Amélie Leroux, Directrice commerciale France chez Imprivata s’exprime sur l’importance de la norme NIS2 et les effets qu’elle aura sur un certain nombre de nouveaux secteurs et d’organisations. Cette nouvelle réglementation prendre effet courant 2026 et il est donc nécessaires pour les entreprises nouvellement concernée de se préparer dès aujourd’hui pour se mettre en conformité.
La dépendance vis-à-vis des systèmes informatiques a connu une croissance exponentielle, tant dans la vie professionnelle que personnelle. Consciente de cette évolution, l’Union Européenne a mis à jour sa directive sur la sécurité des réseaux et des systèmes d’information (NIS), avec l’introduction de la directive NIS2. La plupart des états membres de l’UE ont intégré ces exigences élargies dans leurs réglementations nationales afin de définir des obligations renforcées en matière de cybersécurité et de notification des incidents pour les opérateurs de services essentiels dans des secteurs critiques tels que la santé, l’énergie, les transports, les banques et les infrastructures numériques. En France, la loi est en phase finale et devrait être promulguée prochainement.
Les principaux changements introduits par NIS2
Élargissement du champ d’application
La gamme des secteurs soumis à la réglementation s’élargit considérablement, avec l’ajout de secteurs tels que la fabrication de produits chimiques et d’appareils médicaux, la gestion des eaux usées, les télécommunications, les médias sociaux et l’industrie alimentaire. Cette expansion signifie que de nombreuses organisations sont concernées pour la première fois.
Classification des entités : « essentielles » et « importantes »
Les entités sont désormais classées comme « essentielles » ou « importantes » en fonction de leur taille et de leur secteur d’activité. Les deux catégories sont soumises à des obligations similaires, mais les entités essentielles font l’objet d’une application plus stricte, d’une surveillance plus étroite et de sanctions plus sévères, ce qui a une incidence sur le niveau de contrôle et la sévérité des sanctions en cas de non-conformité.
Exigences rigoureuses en matière de cybersécurité et de gestion des risques
La norme NIS2 introduit des exigences plus strictes en matière de cybersécurité et de gestion des risques, notamment en ce qui concerne la sécurité de la chaîne d’approvisionnement. Les organisations doivent gérer les risques liés à la cybersécurité dans leurs supply-chains et superviser la posture de sécurité de leurs fournisseurs. Cela inclut la gestion des risques liés aux tiers et la garantie que les partenaires respectent les normes de cybersécurité.
Communication et signalement plus stricts des incidents
La directive clarifie le contenu, le calendrier et le processus de communication et de signalement des incidents :
-Notification initiale dans les 24 heures suivant la découverte,
-Évaluation de l’incident dans les 72 heures,
-Rapport final dans le mois suivant la notification
Sanctions coûteuses et responsabilité personnelle
Le non-respect de la directive NIS2 peut entraîner de lourdes sanctions financières :
- Entités essentielles : amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
- Entités importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.
En outre, les conseils d’administration et les dirigeants des entreprises peuvent être tenus personnellement responsables du non-respect des exigences en matière de cybersécurité.
Le défi NIS2 pour les organisations
Bien que la conformité varie d’un pays à l’autre, à l’instar du RGPD, les organisations doivent agir rapidement pour répondre à ces nouvelles exigences. Comme on l’a vu avec le RGPD, celles qui ont tardé à se mettre en conformité ont rencontré des difficultés importantes. Une conformité proactive à la directive NIS2 peut également constituer un avantage concurrentiel en démontrant la solidité des références en matière de cybersécurité.
L’identité, clé de la cybersécurité
De nombreuses attaques exploitent les vulnérabilités liées aux identités, aux identifiants et aux droits d’accès des utilisateurs. L’identité numérique est devenue le nouveau panneau de contrôle pour gérer l’accès aux systèmes, aux réseaux et aux données.
