NIS2 : Conseils pratiques pour la mise en conformité des PME
Introduction
Les PME devraient prendre des mesures dès maintenant pour se conformer à la nouvelle directive NIS2 avant la date limite : 17 octobre 2024. La directive NIS2 est une mise à jour de l'ancienne législation NIS qui vise à renforcer la cyber-résilience de l'Union européenne en imposant des protocoles de sécurité spécifiques aux entreprises "essentielles" ou "importantes".
L'une des critiques formulées à l'encontre de l'ancienne législation NIS était qu'elle avait un champ d'application large et qu'elle était vague en ce qui concerne l'identification des organisations concernées. Le NIS2 résout ces problèmes : de nombreuses entreprises de l'UE qui n'entraient pas dans le champ d'application du NIS sont désormais couvertes par le NIS2. Il s'agit notamment de nombreuses PME employant entre 50 et 1 000 personnes.
Certaines entreprises de taille moyenne peuvent avoir du mal à se conformer aux nouvelles réglementations - beaucoup doivent mettre en place une fonction complète de cybersécurité d'ici octobre, tout en étant confrontées à des budgets et des ressources limités.
Cliquez ici pour visionner notre vidéo-à-la-demande sur la directive NIS2 et ses objectifs.
Les défis auxquels sont confrontées les PME
Le défi majeur auquel sont confrontées les entreprises de taille moyenne est que, pour nombre d'entre elles, la cybersécurité n'a jamais été une priorité ; elles devront procéder à des changements importants en peu de temps pour se conformer au NIS2 avant la date limite d'octobre. Ces changements consisteront notamment à investir dans des produits et des services de sécurité, à engager des consultants et des employés pour susciter le changement et à cultiver un état d'esprit soucieux de la sécurité dans l'ensemble de l'organisation.
Un nouvel état d'esprit
Pour de nombreuses PME, le plus grand défi réside dans le fait que personne au sein de l'entreprise ne se concentre actuellement sur la cybersécurité, de sorte que personne ne sera à l'origine des changements nécessaires. S'il n'y a pas de RSSI ou d'équipe de cybersécurité, le plus difficile sera de conduire le changement, de prendre de l'élan, de comprendre les meilleures pratiques en matière de sécurité et de savoir comment appréhender la nouvelle législation.
Dans le cadre de la directive NIS2, la responsabilité ultime de la conformité incombe à la direction de l'entreprise, ce qui signifie que le changement devra venir d'elle. Cependant, tous les employés de l'entreprise devront également participer aux changements, qu'il s'agisse simplement de suivre une formation de sensibilisation et d'adhérer aux nouvelles normes concernant, par exemple, la force des mots de passe, ou de travailler avec un expert pour rendre les processus organisationnels plus sûrs.
Répondre aux exigences minimales du NIS2
La directive NIS2 comprend dix exigences minimales qui décrivent les pratiques de base jugées nécessaires pour assurer la sécurité numérique d'une entreprise. Il s'agit notamment d'exigences concernant la surveillance constante, la réponse aux incidents, la cryptographie et le chiffrement, les politiques et les procédures, et les rapports.
Aucune de ces exigences minimales n'est particulièrement avant-gardiste ou inhabituelle en matière de cybersécurité ; il s'agit de pratiques courantes dans les organisations dont les mesures de sécurité sont matures. La plupart de ces exigences peuvent être satisfaites à l'aide de produits et de services externes, ce qui permet d'éviter les investissements potentiellement considérables qu'impliquerait la mise en place de ces capacités en interne.
Par exemple, pour répondre à l'exigence d'une surveillance 24/7 en interne, une entreprise devrait engager une grande équipe d'experts, dont certains devraient travailler les week-ends et les jours fériés. Il faudrait du personnel supplémentaire en cas d'absence et/ou de rotation du personnel. Les entreprises peuvent également externaliser la tâche de surveillance 24/7, et c'est l'approche que nous recommandons dans la plupart des cas.
Nos conseils pratiques
Pour la plupart des entreprises de taille moyenne, la mise en conformité avec la directive NIS2 impliquera une combinaison d'efforts internes et d'investissements dans des produits et services externes. L'essentiel est d'identifier les domaines dans lesquels le changement est réalisable en interne et ceux dans lesquels les investissements seront les plus rentables.
Comprendre la directive NIS2
La première étape consiste à comprendre la directive NIS2 dans son intégralité. Les cadres supérieurs, qui sont responsables de la conformité avec la directive NIS2, doivent soit lire la législation eux-mêmes, soit faire appel à un expert pour comprendre les nuances des exigences et la manière dont la conformité sera mesurée.
Conseil : pour comprendre les exigences, regardez notre vidéo-à-la-demande sur la directive.
