14min

NIS 2 : prérequis, recommandations et conseils pratiques pour les entités concernées

La directive NIS 2 (Network and Information Security), publiée au Journal officiel de l'Union européenne en décembre 2022, marque un élargissement des objectifs et de la protection en matière de cybersécurité afin de faire face à des acteurs malveillants de plus en plus efficaces. Les États membres de l'UE sont donc tenus de renforcer à la fois leurs mécanismes de protection contre les menaces qui visent de plus en plus les entités protégées, et leur coopération. 
Cybersecurity Platform

L'ENISA (Agence de l'Union européenne pour la cybersécurité) a publié un guide à l'intention des entités concernées par la directive NIS 2 contenant des recommandations techniques et méthodologiques pour la gestion des risques liés à la cybersécurité, à adapter à chaque secteur. 

Voici un résumé des 13 sections que vous pouvez explorer plus en détail, avec des exemples, des techniques de validation et des conseils pratiques dans le guide “NIS 2 Technical Implementation Guidance”. 

1. Sécurité des systèmes d’information et des réseaux

Cette section du guide traite des points suivants : 

  • Politique en matière de sécurité des réseaux et des systèmes d'information 
  • Rôles, responsabilités et autorités 

Les entités concernées doivent fournir une politique en matière de réseaux et de systèmes d'information mise à jour régulièrement (au moins une fois par an), s'assurer que les employés et les fournisseurs en prennent connaissance et qu'ils sont informés de leurs responsabilités. 

La politique doit couvrir l'évaluation des risques et le plan de traitement, les bonnes pratiques du secteur et le contrôle de la conformité. 

Toutes les parties prenantes doivent connaître leurs propres rôles et responsabilités, ainsi que les rôles en matière de sécurité et les personnes à contacter en cas de besoin. 

2. Politique de gestion des risques

Cette section du guide traite des points suivants : 

  • Cadre de gestion des risques 
  • Contrôle de la conformité 
  • Examen indépendant de la sécurité des informations et des réseaux 

Les entités concernées - et leurs fournisseurs - doivent mettre en place un cadre de gestion des risques, maintenu au fil du temps, afin d'identifier, d'évaluer, de gérer et d'atténuer les risques liés à la cybersécurité, ainsi qu'un plan de traitement des risques tenant compte des objectifs commerciaux et stratégiques, des attentes des parties prenantes, des exigences réglementaires, de la culture organisationnelle... 
Ce document peut être révisé en fonction des changements apportés au système d'information, des audits, des conclusions post-incident, de l'évolution du contexte en matière de cybersécurité... 

Les organisations doivent également garantir leur conformité à l'aide de rapports et d'indicateurs clés, et définir les mesures à prendre, telles que les mises à jour logicielles, le contrôle d'accès, le chiffrement... 

La politique de gestion des risques peut inclure des seuils d'acceptation des risques, par exemple : temps d'indisponibilité acceptable, tolérance à la perte de données, risques acceptés considérés comme peu graves... et évaluer le niveau de risque concernant les actifs (menaces, vulnérabilités, analyse d'impact...). 

3. Gestion des incidents

Cette section du guide traite des points suivants : 

  • Politique de gestion des incidents 
  • Surveillance et journalisation 
  • Évaluation et qualification des événements 
  • Réponse aux incidents 
  • Examens post-incident 

Les entités concernées doivent fournir des politiques de gestion des incidents et des bonnes pratiques testées et révisées au fil du temps, et elles doivent également garantir la conformité avec les normes et réglementations du secteur. Les politiques doivent être alignées sur le plan de continuité des activités et de reprise après sinistre, y compris la catégorisation des incidents afin de les hiérarchiser correctement (type d'attaque, données concernées, criticité des systèmes affectés, probabilité de récupération...).  

Le plan des procédures d'intervention à la suite d’incidents doit être documenté, y compris le plan de communication, et doit être mis à jour en permanence. Les équipes de sécurité doivent également procéder à une analyse des causes en cas d'incident afin d'améliorer la sécurité du réseau et des systèmes d'information. 

