NIS 2 et DORA : une réponse renforcée aux défis de la cyberdéfense

La directive NIS 2 et la réglementation DORA, couplées aux recommandations de l’ANSSI, visent à renforcer la cybersécurité en Europe en imposant des obligations aux entreprises. Celles-ci peinent toutefois à se mettre en place.

NIS 2 élargit le cadre de la cybersécurité

NIS 2 étend son champ d’application aux entreprises de taille intermédiaire et grande, touchant des secteurs critiques comme l’énergie, la santé et les infrastructures numériques. Elle exige la mise en place de mesures spécifiques :

• Gestion des risques : Les entreprises doivent identifier et évaluer les menaces potentielles pour leurs systèmes d’information.
• Notification des incidents : En cas d’incident majeur, les entreprises ont l’obligation de le signaler dans les 24 heures.
• Sensibilisation des employés : Former le personnel aux bonnes pratiques en matière de cybersécurité est essentiel pour réduire les risques, parce qu’on ne va pas laisser les clés de la maison à n’importe qui !

DORA renforce la résilience des infrastructures financières

La réglementation DORA cible spécifiquement le secteur financier et impose des exigences similaires à NIS 2. Elle se concentre sur la résilience des infrastructures critiques :

• Gestion des risques liés aux tiers : Les entreprises doivent évaluer la sécurité de leurs partenaires et fournisseurs pour éviter les vulnérabilités.
• Tests de résilience réguliers : Des simulations doivent être réalisées pour tester la capacité des systèmes à résister à des cyberattaques. Comme un bon entraînement pour le marathon, mieux vaut être prêt !

ANSSI et l’hébergement cloud sécurisé

L’ANSSI a également publié des recommandations concernant l’hébergement des systèmes d’information sensibles dans le cloud. Ces recommandations insistent sur plusieurs points clés :

• Étude d’impact et analyse des risques : Avant de migrer vers le cloud, les entreprises doivent réaliser une évaluation approfondie des risques associés.
• Sélection des mécanismes de sécurisation : Choisir des services cloud qui offrent des protections adéquates pour les données sensibles.
  Par exemple, un organisme de santé devra héberger ses données sur un cloud disposant de la certification HDS (hébergeurs de données de santé). Cette certification réglementaire est basée sur la norme ISO/IEC 27001, et permet de démontrer l’engagement de l’hébergeur en matière de protection des données de santé à caractère personnel.
• Formation des équipes : Sensibiliser le personnel à la sécurité cloud et aux pratiques de cybersécurité est primordial pour éviter des surprises.

Pour une lecture plus approfondie sur les dernières recommandations de l’ANSSI publié en juillet 2024, vous pouvez consulter le document complet ici.

Une approche intégrée pour une meilleure sécurité

NIS 2, DORA et les recommandations de l’ANSSI forment un cadre robuste pour renforcer la cybersécurité en Europe. Ces réglementations encouragent une approche proactive face aux menaces, renforçant ainsi la sécurité des infrastructures critiques. Les entreprises doivent dès maintenant s’engager dans cette démarche pour se conformer aux nouvelles exigences.

La mise en œuvre de ces réglementations est cruciale pour protéger efficacement les systèmes et les données sensibles. En fin de compte, mieux vaut prévenir que guérir, surtout dans le monde numérique !

Pour finir, je vous propose une petite vidéo qui date, mais toujours aussi importante, diffusée par SPIE.