Analyse des "lacunes"
La deuxième étape consiste à évaluer les capacités et les pratiques actuelles de votre entreprise par rapport aux exigences de la directive NIS2. Il est essentiel que vous compreniez ce que vous faites déjà et ce que vous devez changer pour vous conformer avant la date limite.
Conseil : N'oubliez pas d'évaluer si vous pouvez fournir des preuves de vos pratiques de sécurité au cours de cette étape. Si votre entreprise fait l'objet d'un audit NIS2, vous devrez prouver que vous répondez aux exigences. Par exemple, il ne suffit pas de déployer une formation de sensibilisation à la sécurité dans l'ensemble de l'entreprise ; vous devez être en mesure de prouver que vos employés ont suivi la formation avec une documentation à jour.
Evaluer le profil de risque
L'étape suivante consiste à comprendre le profil de risque de votre entreprise dans le cadre réglementaire. Dans le cadre du NIS2, vos mesures de sécurité doivent être proportionnelles aux risques associés à votre organisation. Les organisations à haut risque, considérées comme plus importantes pour la société, devront investir davantage dans la sécurité que les organisations ayant un profil de risque moins élevé.
Une mauvaise évaluation de votre profil de risque entraînera un surinvestissement ou un sous-investissement dans la sécurité et peut signifier que vous n'êtes pas réellement en conformité avec le NIS2, même si vous pensez que vous faites tout ce qu'il faut.
Conseil : NIS2 fait la distinction entre les entités "importantes" et "essentielles", mais au-delà, l'évaluation du profil de risque est subjective pour chaque entreprise. Certaines organisations voudront peut-être faire appel à un expert pour les aider à comprendre leur profil de risque, car il s'agit d'une étape cruciale pour assurer une sécurité adéquate.
Conseil : les pratiques et processus de sécurité ne doivent pas entraver le travail normal. Si les mesures de sécurité entravent la capacité des employés à effectuer un travail efficace et productif, elles ne doivent pas être considérées comme efficaces.
Evaluer les options
Avec les résultats de votre analyse de vos faiblesses, recherchez des produits, des services et des options de recrutement pour y remédier.
Conseil : de nombreuses exigences du NIS2 peuvent être satisfaites avec des produits et des services prêts à l'emploi, y compris les exigences dont la mise en place en interne nécessiterait un investissement financier important, telles que la mise en place d'un système de gestion de l'information et d'un système de gestion des ressources humaines :
Capacités de détection, de traitement et de réponse aux incidents 24h/24 et 7j/7
Capacités permettant d'assurer la continuité des activités en cas d'incidents liés à la cybersécurité
Capacités permettant d'assurer un traitement et une divulgation continus des vulnérabilités
Pratiques de base en mathière d'hygiène cyber et la formation à la cybersécurité
Il en va de même pour les exigences qui nécessitent un investissement en temps plus important si elles sont traitées en interne :
Rédaction et mise à jour des politiques et procédures
Mise en place d'authentifications multifactorielles
Gestion des actifs
Certaines exigences sont plus difficiles à satisfaire, comme la nécessité d'établir des politiques et des capacités en matière de cryptographie et de chiffrement. Il est beaucoup plus difficile de trouver une solution prête à l'emploi pour cela, et vous devrez peut-être travailler avec un spécialiste de la sécurité pour vous mettre en conformité, en particulier si vous travaillez avec des données sensibles et un profil de risque élevé.
Conseil : lorsque vous étudiez les offres de produits et de services des fournisseurs de sécurité, méfiez-vous de tout ce qui promet une mise en conformité immédiate, des taux de réussite de 100% ou des solutions passe-partout. Il est donc essentiel de comprendre les besoins spécifiques et le profil de risque de votre entreprise et de trouver des fournisseurs réputés qui sont prêts à établir une relation avec vous. Nous vous recommandons de donner la priorité aux fournisseurs qui ont fait leurs preuves et qui sont présents depuis longtemps sur le marché. Méfiez-vous des sociétés nouvellement créées qui peuvent manquer de stabilité ou de crédibilité.
Résumé
La directive NIS2 n'a pas pour but de nuire aux entreprises ou de leur causer des difficultés en imposant des normes inutiles. Elle vise plutôt à accroître la résilience de notre société. Nous pensons que les organisations de l'UE devraient faire de leur mieux pour se conformer à la directive NIS2, non pas en raison des conséquences financières de la non-conformité, mais parce que c'est moralement la bonne chose à faire : une meilleure résilience conduira à de meilleurs résultats pour tout le monde.
Bien que les entreprises de taille moyenne puissent rencontrer des difficultés pour répondre aux exigences du NIS2, une approche proactive impliquant la compréhension, l'évaluation et l'investissement stratégique peut ouvrir la voie à un paysage numérique plus sûr pour tout le monde.
Plus d'informations sur la directive NIS2, regardez notre vidéo-à-la-demande et pour en savoir plus sur notre plateforme Elements Cloud.