Les jours où un antivirus et un peu de bon sens suffisaient à garantir la cybersécurité d’une organisation sont loin derrière nous. Surtout si vous travaillez dans un secteur critique. C’est pourquoi la Directive NIS2 (2022/2555) de l’Union européenne établit les obligations de cybersécurité pour ces activités clés… et les conséquences en cas de non-conformité.
Ces dernières sont importantes, alors analysons la réglementation, quand elle s’applique et comment nous devons nous y conformer.
- Qu’est-ce que la Directive NIS2 et qu’est-ce qui change par rapport à NIS1 ?
- Qui est obligé de se conformer à la Directive NIS2
- Conformité à la NIS2 pour les petites entreprises et microentreprises
- Exigences clés de la NIS2 en matière de cybersécurité
- Sécurité des systèmes selon la NIS2
- Gestion des incidents selon la NIS2
- SIEM et IPS/IDS comme éléments clés pour se conformer à la Directive NIS2
- Exigences de collecte de logs selon la NIS2
- Comment Pandora FMS et Pandora SIEM aident à se conformer à la NIS2
Qu’est-ce que la Directive NIS2 et qu’est-ce qui change par rapport à NIS1 ?
Des acteurs malveillants de plus en plus sophistiqués (étatiques ou non), l’omniprésence des malwares et la prolifération des violations de données indiquent clairement une chose :
L’Union européenne doit améliorer sa gestion de la cybersécurité dans les secteurs critiques, et la directive NIS1 n’était plus suffisante.
Pour cette raison, la nouvelle directive NIS2 a été adoptée en novembre 2022. Elle concerne les entités essentielles et importantes et est progressivement mise en œuvre par les États membres selon le calendrier suivant :
- 16/01/2023. Entrée en vigueur.
- 18/10/2024. Abrogation de la NIS1. Adoption et publication des mesures par les États membres.
- 17/01/2025. Début de l’activité des réseaux nationaux de CSIRT (Computer Security Incident Response Team) et établissement du régime de sanctions.
- 17/04/2025. Date limite pour l’élaboration du registre des entités essentielles et importantes. Communication de leur nombre à la Commission et au Groupe de coopération. Début des évaluations des stratégies nationales de cybersécurité (au moins tous les 5 ans).
Qu’est-ce qui change par rapport à NIS1 ?
- Exigences de sécurité plus strictes.
- Contrôle de conformité renforcé.
- Sanctions plus sévères (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes).
- Extension de la définition des entités essentielles et importantes.
Ce dernier point est crucial car de nombreuses organisations qui n’étaient pas concernées par NIS1 entrent désormais dans le champ d’application de NIS2.
Qui est obligé de se conformer à la Directive NIS2
La directive s’applique généralement à entreprises de taille moyenne et grande, qu’elles soient publiques ou privées, opérant dans des secteurs hautement critiques (ceux définis à l’Annexe I de la Directive) et d’autres secteurs critiques (ceux inclus à l’Annexe II).
Ainsi, la première chose à prendre en compte est la taille de l’organisation :
- Entreprise de taille moyenne : Entre 50 et 250 employés et un chiffre d’affaires allant jusqu’à 50 millions d’euros, ou un bilan dépassant 43 millions d’euros.
- Grande entreprise : Dépasse ces critères, avec plus de 250 employés et un chiffre d’affaires ou un bilan de 43 millions d’euros ou plus.
Quels sont ces secteurs critiques et hautement critiques ?
La liste est plus large que celle de NIS1, qui, par exemple, considérait le secteur de l’énergie comme hautement critique. Désormais, la NIS2 a élargi cette catégorie pour inclure les systèmes urbains de climatisation ou d’hydrogène, qui étaient exclus par NIS1.
L’annexe I (Secteurs hautement critiques) inclut :
- Énergie.
- Transport.
- Santé.
- Banque.
- Eau potable et eaux usées.
- Infrastructures financières et numériques (fournisseurs de domaines, cloud, etc.).
- Gestion des services TIC B2B.
- Certaines administrations publiques.
- Espace.
L’annexe II (Secteurs critiques) inclut :
- Services postaux et de messagerie.
- Gestion des déchets.
- Fabrication, production et distribution de substances chimiques et alimentaires.
