La directive de l'Union européenne sur la sécurité des réseaux et de l'information (NIS) évolue, avec des règles plus strictes et des sanctions plus sévères qui s'appliqueront à un plus grand nombre d'organisations qu'auparavant.
Celles qui pensent qu'elles ne seront pas concernées par cette directive risquent de se retrouver en porte-à-faux, à moins qu'elles ne se mettent dès maintenant au diapason des exigences probables en matière de conformité.
De nombreuses entreprises britanniques doivent se conformer aux normes de cybersécurité des réseaux et systèmes d'information (NIS) de l'UE depuis des années. Ces réglementations ont été imposées en 2016 pour mieux protéger la sécurité et la résilience des services quotidiens essentiels – tels que l'eau, l'énergie, les soins de santé, les transports et les infrastructures numériques – contre les attaques en ligne, et elles font toujours partie du droit britannique. La réglementation se durcit pour les pays qui font encore partie de l'UE, avec des règles et des exigences de déclaration plus strictes, et des sanctions plus lourdes en cas de manquement à la conformité.
Lorsqu'elle prendra effet en 2024, la législation actualisée s'appliquera aux moyennes et grandes entreprises britanniques qui fournissent leurs services ou exercent leurs activités dans l'UE. Celles qui n'opèrent qu'au Royaume-Uni ne peuvent pas se détendre pour autant, car les réglementations NIS d'origine continueront de s'appliquer aux organisations britanniques. En outre, un certain nombre de nouveaux secteurs industriels qui n'étaient pas couverts par le NIS1 sont en train d'être intégrés.
Plus significativement, une version britannique des règles sera bientôt disponible.: au début de cette année, le gouvernement a déclaré que “les règlements du NIS seront mis à jour dès que le temps parlementaire le permettra”. L'intention est de renforcer les lois britanniques sur le cyberespace contre les menaces numériques, selon le ministre du cyberespace. Julia Lopez, afin de protéger les services essentiels et les fournisseurs informatiques qui les font fonctionner.
Une fois les règles entrées en vigueur, les organisations concernées seront soumises à des contrôles aléatoires, à des audits de sécurité réguliers, à des inspections sur site et à des supervisions hors site. Pour celles qui ne respecteraient pas les règles, les sanctions pourraient atteindre 10 millions d'euros ou 2 % de leur chiffre d'affaires global, le montant le plus élevé étant retenu.
Le champ d'application
Il est fort probable que le cadre NIS du Royaume-Uni soit très similaire à la version de l'Union européenne. Cela signifie que les entités qui relèvent de sa compétence seront tenues d'effectuer des évaluations régulières de la sécurité, d'adopter des plans d'intervention en cas d'incident, de nommer un responsable de la sécurité de l'information (CISO) et de signaler les incidents importants aux autorités nationales, entre autres obligations.
Le gouvernement britannique a indiqué que sa mise à jour du NIS suivra l'exemple de l'UE en améliorant et en rationalisant la façon dont les cyberincidents sont signalés aux autorités de réglementation. Dans le cadre du NIS2, les organisations doivent notifier tout incident ayant un impact significatif sur la prestation de leurs services, par exemple en provoquant une grave perturbation opérationnelle ou une perte financière.
Le NIS2 met également l'accent sur les pierres angulaires d'une bonne gestion des risques cybernétiques – en particulier le contrôle adéquat des identifiants des comptes d'administrateur, des accès privilégiés et des points de terminaison, qui sont tous des cibles de choix pour les attaquants.
Élargir le champ d'application
Un certain nombre de nouveaux secteurs sont concernés par les réglementations, notamment l'espace, la gestion des déchets, la recherche et le développement, ainsi qu'un plus grand nombre d'entreprises de soins de santé. Les organisations sont divisées en entités “critiques” et “importantes”.
La menace croissante des tiers sera également abordée. Les fournisseurs de services gérés (MSP) sont ajoutés à la liste des “entités critiques” auxquelles la directive s'applique, dans le but de sécuriser les chaînes d'approvisionnement numériques impliquées dans le fonctionnement des services essentiels. Les MSP bénéficient souvent d'un accès privilégié aux systèmes et aux réseaux des entreprises, ce qui crée des risques pour la sécurité. Les cybercriminels peuvent profiter de toutes les vulnérabilités pour attaquer et perturber plusieurs organisations, comme l'illustre l'affaire du violation dévastatrice de MOVEit plus tôt cette année.
Comment te préparer ?
Les organisations doivent prendre des mesures dès maintenant pour déterminer si les réglementations NIS2 de l'UE ou du Royaume-Uni s'appliquent à elles, et s'assurer qu'elles peuvent mettre en œuvre et démontrer les meilleures pratiques en temps voulu.
Elles doivent déterminer leurs obligations en matière de gestion des cyber-risques. Quels changements doivent être apportés aux processus, politiques et pratiques existants pour les respecter ? Les principes de base de la cyberhygiène sont-ils en place ? En priorité, les entreprises doivent revoir leurs plans de réponse aux incidents et leurs procédures de gestion et de signalement des incidents. C'est aussi une bonne idée de prendre de l'avance sur la réalisation d'évaluations de sécurité par des tiers, et sur l'intégration d'exigences de sécurité dans les contrats.
Étant donné que le cadre met l'accent sur la protection des comptes d'administrateurs privilégiés, les entreprises doivent prendre des mesures pour limiter les personnes qui possèdent ces puissantes informations d'identification – à la fois au sein de l'organisation et de la chaîne d'approvisionnement. La mise en place d'une gestion des accès privilégiés (PAM) permettra au service informatique de contrôler qui a accès à quels systèmes, applications et services, pendant combien de temps, et ce qu'ils peuvent faire lorsqu'ils les utilisent.
Il est important que les organisations s'engagent dès maintenant dans les exigences du NIS2 mis à jour, et qu'elles comprennent ce que cela signifie pour elles – en particulier celles qui n'étaient pas couvertes par le NIS1.
Il ne s'agit pas d'un simple exercice de conformité. En adhérant au cadre renforcé, les entreprises construiront une base de résilience qui protège l'organisation, les services qu'elles fournissent, les communautés qui les utilisent et l'économie britannique dans son ensemble contre les menaces qui pourraient causer des perturbations importantes et même mettre des vies en danger.
Graham Hawkey est Spécialiste PAM à Osirium
Tu pourrais aussi lire :
Les appareils connectés doivent être plus sécurisés:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
