Quel impact de la directive NIS 2 pour mon entreprise ?
La directive européenne NIS 2 pour “Network and Information Security” a pour objectif de renforcer et d’harmoniser la sécurité des réseaux et des informations. L’ANSSI est en charge pour la France du pilotage de la transposition de cette directive en droit français.
Comme nous l’avons vu précédemment, dans notre article La directive NIS 2 est-elle applicable à votre entreprise ?, le périmètre d’application évolue de façon exponentielle. Du fait de l’extension du champ d’application de la directive, en France, nous allons passer quelques centaines d'entreprises à plusieurs milliers.
Cela passe notamment par l'élargissement des secteurs concernés avec :
- Pour les secteurs essentiels :
- Banque et finance
- Énergie : électricité, gaz et pétrole
- Fournisseurs de services informatiques et services managés, etc.
- Secteur de la santé
- Secteur lié à l'espace
- Services publics et administrations territoriales
- Transport : aérien, ferroviaire, routier et maritime
- Pour les secteurs importants :
- Alimentaire
- Chimie
- Eau potable et traitement des eaux usées
- Gestion des déchets
- Industries
- Postes
- Recherche (hors enseignement)
- Services numériques
Retrouvez plus de détails sur notre article : La directive NIS 2 est-elle applicable à votre entreprise ? qui présente l'évolution de la directive et l’arbre de décision correspondant pour savoir si vous êtes soumis à l'évolution de la législation.
Les entreprises susceptibles d’être concernées par NIS2 doivent entamer dès à présent une démarche proactive pour rehausser le niveau de leur sécurité informatique, ce d’autant plus que le 18 octobre 2024 - date d’application de la directive - arrive à grands pas.
Si vous êtes une des entités concernées par NIS 2, vous devez donc vous préparer, vous aussi, à votre mise en conformité. N’hésitez pas à nous contacter pour que nous puissions vous présenter l’implication de cette nouvelle directive et les mesures nécessaires à mettre en œuvre.
Impact sur la chaine de sous-traitance
Une autre évolution importante de cette directive NIS 2 concerne les précisions relatives à la sécurisation de la chaine de sous-traitance.
En effet, les attaques se multiplient et les hackers utilisent tous les moyens pour atteindre leur objectif. L’actualité ne cesse de nous le montrer, la chaine de sous-traitance est régulièrement attaquée pour mettre à terre les SI les plus importants en passant par d’autres canaux.
L’avènement des outils SaaS facilite grandement le quotidien de nombre de nos collaborateurs, mais ne sont pas exempts de risque, nous y confions parfois sans le réaliser des processus et données critiques pour l’entreprise. La directive NIS 2 concerne donc aussi toutes ces solutions tierces que vous pouvez utiliser au sein de vos entités.
Renforcement de la cybersécurité
Qui dit évolution de la sécurité des réseaux et des systèmes informations, dit renforcement de la cybersécurité. Ce renforcement peut notamment s’effectuer par la mise en place des mesures et moyens suivants :
- les politiques relatives à l’analyse des risques et la PSSI notamment pour les environnements Clouds souvent oubliés,
- le déploiement d’une approche Zero Trust,
- la mise en place d’une défense en profondeur,
- l’usage systématique de l’authentification à multiples facteurs,
- la configuration systématique d’un pare-feu applicatif web (WAF) ainsi que d’une protection anti-DDoS devant chaque frontal web,
- la bonne conformité vis-à-vis des standards et référentiels de sécurité comme le CIS Benchmark,
- la bonne application des politiques de patch management pour réduire les vulnérabilités et limiter ainsi la surface d’attaque,
- la réalisation régulière de tests de pénétration sur les différents environnements ainsi que physiquement dans les bâtiments,
- la mise en place de la continuité de l’activité (PCA) de reprise d’activités (PRA), mais aussi de gestion des sauvegardes en cas de crises et corruption des données,
- la sensibilisation et la formation du personnel aux risques cyber,
- la détection et la gestion des incidents de sécurité,
- l’évaluation des risques cybe,
- l’usage d’outils de communication sécurisés et de systèmes d’urgence en cas de crise.
Plus concrètement, les équipes projets de Claranet sont à même de vous accompagner grâce à nos cartes de modernisation sécurité ainsi que nos sales spécialistes pour tous vos nouveaux projets.
Accompagnement de Claranet Cyber Security
Avec plus de 25 ans d’expérience dans les services et la formation en matière de Cybersécurité, nous sommes le partenaire français de la sécurisation de vos infrastructures et services. Notre expertise reconnue sur les environnements on-prem, hydrid et cloud nous permet de vous accompagner sur l’ensemble de vos sujets de Cyber Sécurité autour de 4 grandes thématiques :
- Global Security Consulting
- Offensif : Scan de vulnérabilités, test de segmentation, pentest,..
- Cloud Security : Cloud Security report, Cloud Security configuration Audit, Cloud Security Assessment
- Social Engineering : Robustesse des mots de passe, campagne de Phishing,..
- Security Edge Services
- Web Optimisation : Edge computing, CDN/cache,...
- Web Protection : WAF managé, anti-DDOS, Bot mitigation,...
- Supervision : certificats, niveau de protection,...
- Security Operation Center
- Micro-SOC Managé : EDR, M365, identité, Cloud,...
- SOC Managé : Cloud native, Souverain, CERT, Forensic,..
- Cyber Security Training
- Infrastructure Hacking : Hacking 101, Infrastructure Hacking,...
- Web Hacking : Web Hacking, Advanced Web Hacking,...
- Specialist : AppSec, DevSecOps,...