Directive NIS2 : quelle est son influence sur la cybersécurité de votre organisation ?

| 27 mai 2024

Les défaillances ou interruptions d'infrastructures critiques dues à une cyberattaque peuvent avoir des conséquences dramatiques, telles que des pénuries d'approvisionnement et des perturbations de la sécurité publique. L'Union européenne vise à accroître la cyber-résilience des entreprises et des institutions critiques avec la directive NIS2 (directive sur les réseaux et les systèmes d'information 2022). Votre organisation est-elle concernée par cette directive ? Et si oui, quels sont les éléments à prendre en compte ?



La directive NIS2 a été lancée le 16 janvier 2023 et sera incorporée dans la législation de chaque État membre de l'UE d'ici le 17 octobre 2024. Selon cette directive, les entreprises exploitant des infrastructures critiques doivent se prémunir contre une longue liste de risques, tels que l'erreur humaine, la défaillance des systèmes, les acteurs malveillants et les catastrophes naturelles, et sécuriser de manière adéquate les systèmes qui régissent la sécurité de leurs réseaux et de leurs informations. Les organisations qui ne respectent pas la directive s'exposent à des amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel mondial. Il vaut donc mieux être en règle !
 

Votre organisation est-elle concernée par la directive NIS2 ?

 

La question de savoir si votre organisation est couverte par la directive NIS2 dépend principalement de la taille de votre organisation et du secteur dans lequel vous opérez. Les secteurs "hautement critiques" et "critiques" sont tous deux concernés :
 

Hautement critiques Critiques
Transports Fabrication
Énergie Gestion des déchets
Banques et assurances Services postaux et d’expédition
Soins de santé Denrées alimentaires (production, transformation, distribution)
Eau potable Produits chimiques et médicaux
Eaux usées Fournisseurs numériques
Infrastructure numérique Recherche
Gestion des services TIC (b2b)  
Administration publique  
Espace  


Toutes les organisations de taille moyenne (51 à 249 employés ; chiffre d'affaires annuel < 50 millions d'euros) et les grandes organisations (+250 employés ; chiffre d'affaires annuel > 50 millions d'euros) sont également couvertes par la législation.
 

Votre organisation est-elle "essentielle" ou "importante" ? 

 

Les entreprises "hautement critiques" sont "essentielles", les entreprises "critiques" sont "importantes". Les mêmes exigences en matière de gestion de la cybersécurité et les mêmes obligations de notification des incidents s'appliquent aux deux catégories, mais le contrôle de la conformité diffère. Les organisations "essentielles" doivent contrôler de manière proactive la mise en œuvre des mesures, tandis que les organisations "importantes" doivent se contenter d'un contrôle réactif, c'est-à-dire uniquement en cas d'incident de cybersécurité. 
 

Quatre exigences principales

 

En comparaison à la première directive NIS de 2016, la NIS2 comporte quatre nouvelles exigences principales :

  1. Gestion des risques : les organisations doivent faire face à tous les risques potentiels, y compris l'erreur humaine, la défaillance des systèmes, la malveillance, les catastrophes naturelles et la sécurité physique et environnementale des systèmes.
  2. Responsabilité : les cadres supérieurs doivent veiller à la bonne application de la loi. En cas de violation, ils sont tenus personnellement responsables et risquent la suspension.
  3. Exigences en matière de rapports : le NIS2 contient des exigences détaillées en matière de rapports sur les incidents de sécurité.
  4. Continuité des activités : le NIS2 s'applique aux organisations qui fournissent des services essentiels au fonctionnement de la société. En cas d'incident de sécurité, ces organisations doivent pouvoir s'appuyer sur des plans garantissant la continuité de leurs services, tels que la récupération des systèmes, les procédures d'urgence et la mise en place d'une équipe d'intervention en cas de crise. 

 

Dix règles de base

 

Les organisations concernées par la directive NIS2 doivent prendre dix mesures de base pour prévenir les incidents de sécurité et minimiser leur impact :

  1. Analyse des risques et de la sécurité des systèmes d’information ;
  2. Gestion des incidents ;
  3. Continuité des activités (gestion des sauvegardes, reprise des activités, gestion des crises, etc.) ;
  4. Sécurité de la chaîne d’approvisionnement ;
  5. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
  6. Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
  7. Pratiques de base en matière de cyberhygiène et de formation à la cybersécurité ;
  8. Politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
  9. Sécurité des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs ;
  10. Utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
 

Konica Minolta vous aide à répondre aux exigences en vigueur

 

Découvrez nos solutions de sécurité professionnelles qui aident votre organisation à répondre à certaines des exigences clés de la directive NIS2 :

•    Gestion et maintenance des incidents, y compris la gestion et la divulgation des vulnérabilités.

Le service de sécurité des terminaux de Konica Minolta, Workplace Intrusion Patrol, basé sur Microsoft Defender, protège les terminaux (PC, ordinateurs portables, tablettes et téléphones mobiles) et les serveurs, quel que soit le lieu de travail de vos employés et même pendant les courtes périodes où ils ne sont pas connectés à un réseau. Le service détecte et neutralise les attaques furtives qui ont réussi à contourner les autres mesures de sécurité (telles que les mots de passe et les outils antivirus traditionnels), arrêtant les intrus avant qu'ils ne puissent utiliser le terminal comme tremplin pour des attaques plus vastes ou plus graves. 

La solution antivirus leader Bitdefender peut être incorporée dans le firmware des imprimantes multifonctions bizhub i-Series de Konica Minolta et surveille tous les fichiers numérisés et les documents envoyés vers et depuis l'imprimante. 

En outre, Shield Guard de Konica Minolta peut contrôler les paramètres de sécurité de plusieurs imprimantes multifonctions à partir de n'importe quel endroit.  

•    Continuité de l'activité avec gestion des sauvegardes.

Workplace One de Konica Minolta comprend un environnement Microsoft 365 géré, des services de sauvegarde gérés, une surveillance à distance proactive et l'activation de services en ligne tels qu'Exchange, Teams et OneDrive. Le service Managed Backup de Workplace One fournit un service de sauvegarde et de récupération entièrement géré et automatisé pour prévenir la perte de données et les interruptions d'activité coûteuses. 
 
•    Authentification multifactorielle

Workplace One propose également l'authentification multifactorielle pour empêcher les accès non autorisés. Avec l'authentification multifactorielle, vos utilisateurs doivent saisir une combinaison de deux ou plusieurs formes d'identification pour confirmer leur identité lorsqu'ils se connectent. La solution d'impression dans le cloud de Konica Minolta, Workplace Pure, offre également une authentification multifactorielle. 
 
Vous souhaitez en savoir plus sur la directive NIS2 ? Contactez-nous sans engagement !



 

Blogs

Blogs