NIS2 : Conseils pratiques pour la mise en conformité des PME

Introduction

Les PME devraient prendre des mesures dès maintenant pour se conformer à la nouvelle directive NIS2 avant la date limite : 17 octobre 2024. La directive NIS2 est une mise à jour de l'ancienne législation NIS qui vise à renforcer la cyber-résilience de l'Union européenne en imposant des protocoles de sécurité spécifiques aux entreprises "essentielles" ou "importantes".

L'une des critiques formulées à l'encontre de l'ancienne législation NIS était qu'elle avait un champ d'application large et qu'elle était vague en ce qui concerne l'identification des organisations concernées. Le NIS2 résout ces problèmes : de nombreuses entreprises de l'UE qui n'entraient pas dans le champ d'application du NIS sont désormais couvertes par le NIS2. Il s'agit notamment de nombreuses PME employant entre 50 et 1 000 personnes.

Certaines entreprises de taille moyenne peuvent avoir du mal à se conformer aux nouvelles réglementations - beaucoup doivent mettre en place une fonction complète de cybersécurité d'ici octobre, tout en étant confrontées à des budgets et des ressources limités.

Cliquez ici pour visionner notre vidéo-à-la-demande sur la directive NIS2 et ses objectifs.

Les défis auxquels sont confrontées les PME

Le défi majeur auquel sont confrontées les entreprises de taille moyenne est que, pour nombre d'entre elles, la cybersécurité n'a jamais été une priorité ; elles devront procéder à des changements importants en peu de temps pour se conformer au NIS2 avant la date limite d'octobre. Ces changements consisteront notamment à investir dans des produits et des services de sécurité, à engager des consultants et des employés pour susciter le changement et à cultiver un état d'esprit soucieux de la sécurité dans l'ensemble de l'organisation.

Un nouvel état d'esprit

Pour de nombreuses PME, le plus grand défi réside dans le fait que personne au sein de l'entreprise ne se concentre actuellement sur la cybersécurité, de sorte que personne ne sera à l'origine des changements nécessaires. S'il n'y a pas de RSSI ou d'équipe de cybersécurité, le plus difficile sera de conduire le changement, de prendre de l'élan, de comprendre les meilleures pratiques en matière de sécurité et de savoir comment appréhender la nouvelle législation.

Dans le cadre de la directive NIS2, la responsabilité ultime de la conformité incombe à la direction de l'entreprise, ce qui signifie que le changement devra venir d'elle. Cependant, tous les employés de l'entreprise devront également participer aux changements, qu'il s'agisse simplement de suivre une formation de sensibilisation et d'adhérer aux nouvelles normes concernant, par exemple, la force des mots de passe, ou de travailler avec un expert pour rendre les processus organisationnels plus sûrs.

Répondre aux exigences minimales du NIS2

La directive NIS2 comprend dix exigences minimales qui décrivent les pratiques de base jugées nécessaires pour assurer la sécurité numérique d'une entreprise. Il s'agit notamment d'exigences concernant la surveillance constante, la réponse aux incidents, la cryptographie et le chiffrement, les politiques et les procédures, et les rapports.

Aucune de ces exigences minimales n'est particulièrement avant-gardiste ou inhabituelle en matière de cybersécurité ; il s'agit de pratiques courantes dans les organisations dont les mesures de sécurité sont matures. La plupart de ces exigences peuvent être satisfaites à l'aide de produits et de services externes, ce qui permet d'éviter les investissements potentiellement considérables qu'impliquerait la mise en place de ces capacités en interne.

Par exemple, pour répondre à l'exigence d'une surveillance 24/7 en interne, une entreprise devrait engager une grande équipe d'experts, dont certains devraient travailler les week-ends et les jours fériés. Il faudrait du personnel supplémentaire en cas d'absence et/ou de rotation du personnel. Les entreprises peuvent également externaliser la tâche de surveillance 24/7, et c'est l'approche que nous recommandons dans la plupart des cas.

Nos conseils pratiques

Pour la plupart des entreprises de taille moyenne, la mise en conformité avec la directive NIS2 impliquera une combinaison d'efforts internes et d'investissements dans des produits et services externes. L'essentiel est d'identifier les domaines dans lesquels le changement est réalisable en interne et ceux dans lesquels les investissements seront les plus rentables.

Comprendre la directive NIS2

La première étape consiste à comprendre la directive NIS2 dans son intégralité. Les cadres supérieurs, qui sont responsables de la conformité avec la directive NIS2, doivent soit lire la législation eux-mêmes, soit faire appel à un expert pour comprendre les nuances des exigences et la manière dont la conformité sera mesurée.

Conseil : pour comprendre les exigences, regardez notre vidéo-à-la-demande sur la directive.

Analyse des "lacunes"

La deuxième étape consiste à évaluer les capacités et les pratiques actuelles de votre entreprise par rapport aux exigences de la directive NIS2. Il est essentiel que vous compreniez ce que vous faites déjà et ce que vous devez changer pour vous conformer avant la date limite.

Conseil : N'oubliez pas d'évaluer si vous pouvez fournir des preuves de vos pratiques de sécurité au cours de cette étape. Si votre entreprise fait l'objet d'un audit NIS2, vous devrez prouver que vous répondez aux exigences. Par exemple, il ne suffit pas de déployer une formation de sensibilisation à la sécurité dans l'ensemble de l'entreprise ; vous devez être en mesure de prouver que vos employés ont suivi la formation avec une documentation à jour.

