BLOG

NIS2 : Un nouveau regard sur la cybersécurité

Miniature de Bart Salaets
Bart Salaets
Publié le 29 septembre 2023

La nouvelle directive de l'UE signifie que de plus en plus d'entreprises ont besoin d'une meilleure sécurité, d'une meilleure visibilité et d'un meilleur contrôle

En imposant de nouvelles exigences strictes, la directive révisée sur la sécurité des réseaux et de l’information (NIS) exigera que de nombreuses autres entreprises de l’UE prennent la cybersécurité au sérieux. 

Dans moins d'un an, la nouvelle directive NIS2 (connue sous le nom de NIS2) imposera à un large éventail d'organisations l'obligation légale de sécuriser entièrement leurs systèmes internes et de garantir que les interfaces externes ne sont pas vulnérables aux attaques et au vol de données. 

Elle accorde une grande importance à la gestion des risques, au reporting et au recouvrement, les amendes en cas de non-conformité pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). 

Mais de telles amendes pourraient n’être que la partie émergée d’un iceberg financier bien plus grand.

La NIS2 s’appliquant à un groupe d’entreprises bien plus large que son prédécesseur, son impact se répercutera sur les chaînes d’approvisionnement. La cybersécurité deviendra une priorité dans les processus d’approvisionnement et pourrait déterminer quelles entreprises remporteront de nouveaux contrats.

Malheureusement, la plupart des organisations ne disposent pas des compétences internes nécessaires pour gérer les nombreuses exigences de la nouvelle directive, d’autant plus que leurs systèmes s’étendent de plus en plus sur plusieurs environnements cloud et qu’un grand nombre d’employés continuent de travailler à domicile. 

NIS2 fait de la visibilité totale un incontournable

Couvrant toute entreprise comptant plus de 50 salariés et dont le chiffre d'affaires annuel dépasse 10 millions d'euros, la NIS2 s'appliquera aux télécommunications, à l'alimentation, à la gestion des déchets, aux plateformes numériques, aux agences publiques et aux services de livraison. Cela aura également un impact majeur sur les services essentiels couverts par le NIS d’origine, comme l’énergie, les soins de santé, les banques et les transports.

À mesure que la norme NIS2 sera mise en œuvre par les États membres de l’UE, les entreprises concernées devront s’assurer que toutes les interfaces externes sont protégées, y compris les applications utilisées pour interagir avec les clients et les fournisseurs. 

En cas de violation, ils devront soumettre un rapport d'alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident, suivi d'une évaluation initiale dans les 72 heures et d'un rapport final dans un délai d'un mois. 

Par conséquent, il sera essentiel pour les entreprises d’avoir une visibilité complète sur ce qui se passe dans leurs opérations numériques et leurs interfaces numériques avec leurs clients, partenaires et fournisseurs. 

Dans un monde idéal, un bâton réglementaire ne serait pas vraiment nécessaire : la plupart des interactions commerciales se déroulent désormais en ligne, et les chefs d’entreprise devraient donc déjà exiger ce type de visibilité. 

Néanmoins, de nombreuses petites entreprises relevant du champ d’application de la nouvelle directive ne disposeront pas nécessairement d’un centre d’opérations de sécurité et des outils de reporting associés nécessaires pour se conformer. De plus, il est peu probable qu’ils disposent des compétences et des ressources nécessaires pour créer et concevoir ces outils en interne.   

Il va sans dire que la pression est forte pour déployer des mécanismes faciles à mettre en œuvre afin de satisfaire aux obligations de la NIS2. Et ce, sans nuire à l’expérience de leurs clients et partenaires. 

Ils auront notamment besoin d’une console centralisée à travers laquelle ils pourront gérer l’intégralité de leur portefeuille d’applications. Les propositions de sécurité des applications et de distribution d’applications basées sur le cloud, telles que F5 Distributed Cloud Services , peuvent répondre à ce besoin.

Ce n’est pas non plus une promenade de santé pour les grandes organisations. L’un des plus grands défis posés par l’accent accru mis par la réglementation sur la sécurité est la complexité accrue de la sécurisation et de la surveillance d’une infrastructure numérique qui s’étend de plus en plus sur plusieurs clouds et centres de données internes.

Aujourd’hui, de nombreuses applications et leurs microservices constitutifs sont exécutés dans plusieurs environnements. Alors que le front-end d’une application peut s’exécuter dans un cloud public, le back-end peut se trouver dans un centre de données interne. Dans le même temps, les employés se connectent de plus en plus aux systèmes et aux applications depuis de nombreux endroits différents, tels que leur domicile et leurs espaces de coworking.  

Afin de sécuriser ce paysage numérique de plus en plus complexe d'une manière compatible avec NIS2, de nombreuses entreprises auront besoin d'un service géré équipé pour couvrir plusieurs environnements cloud, informatiques et réseau différents. Encore une fois, chez F5, nous avons cette expertise. 

Même si le temps presse de plus en plus, il est encore temps d’agir.

Les États membres de l'UE doivent intégrer la nouvelle directive dans leur législation nationale d'ici le 18 octobre 2024. La course est donc lancée pour que toutes les organisations concernées s'assurent que leurs capacités de sécurité et de surveillance sont suffisamment robustes pour éviter les amendes et, plus important encore, les atteintes à la réputation associées aux manquements à la conformité. 

Heureusement, la technologie dont ils ont besoin pour prospérer dans ce nouvel environnement réglementaire est prête à être utilisée. 

Nous approfondirons les détails dans un prochain article de blog expliquant comment F5 aide déjà les clients à se conformer à la norme NIS2. Restez à l'écoute!