L'ENISA recommande en outre de mettre en place des procédures et d'utiliser des outils pour surveiller, détecter les menaces et les anomalies, assurer le soutien à la réponse aux incidents, surveiller la santé du réseau, protéger contre la perte de données... et plus exactement : 

“Envisager le déploiement d'un système SIEM, EDR, XDR ou équivalent qui permettra et facilitera la corrélation et l'analyse des données.” 

L'ENIA recommande également que l'outil réponde à des critères tels que : 

Toutes ces recommandations font précisément d’HarfangLab un atout majeur pour se conformer à la directive NIS 2 ! 

4. Continuité des activités et gestion des crises

Cette section du guide traite des points suivants : 

  • Plan de continuité des activités et de reprise après sinistre 
  • Gestion des sauvegardes et de la redondance 
  • Gestion des crises 

Les entités concernées doivent définir les risques susceptibles de les affecter, qu'ils soient d'origine naturelle ou humaine, et planifier la continuité des activités et la reprise après sinistre, tester leurs plans, les mettre à jour et conserver des journaux d'activation des plans afin de les améliorer au fil du temps. 

Les plans de gestion de crise doivent inclure des plans de reprise, et les organisations doivent fournir des copies, des mécanismes de redondance et de basculement, des sauvegardes, des procédures de restauration... applicables aux données, aux installations et au réseau, en tenant compte de la règle 3-2-1 : conserver 3 copies des données sur 2 types de supports de stockage différents, dont 1 copie stockée hors site. 

Les entités doivent également vérifier la disponibilité des tiers et former leurs propres salariés en cas d'incident, et fixer des objectifs en matière de temps de reprise, de prestation de services, de pannes maximales acceptables... 

5. Chaîne d’approvisionnement

Cette section du guide traite des points suivants : 

  • Politique de sécurité de la chaîne d'approvisionnement 
  • Registre des fournisseurs et prestataires de services 

Les entités doivent établir, mettre en œuvre et appliquer une politique de sécurité de la chaîne d'approvisionnement basée sur les standards de l’industrie, et qui doivent déterminer le choix des fournisseurs. Ces politiques doivent être revues au fil du temps afin de garantir que le produit reste conforme aux recommandations et aux normes. 

Par exemple, les critères à prendre en compte dans cette perspective : 

  • Juridiction légale du fournisseur ou du prestataire de services 
  • Déclarations de conformité du fournisseur par rapport à la directive NIS 2 
  • Propriété de l'entreprise du fournisseur ou du prestataire de services 
  • Capacité à garantir le service 
  • Pratiques du fournisseur ou du prestataire de services en matière de cybersécurité 

Vous pouvez également attendre de votre fournisseur de solutions de cybersécurité : 

  • Une description claire et complète des produits et services 
  • Des informations sur les lieux où les produits seront fabriqués et les services fournis 
  • Les lieux où les données seront traitées, y compris le lieu de stockage et l'obligation pour le fournisseur et le prestataire de services d'informer à l'avance en cas de changement de lieu 
  • Mises à jour régulières et révision du code 
  • Tests de sécurité 
  • Documentation et politiques claires pour l'utilisation de composants gratuits et open source... 

Vous pouvez challenger ces critères avec HarfangLab, plateforme 100 % européenne et souveraine, reconnue pour la qualité de son accompagnement et certifiée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) !

6. Sécurité dans l’acquisition, le développement et la maintenance des systèmes d’information et des réseaux

Cette section du guide traite des points suivants : 

  • Sécurité pour l'acquisition de services ou de produits 
  • Cycle de vie sécurisé du développement des produits 
  • Gestion de la configuration 
  • Gestion des changements, réparations et maintenance 
  • Gestion des correctifs de sécurité 
  • Sécurité et segmentation des réseaux 
  • Protection contre les logiciels malveillants et non autorisés 
  • Gestion et divulgation des vulnérabilités 

La cybersécurité doit être intégrée en tant que composante permanente du processus d'achat des produits ou services, et les exigences de sécurité doivent être appliquées à tous les services et produits tout au long de leur cycle de vie. Cela implique que les fournisseurs doivent également être équipés de systèmes de détection d'intrusion tels que EDR, XDR ou SIEM et évaluer leur propre sécurité. 