Evaluer le profil de risque

L'étape suivante consiste à comprendre le profil de risque de votre entreprise dans le cadre réglementaire. Dans le cadre du NIS2, vos mesures de sécurité doivent être proportionnelles aux risques associés à votre organisation. Les organisations à haut risque, considérées comme plus importantes pour la société, devront investir davantage dans la sécurité que les organisations ayant un profil de risque moins élevé.

Une mauvaise évaluation de votre profil de risque entraînera un surinvestissement ou un sous-investissement dans la sécurité et peut signifier que vous n'êtes pas réellement en conformité avec le NIS2, même si vous pensez que vous faites tout ce qu'il faut.

Conseil : NIS2 fait la distinction entre les entités "importantes" et "essentielles", mais au-delà, l'évaluation du profil de risque est subjective pour chaque entreprise. Certaines organisations voudront peut-être faire appel à un expert pour les aider à comprendre leur profil de risque, car il s'agit d'une étape cruciale pour assurer une sécurité adéquate.

Conseil : les pratiques et processus de sécurité ne doivent pas entraver le travail normal. Si les mesures de sécurité entravent la capacité des employés à effectuer un travail efficace et productif, elles ne doivent pas être considérées comme efficaces.

Evaluer les options

Avec les résultats de votre analyse de vos faiblesses, recherchez des produits, des services et des options de recrutement pour y remédier.

Conseil : de nombreuses exigences du NIS2 peuvent être satisfaites avec des produits et des services prêts à l'emploi, y compris les exigences dont la mise en place en interne nécessiterait un investissement financier important, telles que la mise en place d'un système de gestion de l'information et d'un système de gestion des ressources humaines :

Capacités de détection, de traitement et de réponse aux incidents 24h/24 et 7j/7

Capacités permettant d'assurer la continuité des activités en cas d'incidents liés à la cybersécurité

Capacités permettant d'assurer un traitement et une divulgation continus des vulnérabilités

Pratiques de base en mathière d'hygiène cyber et la formation à la cybersécurité

Il en va de même pour les exigences qui nécessitent un investissement en temps plus important si elles sont traitées en interne :

Rédaction et mise à jour des politiques et procédures

Mise en place d'authentifications multifactorielles

Gestion des actifs

Certaines exigences sont plus difficiles à satisfaire, comme la nécessité d'établir des politiques et des capacités en matière de cryptographie et de chiffrement. Il est beaucoup plus difficile de trouver une solution prête à l'emploi pour cela, et vous devrez peut-être travailler avec un spécialiste de la sécurité pour vous mettre en conformité, en particulier si vous travaillez avec des données sensibles et un profil de risque élevé.

Conseil : lorsque vous étudiez les offres de produits et de services des fournisseurs de sécurité, méfiez-vous de tout ce qui promet une mise en conformité immédiate, des taux de réussite de 100% ou des solutions passe-partout. Il est donc essentiel de comprendre les besoins spécifiques et le profil de risque de votre entreprise et de trouver des fournisseurs réputés qui sont prêts à établir une relation avec vous. Nous vous recommandons de donner la priorité aux fournisseurs qui ont fait leurs preuves et qui sont présents depuis longtemps sur le marché. Méfiez-vous des sociétés nouvellement créées qui peuvent manquer de stabilité ou de crédibilité.

Résumé

La directive NIS2 n'a pas pour but de nuire aux entreprises ou de leur causer des difficultés en imposant des normes inutiles. Elle vise plutôt à accroître la résilience de notre société. Nous pensons que les organisations de l'UE devraient faire de leur mieux pour se conformer à la directive NIS2, non pas en raison des conséquences financières de la non-conformité, mais parce que c'est moralement la bonne chose à faire : une meilleure résilience conduira à de meilleurs résultats pour tout le monde.

Bien que les entreprises de taille moyenne puissent rencontrer des difficultés pour répondre aux exigences du NIS2, une approche proactive impliquant la compréhension, l'évaluation et l'investissement stratégique peut ouvrir la voie à un paysage numérique plus sûr pour tout le monde.

Plus d'informations sur la directive NIS2, regardez notre vidéo-à-la-demande et pour en savoir plus sur notre plateforme Elements Cloud.

Contenus associés

Conformité au NIS2 - Guide pratique

En janvier 2023, la directive NIS2 - une révision de la directive NIS de 2016 - est entrée en vigueur. Notre webinar présente les moyens pratiques par lesquels notre technologie et nos services peuvent vous aider à vous mettre en conformité.

NIS2 – Renforcer la cybersécurité dans l'UE

L'échéance pour la mise en conformité à la directive NIS2 est le 17 octobre 2024, la date approche. Les organisations doivent agir dès maintenant pour se conformer aux nouvelles réglementations en matière de cybersécurité. Chez WithSecure, nous souhaitons un avenir où personne ne devrait subir les effects dévastateurs des cybermenaces. Nous voulons vous aider à atteindre un haut niveau de sécurité.

A propos de WithSecure

Actualités

Dernières mises à jour

WithSecure™ rend tangible la lutte contre la cybercriminalité en capturant les malwares dans des œuvres d’art

Differences between vulnerability management and exposure management

Understanding Your Attack Surface

Understanding your threat exposure

Select a language

Europe

North America

Central and South America

Asia - Pacific

Global

Autres solutions WithSecure

Stratégies basées sur les résultats

CISO Toolbox

Continue d'apprendre

WithSecure™ Security Outcomes

Faites le nous savoir

Differences between vulnerability management and exposure management

Devenir un partenaire

Partenaires actuels

Trouver un partenaire

Informations complémentaires

WithSecure™ Security Cloud Purpose, Function and Benefits

Importance of Data and Security Literacy for Salesforce Users

Auto-assistance

Contacter le support

Mises à jour importantes

WithSecure Support