de l’information, elle ne permet pas de satisfaire à toutes les exigences indispensables à la conformité NIS2. La directive NIS2 impose des obligations spécifiques relatives aux échéances de rapports d’incidents, à la sécurité de la chaîne d’approvisionnement ainsi qu’à la responsabilité des instances dirigeantes. Bien que la norme ISO 27001 puisse contribuer à la préparation aux exigences NIS2, les organisations requièrent, dans la majorité des cas, des mesures de gouvernance complémentaires afin d’assurer une conformité effective à la directive NIS2.