- Fabrication de produits clés (dispositifs médicaux, produits électriques et électroniques, équipements informatiques, machines et transports).
- Fournisseurs de services numériques (moteurs de recherche, places de marché en ligne et réseaux sociaux).
Si une organisation est de taille moyenne ou grande et opère dans ces secteurs, la NIS2 devrait figurer en tête de ses priorités.
Notre recommandation pratique est de télécharger ce guide de l’INCIBE qui détaille plus clairement ces annexes par activité. Cela permettra de ne perdre que le minimum de dioptries en parcourant les lignes de la Directive.
Conformité à la NIS2 pour les petites entreprises et microentreprises
Après ce qui précède, la question est claire : « Si je suis une microentreprise ou une petite entreprise, cela ne me concerne-t-il pas ? ».
La réponse correcte est le mot le plus redouté : « Ça dépend. ».
En effet, la loi stipule que les petites entreprises et microentreprises qui jouent un rôle clé dans la société, l’économie ou certains types de services essentiels sont également concernées.
Ce sont des entités critiques (définies à l’article 6 de la directive UE 2022/2557), qui fournissent des services essentiels et pour lesquelles « un incident aurait des effets perturbateurs significatifs. » Dans ce cas, même si l’organisation est de petite taille, elle serait également soumise à la directive.
Cependant, la NIS2 elle-même, dans son considérant numéro 20, reconnaît implicitement que cette définition est complexe. C’est pourquoi chaque État membre de l’Union doit déterminer si une petite entreprise est critique et lui fournir des lignes directrices et des informations pour qu’elle puisse se conformer à la loi.
Recommandation pratique : Si l’on soupçonne que ce qui précède pourrait s’appliquer à une organisation, aussi petite soit-elle, il est préférable de consulter l’INCIBE ou un organisme similaire dans le pays concerné.
Exigences clés de la NIS2 en matière de cybersécurité
Si une organisation est concernée, la question logique suivante est : « À quoi exactement ? ».
La réglementation établit des exigences minimales dans son artícule 21.2. Celles-ci visent à unifier la sécurité en Europe et couvrent l’ensemble du processus de cybersécurité : de la prévention à la réponse aux incidents, en passant par la protection des systèmes d’information, l’assurance de la continuité des activités, ainsi que la sensibilisation et la formation du personnel.
Chaque État membre de l’UE doit intégrer la NIS2 dans sa législation nationale. La directive laisse une marge d’interprétation, ce qui crée une certaine incertitude dans le quotidien des CISOs. Cela est particulièrement vrai lorsque la directive stipule que les mesures doivent être : proportionnées à la taille, au coût et aux risques de l’activité en tenant compte de l’état de l’art.
Comme c’est souvent le cas en technologie, il est impossible de fournir des instructions pratiques précises, car, au moment où elles sont mises par écrit, elles sont probablement déjà obsolètes. D’où l’expression « en tenant compte de l’état de l’art », qui signifie en réalité qu’il faut rester à la pointe de la technologie.
De plus, ce qui est considéré comme proportionné peut dépendre de l’interprétation de l’autorité qui applique la réglementation. Par conséquent, il est prudent d’anticiper avec ces considérations pratiques.
Sécurité des systèmes selon la NIS2
Nous devons démontrer notre capacité à défendre l’organisation critique, ce qui implique deux aspects.
La première consiste à construire une infrastructure solide, un château aux murs résistants, bien géré par notre NOC (Network Operations Center), ce qui signifie principalement :
- Hardening des serveurs et des endpoints, en blindant chaque élément avec les meilleures pratiques.
- Gestion stricte des accès à ces murs, avec une authentification multifactorielle et une politique rigoureuse de gestion des accès et des identités, tant pour les utilisateurs que pour les appareils.
- Systèmes de chiffrement, sauvegardes, redondances et tout ce qui est nécessaire pour garantir la résilience et la continuité des opérations exigées par la NIS2.
La seconde consiste à défendre activement ces murs robustes une fois construits, ce qui implique :
- Utilisation de EDR (Endpoint Detection and Response).
- Systèmes de détection et de prévention des intrusions (IPS/IDS) pour une supervision de sécurité efficace.
- Utilisation de SIEM (Security Information and Event Management).
