Avant l’été, nous avons levé le voile sur la directive NIS 2 ; en cette rentrée, je reprends le flambeau pour la suite des éléments à connaître pour être prêt cet automne.

Nous allons pouvoir aborder les parties planification et déploiement, que l’on pourrait résumer par cette locution latine bien connue : Si tu veux la paix, prépare la guerre !

Comment ?

La directive NIS 2 impose aux entreprises qui sont concernées (voir article précédent) qu’elles déploient les outils, les process et les ressources humaines appropriées en vue d’appréhender d’éventuelles cyberattaques. Il s’agit de mesures techniques et organisationnelles proportionnées afin de réduire les risques pesant sur les systèmes d’informations des entreprises. Les risques concernant les réseaux et l’environnement physique sont également à prendre en compte.

Il convient dans un premier temps de diligenter des rapports qui permettront d’évaluer le niveau de conformité aux normes du secteur (on pourra citer par exemple la norme ISO 27001). Évidemment, les désormais incontournables tests d’intrusion externes (pentest) constituent l’une des premières étapes.

Pour information, la réglementation NIS2 impose également aux entreprises de signaler rapidement les incidents aux entités compétentes, à l’image de ce que nous avons pu vivre au moment de l’épidémie de Covid.

En parlant de Covid, l’analogie ne s’arrête pas là. La directive NIS 2 ne se limite pas à l’entreprise concernée : elle impose que tous les partenaires de la chaîne logistique de ladite entreprise se conforment également régulièrement aux exigences de la loi. Évidemment, la résistance d’une chaîne étant équivalente à celle de son maillon le plus faible, il est indispensable de penser la sécurité sur l’ensemble de la chaîne de valeur.

Cela se concrétise par la mise en œuvre d’évaluations et d’audits des risques au niveau de chaque fournisseur. Des accords contractuels pourront être établis ; ils pourront inclure :

  • La définition du niveau minimum attendu en matière de normes de sécurité
  • Le maintien en condition opérationnelle de la surveillance constante de ces normes de sécurité
  • Une communication permanente entre les différents acteurs de la chaîne

 

Et maintenant ?

Concrètement, par où commencer ?

La première étape est la réalisation d’un diagnostic par un tiers de confiance. Au sein de Koesio Managed Services (KMS), nous avons mis en place un protocole pour nos clients (valable aussi pour les prospects) afin de les accompagner dans ces démarches de mises en conformité.

En octobre 2024, le délai accordé aux états membres prends fin. Chaque pays est supposé avoir intégré dans le droit national l’équivalent des mesures NIS 2 (transposition et publication). En avril 2025, chaque état devra fournir la liste des entités concernées par NIS 2 (secteurs essentiels et secteurs importants) au sein du pays.

 

Cet article clôture cette introduction en 2 parties à la directive NIS 2. J’espère que vous en savez un peu plus désormais : si vous souhaitez approfondir le sujet, il y a pléthore de ressources sur Internet. Les équipes de KMS sont également à votre écoute le cas échéant. Prenez rendez-vous avec notre expert, Mickaël BARBOSA.

Bienvenue !

 

Vous êtes dirigeant, manager, ou patron de PME, découvrez dans ce blog des articles mélangeant les notions de management et de l'informatique pour répondre à vos besoins et ceux de vos collaborateurs.