Les entités doivent prendre des mesures pour établir, documenter, mettre en œuvre et surveiller la configuration des solutions achetées, y compris les configurations de sécurité du matériel, des logiciels, des services et des réseaux, en suivant les normes et en les faisant évoluer régulièrement dans cette perspective. Tout changement doit être consigné, qu'il soit dû à l'évolution des bonnes pratiques, à la maîtrise des risques ou même à une situation d'urgence. 

Comme prévu dans la politique globale de gestion de la sécurité, la gestion des vulnérabilités est indispensable, ce qui implique l'application en temps utile de correctifs provenant de sources fiables. 

Des mécanismes tels que l'EDR ou l'EPP doivent être déployés pour détecter et protéger contre les logiciels, codes, ou dispositifs malveillants et non autorisés contenant des fichiers malveillants. 

Les vulnérabilités doivent être partagées par les canaux appropriés et signalées aux CSIRT et aux autorités compétentes. 

7. Mesures de gestion des risques liés à la cybersécurité

Cette section du guide traite des points suivants : 

  • Politiques et procédures d'évaluation de l'efficacité des mesures de gestion des risques liés à la cybersécurité 

Les entités doivent évaluer si les mesures de gestion des risques liés à la cybersécurité sont mises en œuvre et maintenues de manière efficace, en se référant aux standards de l’industrie et aux indicateurs clés de performance tels que le coût de mise en œuvre et de maintenance (par exemple, les dépenses d'investissement (CAPEX) / les dépenses d'exploitation (OPEX)), le taux de formation des salariés en matière de cybersécurité, le nombre de vulnérabilités détectées, le délai de remédiation, les délais de réponse aux incidents, le nombre d'incidents... 

8. Pratiques élémentaires d’hygiène informatique et formation à la sécurité

Cette section du guide traite des points suivants : 

  • Sensibilisation et pratiques élémentaires d'hygiène informatique 
  • Formation à la sécurité 

Les entités concernées doivent veiller à ce que leurs employés soient informés des risques et de l'importance de la cybersécurité, qu'ils appliquent les meilleures pratiques en matière d'hygiène informatique, et qu'ils suivent des formations à la sécurité afin d'acquérir les compétences et l'expertise appropriées à leurs fonctions. 

9. Cryptographie

Les entités concernées doivent mettre en œuvre des procédures relatives à la cryptographie (signatures numériques, hachages...) et les mettre à jour régulièrement, afin de protéger la confidentialité, l'authenticité et l'intégrité des actifs et des données. 

Les procédures doivent inclure : 

  • Protection des clés cryptographiques contre la modification et la perte 
  • Protection des clés secrètes et privées contre l'utilisation et la divulgation non autorisées 
  • Authenticité des clés publiques 
  • Protection des équipements utilisés pour générer, stocker et archiver les clés...

10. Sécurité des ressources humaines

Cette section du guide traite des points suivants : 

  • Formation 
  • Vérification des antécédents 
  • Procédures de licenciement ou de changement d'emploi 
  • Procédure disciplinaire 

Des rôles et responsabilités clairs en matière de sécurité doivent être définis pour les employés, et des programmes d'intégration et de formation continue doivent être mis en place, ainsi qu'une procédure disciplinaire pour traiter les violations des politiques de sécurité des réseaux et des systèmes d'information, même après la cessation ou le changement d'emploi. Une vérification des antécédents peut être ajoutée au processus de recrutement pour les postes impliqués dans la gestion des données ou de la sécurité. 

Les rôles et responsabilités des fournisseurs et prestataires de services en matière de cybersécurité doivent également être définis, y compris l'identification des contacts responsables de la cybersécurité. 