Selon le rapport 2023 de l’Identity Defined Security Alliance (IDSA), 90 % des organisations ont subi au moins une violation liée à l’identité au cours de l’année écoulée. Les menaces courantes comprennent les attaques internes, le phishing, l’usurpation d’identité, le vol d’identifiants, les attaques par force brute, le piratage de session, la réutilisation d’identifiants, les ransomwares, etc.
L’identité numérique englobe désormais les identités des machines et des appareils, élargissant ainsi le paysage des menaces à mesure que le travail à distance, les applications cloud, l’IoT et les chaînes d’approvisionnement interconnectées se multiplient.
Il est possible d’atténuer ces menaces grâce à des bonnes pratiques telles que :
- Des politiques de cyber-hygiène de base, notamment des mots de passe forts et des comptes utilisateurs individuels
- L’authentification multifactorielle (MFA)
- Des formations régulières à la sécurité pour les employés et les partenaires de la chaîne d’approvisionnement
- Des politiques d’accès avec privilèges minimaux
- Une surveillance continue des activités des utilisateurs
- Des systèmes robustes de gestion des identités et des accès (IAM)
Mesures de gestion des risques liés à la cybersécurité
L’article 21 de la directive NIS2 impose aux entités essentielles et importantes de prendre les mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques pesant sur les réseaux et les systèmes d’information. La gestion des identités et des accès (IAM) est au cœur d’une gestion efficace des risques et de la cyber-résilience.
Voici quelques bonnes pratiques en réponse à l’article 21 :
- Sécurité de la chaîne d’approvisionnement : contrôler l’accès des tiers, n’activer les comptes qu’en cas de besoin, supprimer rapidement les accès et conserver les journaux d’audit.
- Cyber-hygiène et formation : politiques de mots de passe forts, authentification unique (SSO), badge et code PIN pour l’authentification multifactorielle (MFA), suppression des comptes génériques.
- Sécurité des ressources humaines et contrôle d’accès : contrôle d’accès précis basé sur les rôles (RBAC), réduction du « glissement des rôles », suppression rapide des accès, gestion des accès privilégiés, gestion rigoureuse des appareils mobiles.
- Authentification multifactorielle : authentification multifactorielle cohérente pour tous les utilisateurs, badge et code PIN sécurisés pour les ordinateurs de bureau et les appareils mobiles, adoption de normes modernes telles que FIDO.
- Politiques de cyber-hygiène : changements réguliers de mot de passe, limitation des comptes administrateur, préparation proactive aux incidents, audit rigoureux des accès administratifs.
Comment se mettre en conformité avec NIS2
La plateforme de cybersécurité doit offrir une solution IAM complète et reconnue dans les secteurs critiques. Elle doit aider les organisations à répondre aux exigences de la directive NIS2 en :
- Gérant la sécurité de la chaîne d’approvisionnement
- Mettant en œuvre des mesures élémentaires de cybersécurité
- Appliquant des contrôles d’accès basés sur les rôles
- Activant l’authentification multifactorielle
- Gérant les comptes d’accès privilégiés
Comme les employés doivent se concentrer sur leurs activités principales plutôt que sur des procédures fastidieuses, la solution de cybersécurité doit intégrer des flux conviviaux qui renforcent la sécurité sans sacrifier l’efficacité, éliminent les mots de passe partagés et offrent une authentification flexible sans produits tiers.
Il est de plus en plus essentiel de démontrer la conformité à la norme NIS2 pour maintenir les relations commerciales et saisir de nouvelles opportunités.
Prochaines étapes
Les organisations doivent revoir leur stratégie IAM avant la date limite fixée par la directive NIS2. L’IAM est un élément essentiel d’une stratégie de cybersécurité plus large, et le fait de ne pas mettre en œuvre des politiques, des processus et des technologies appropriés peut exposer les organisations et leurs dirigeants à des amendes, des sanctions et une atteinte à leur réputation.
