Gouvernance & Formation
NIS 2 & ISO 27001
NIS 2 & ISO 27001
La directive européenne NIS2, adoptée en janvier 2023, va obliger des milliers d’entreprises à renforcer leurs normes de sécurité.
Élaboration d'une stratégie de sécurité
Réduction de votre surface d'attaque
Détection proactive des menaces
Explications détaillées
La directive NIS2 est ambitieuse et vise à atteindre une cyber-maturité partagée dans toute l’Union européenne. Les 27 États membres ont jusqu’en septembre 2024 pour intégrer cette disposition dans leur législation nationale.
La directive NIS est destinée à renforcer la cybersécurité des États membres de l’Union européenne.
En tant que successeur de NIS1, la nouvelle directive NIS2 élargira son champ d’application et obligera d’avantage des entreprises et des secteurs à se conformer à ses principes.
Concrètement, la directive NIS2 continue de s’appliquer aux secteurs déjà concernés par NIS1 (OIV, établissements de santé, banque, transports) à de nouvelles activités telles que l’administration publique, les télécommunications, les plateformes de réseaux sociaux, les services postaux et l’espace. NIS2 s’étend aussi au secteur privé : Des milliers d’entreprises de toutes tailles, des PME aux groupes du CAC40, devront se conformer aux règles de cette nouvelle directive.
Question : Je suis une TPE / PME / ETI ou collectivité locale, est-ce que NIS 2 me concerne ?
Oui. Pour être concerné par les obligations de la directive NIS 2 il faut soit (une des deux conditions) :
– Avoir 50 employés ou plus
– Chiffre d’affaires de votre entreprise est supérieur à 10 millions d’euros
NIS2 : Quelles sont les obligations des organisations concernées ?
NIS2 crée de nouvelles obligations pour les entités couvertes en matière de gestion des incidents, de gestion des risques, de sécurité de la chaîne d’approvisionnement, de chiffrement et de divulgation des vulnérabilités.
- Rapport d’incident de sécurité : NIS2 propose une approche en deux étapes.
- Les entreprises concernées doivent adresser un premier signalement préliminaire à l’ANSSI dans les 24 heures suivant l’incident. Celui-ci doit être accompagné d’un rapport final dans un délai maximum d’un mois.
- Risques Cyber : Les entreprises devraient accorder une attention particulière à la formation des décideurs sur la gestion des risques cyber.
- Tests et audits de sécurité : Selon NIS2, les organisations devraient régulièrement effectuer des tests et des audits techniques, tels que des tests d’intrusion et des analyses de vulnérabilité, pour évaluer l’efficacité des mesures de sécurité en place.
- Sécurité de la chaîne d’approvisionnement : Les entreprises doivent faire preuve de diligence raisonnable sur leurs chaînes d’approvisionnement, notamment en enquêtant sur les pratiques de cybersécurité en place chez leurs fournisseurs et prestataires de services.
Enfin, la directive NIS 2 prévoit également un régime de sanctions renforcé, qui s’applique à toutes les parties obligées.
NIS2 : Quelles sanctions ?
Les sanctions vont de l’obligation de réaliser des audits de sécurité et de conformité aux sanctions administratives. Le mécanisme proposé pourrait être basé sur un pourcentage des ventes de l’entreprise en question, selon la nature de l’infraction. Amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires global, avec le montant maximum réservé.
Cette nouvelle directive obligera par la loi des milliers d’entreprises à augmenter le niveau de leur sécurité informatique.
NIS2 : Que faire pour se préparer ?
Notre gamme complète de solutions techniques et de conseils vise à soutenir activement les DSI et RSSI dans leur démarche de conformité, en mettant l’accent sur la gouvernance, la détection, la réponse, ainsi que la sécurisation et le contrôle des actifs et des périmètres. Cela se concrétise par les actions suivantes :
– Élaboration d’une stratégie de sécurité avec une priorisation judicieuse de vos investissements.
– Accompagnement dans la mise en place de procédures de cybersécurité et de processus adaptés à vos besoins (PRA/PCA).
– Réduction de votre surface d’attaque par une analyse approfondie des vulnérabilités présentes dans votre réseau, vos ressources et votre chaîne d’approvisionnement.
– Réalisation de tests d’intrusion et simulation d’attaques pour évaluer la robustesse de votre défense.
– Détection proactive des menaces actuelles ou passées, suivie d’une réponse rapide et efficace.
Selon l’ANSSI, la directive NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024.
La régulation DORA (Digital Operational Resilience Act)
La régulation DORA, adoptée par l’Union Européenne, vise à renforcer la résilience opérationnelle numérique des entreprises du secteur financier. Cette législation impose aux banques, assurances, sociétés de gestion d’actifs, prestataires de services de paiement et autres acteurs financiers de se prémunir contre les cybermenaces. Elle exige que ces institutions mettent en place des mesures robustes pour garantir la continuité de leurs activités, même en cas d’incidents cyber, tout en assurant la protection des données sensibles de leurs clients.
DORA s’applique également aux fournisseurs de services tiers critiques, tels que les prestataires de services cloud ou de services informatiques, qui doivent se conformer à des exigences strictes en matière de sécurité et de continuité des services.
Chez CyberSolutions, nous avons l’expertise nécessaire pour accompagner votre entreprise dans la mise en conformité avec DORA. Nos consultants certifiés vous aident à renforcer votre résilience numérique, en mettant en place des stratégies de cybersécurité adaptées à vos besoins et en assurant une protection proactive contre les cybermenaces.
Bon à savoir… :
– Selon le « Panorama de la cybermenace 2022 » de l’ANSSI, plus de 60 % des attaques qui sont remontées à l’ANSSI concernent des petites structures PME/TPE/ETI et collectivités territoriales. L’ANSSI observe également une évolution des attaques qui ciblent désormais les chaînes de sous-traitance pour se rapprocher de leurs clients finaux.
– Le 30 octobre 2022, Hugues Foulon, PDG d’Orange Cyberdéfense affirmait à ce propos que : « 60 % des entreprises victimes de cyberattaque déposent le bilan dans les 6 mois ». Un constat qui incite chaque entreprise à se préparer à l’éventualité d’une attaque…
Pour plus de renseignements, veuillez nous contacter en utilisant l’une des options ci-dessous :