11. Contrôle des accès 

Cette section du guide traite des points suivants : 

  • Politique de contrôle d'accès 
  • Gestion des droits d'accès 
  • Comptes privilégiés et comptes d'administration du système 
  • Systèmes d'administration 
  • Identification 
  • Authentification / MFA 

Les entités doivent mettre en œuvre des politiques de contrôle d'accès physique à leur réseau et à leurs systèmes d'information, en fonction des besoins opérationnels et des exigences de sécurité du réseau et des systèmes d'information, notamment : 

  • Mise à jour régulière des politiques et des droits d'accès des responsables (à la suite d’incidents, du départ d'une personne d'une équipe ou de l'organisation...) 
  • Restrictions d'accès logiques et physiques pour le personnel, les visiteurs et les entités externes (fournisseurs et prestataires de services) 
  • Authentification adéquate des utilisateurs, sur la base d'une cartographie suivant les principes du besoin d'en connaître, du moindre privilège et de la séparation des tâches 
  • Processus d'authentification renforcé pour les comptes privilégiés et accès restreint aux systèmes d'administration 
  • Procédures et technologies d'authentification de pointe (authentification par mot de passe, clés d'accès, authentification à deux facteurs / MFA, authentification biométrique, authentification par jeton, code d'accès à usage unique, cartes à puce, clés de sécurité Fast Identity Online 2, authentification par certificat, SSO, OpenID Connect...) 

12. Gestion des actifs

Cette section du guide traite des points suivants : 

  • Classification des actifs 
  • Traitement des actifs 
  • Politique relative aux équipements amovibles 
  • Inventaire des actifs 
  • Dépôt, restitution ou suppression des actifs à la fin du contrat de travail 

Les entités doivent procéder à la classification des exigences en matière de protection des actifs en fonction de leur sensibilité, de leur criticité, de leur risque et de leur valeur, sur la base des besoins en matière de confidentialité, d'intégrité, d'authenticité et de disponibilité. 

Toute personne qui utilise ces actifs doit être informée de la politique relative à leur bonne gestion tout au long de leur cycle de vie, y compris les instructions relatives à leur utilisation, leur stockage, leur transport, leur suppression irréversible et leur destruction en toute sécurité. 

Les entités doivent établir un inventaire complet, précis, à jour et cohérent de leurs actifs et consigner toute modification. Après le départ d'un employé, les actifs, le réseau et les systèmes d'information doivent être rendus inaccessibles à l'ancien employé. 

Les entités doivent également mettre en œuvre et appliquer une politique de gestion des supports de stockage amovibles et la communiquer aux employés et aux tiers. Un outil de contrôle des périphériques peut être utile à cet égard, tel que la fonctionnalité Device Control de HarfangLab EPP, qui permet de surveiller l'activité des ports externes, de générer des alertes de sécurité, et de définir des règles de filtrage et de blocage pour l'ensemble d'un parc informatique, pour des endpoints spécifiques ou pour des groupes d’endpoints. 

13. Sécurité environnementale et physique

Cette section du guide traite des points suivants : 

  • Utilitaires de support 
  • Protection contre les menaces physiques et environnementales 
  • Contrôle du périmètre et des accès physiques 

Les entités doivent se mettre en ordre marche pour empêcher la perte, l'endommagement ou la compromission des réseaux et des systèmes d'information, ou l'interruption de leurs opérations en raison de la défaillance ou de la perturbation de leurs dispositifs. 

Elles doivent protéger les installations contre les pannes de courant et autres perturbations, envisager l'utilisation de la redondance de leurs dispositifs, empêcher et surveiller l'accès physique non autorisé, les dommages et les interférences avec leurs réseaux et leurs systèmes d'information. Elles doivent également protéger les dispositifs d'électricité et de télécommunications et garantir leur efficacité continue. 

 

La conformité à la Directive NIS 2 nécessite de nombreuses mesures et politiques de sécurité, allant de la définition de politiques pour les utilisateurs du système d'information à la mise en place de technologies conçues pour protéger l'espace de travail. 


Pour en savoir plus sur la plateforme HarfangLab et sur la manière dont elle peut vous aider
à répondre aux exigences de NIS 2, découvrez nos solutions et nos offres :


Toutes les offres d'HarfangLab

Plus d'articles

GDPR Cybersecurity

RGPD : quelles obligations en matière de cybersécurité ?

Le RGPD exige des entreprises qu’elles protègent les données personnelles. Mais que dit exactement ce règlement ?

En savoir plus
6min
Réglementation