Gestion des incidents selon la NIS2
C’est un autre point clé de la loi, qui exige :
- Une communication rapide et claire des incidents (au CSIRT mentionné précédemment) dans un délai de 24 heures maximum après leur découverte.
- Une gestion adéquate des incidents.
Étant donné les sanctions sévères prévues par la NIS2 en cas de manquement à ces obligations, il est pertinent d’approfondir cet aspect pour mieux comprendre les exigences et éviter des pénalités importantes.
SIEM et IPS/IDS comme éléments clés pour se conformer à la Directive NIS2
Pour une organisation critique, l’utilisation de systèmes SIEM et de détection de menaces est indispensable pour garantir une défense adéquate.
En combinaison avec les EDR qui protègent les endpoints, et les IDS et IPS qui opèrent au niveau du réseau et de l’hôte, un système comme Pandora SIEM agit comme le cerveau de votre opération de sécurité, car :
- Il collecte les logs : Des réseaux, des serveurs, et même de la cafetière du bureau, parce qu’on a eu l’idée de l’acheter « intelligente ».
- Il corrèle les événements : Si quelqu’un au Bangladesh accède au serveur à Barcelone et que cet “employé” télécharge un fichier suspect, le SIEM relie les points et agit, en alertant et en atténuant les menaces. Les fonctionnalités IA de Pandora rendent cette corrélation encore plus efficace.
- Il génère des rapports automatiques, vous évitant ainsi de passer des heures sur Excel lors des audits.
De cette manière, nous nous assurons de toujours prendre en compte « l’état de l’art » et ses avancées.Exigences de collecte de logs selon la NIS2
On peut être les meilleurs en matière de sécurité, mais le proverbe dit vrai : Il ne s’agit pas de savoir si un incident surviendra, mais quand il surviendra.
Les exigences d’action et de communication définies par la NIS2 nécessitent une collecte, un stockage et une gestion adéquate des logs, indispensables également pour réussir les audits obligatoires.
En effet, le Chapitre VII (Article 32) est clair à ce sujet : nous devons être capables de réussir ces audits et révisions, même en l’absence d’incidents. Cela signifie une collecte, un stockage et un examen faciles des journaux, garantissant leur intégrité et leur véracité.
Pour une organisation critique, cela implique l’utilisation d’outils professionnels qui simplifient ces tâches.
La tentation d’utiliser des applications gratuites est forte, mais elles ne suffisent pas pour contrer les menaces actuelles qui planent sur les secteurs clés… Ni pour éviter que l’auditeur ne lève un sourcil en s’apprêtant à apposer le sceau « non conforme ».Comment Pandora FMS et Pandora SIEM aident à se conformer à la NIS2
Tout ce qui n’est pas basé sur les meilleures pratiques de sécurité, soutenues par des outils avancés, est insuffisant pour une organisation critique, complique le travail et le respect de la loi.
C’est pourquoi Pandora SIEM permet :- La supervision de sécurité avancée avec détection des menaces en temps réel.
- Une corrélation des événements de sécurité soutenue par l’IA, à la pointe des meilleures pratiques et des technologies de sécurité exigées par la NIS2.
- La génération de rapports qui démontrent le respect des réglementations lors des audits et contrôles.
- La collecte, la centralisation et l’analyse des logs, avec une rétention prolongée, pour une communication claire en cas d’incident et une résolution plus facile de celui-ci, permettant de détecter en un coup d’œil ce qui s’est passé, comment et où.
La NIS2 est la réponse européenne à un scénario mondial plus agité que jamais en cybersécurité, mais affrontons la réalité, les lois sur la technologie ont souvent un temps de retard sur celle-ci et, parfois, elles peuvent sembler floues dans leur portée ou leur interprétation.
Cela cause des cauchemars aux CISOs et aux professionnels de la conformité, mais la solution est claire : Anticiper la législation. Se placer à la pointe des meilleures pratiques et des outils pour que, lorsque la réglementation en question arrivera avec le poids de ses mille pages, nous soyons déjà un pas en avant et qu’elle ne s’abatte pas sur nos têtes.
De cette manière, nous nous assurerons que les lignes de la loi ne se croiseront pas avec celles du code malveillant pour compliquer notre quotidien.
Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.
Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.
