La directive européenne NIS 2 ou SRI 2 a été publiée en 2022 et commencera à prendre effet en octobre 2024. Celle-ci porte sur le niveau de sécurité des organisations européennes face aux cyberattaques. Elle fait suite à la première directive de 2016, NIS 1 et vient élargir le périmètre des organisations concernées. La directive prévoit une liste de toutes les entités concernées (voir notre précédent blog) et place le réseau CyCLONe en tant que coordinateur entre les différents Etats-membres. La sécurité des systèmes d’information est aujourd’hui un des enjeux essentiels de l’UE, les attaques étant de plus en plus rapides et perfectionnées.

Quelles obligations pour les entités critiques ?

La directive se réfère à la directive sur la résilience des entités critiques qui prévoit une liste d’actions à suivre pour les entités critiques dans le but de diminuer le risque d’attaques dans l’Union Européenne. Voici un résumé des mesures à mettre en place:

  • Prévenir la survenance d’incidents, en tenant dûment compte de mesures de réduction des risques de catastrophe et d’adaptation au changement climatique.
  • Assurer une protection physique adéquate de leurs locaux et infrastructures critiques, en prenant en considération des clôtures, des barrières, des outils et procédures de surveillance des enceintes, et des équipements de détection et de contrôle des accès.
  • Réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d’alerte.
  • Se rétablir d’incidents, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel.
  • Assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exerce des fonctions critiques, l’établissement de droits d’accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents.
  • Sensibiliser le personnel concerné aux mesures visées en tenant dûment compte des séances de formation, du matériel d’information et des exercices.

En tant qu’intégrateur sécurité nous pouvons vous accompagner dans vos projets de sécurisation de votre SI, notamment sur les thématiques: Gouvernance de l’infrastructure, Durcissement du domaine Active Directory, Collecte de logs et centralisation et Protection du Réseau.

Nous avons développé un Parcours de sécurisation à partir des recommandations de l’ANSSI dans le cadre du plan France Relance. Celui-ci sert de rempart face aux cyberattaques et constitue une base solide pour le développement de votre cybersécurité.

Sources