Je suis ravie de vous retrouver pour les « Pauses café », une série d’entretiens en compagnie d’experts Digital Brand Services de CSC, au cours desquels nous abordons des problèmes relatifs à la cybersécurité, aux noms de domaine, à la protection de marque et à la lutte contre la fraude.
Nos experts en la matière et moi-même échangeons autour d’un café. Ce mois-ci, avec Mark Flegg, directeur mondial des services de sécurité, nous avons discuté de la directive NIS2 (Network and Information Security) publiée en 2022, qui entrera en vigueur en octobre 2024. Mark a opté pour une tasse de café décaféiné Lavazza avec du lait (d’autres marques de café sont disponibles). Quant à moi, j’ai pris un thé décaféiné fort avec du lait et un sucre.
Servez-vous la boisson de votre choix et prenez cinq minutes pour lire notre échange.
En ce jeudi matin ensoleillé, je prends une tasse de thé, je mets mon casque et je m’installe dans mon fauteuil pour m’entretenir avec Mark, et lui demande de me présenter cette directive NIS2 en une minute.
« Concrètement, NIS2 est une directive du Parlement européen visant à améliorer l’hygiène cyber au sein des États membres. C’est un peu comme le RGPD pour les technologies de l’information », explique-t-il. Le résumé officiel de la NIS2 préconise l’instauration d’« un niveau commun élevé de cybersécurité dans l’Union ». Cela implique l’adoption de stratégies nationales de cybersécurité, la mise en place d’autorités de gestion des crises, l’application de mesures de gestion des risques, la génération de rapports clairs et l’élaboration de plans d’action pour l’application de la législation.
« Il y a déjà eu des directives similaires qui recommandaient aux organisations d’adopter une meilleur hygiène cyber, mais il s’agissait davantage de recommandations. NIS2 est en réalité une évolution de ces directives, mais elle a cette fois été inscrite dans la loi. » Elle a été publiée en décembre 2022 et les États membres de l’UE ont jusqu’au 17 octobre de cette année pour décider de la manière dont ils l’intégreront dans la législation de leurs propres territoires.
En premier lieu, NIS2 concerne un ensemble de 10 secteurs que le Parlement européen considère comme essentiels au fonctionnement de la société, à savoir : la sécurité économique, les communications électroniques (e-mails), la finance, les fournisseurs de données, la santé, l’alimentation et l’eau, le droit et la sécurité, les transports, l’énergie et les services de protection. « Si cette liste peut sembler relativement restreinte, elle couvre en réalité toute personne ou organisation susceptible d’avoir un impact sur la société », ajoute Mark. En outre, bien qu’elle concerne uniquement les États membres de l’UE, elle s’applique également à toute organisation exerçant des activités dans l’UE, à l’instar du RGPD.
La directive NIS2 étant un document de 60 pages (une lecture tout à fait habituelle pour Mark, à n’en pas douter, mais ce n’est peut-être pas le cas pour tout le monde), je lui demande d’énumérer les principaux points à prendre en considération pour les organisations basées dans l’UE, ou pour celles traitant avec des États membres. Mark identifie trois points d’action qu’il considère comme essentiels.
Tout d’abord : « revoyez vos politiques de gestion du risque et assurez-vous qu’elles incluent les bureaux d’enregistrement de noms de domaine et les services DNS. Assurez-vous aussi que les organisations avec lesquelles vous travaillez sont compatibles NIS2, sans quoi vous vous exposez à un risque de non-conformité », conseille Mark. Comme pour le RGPD, tout manquement entraîne des amendes salées : 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. « Veillez également à disposer d’un DNS de niveau corporate et d’une redondance DNS », ajoute-t-il, « un plan B est nécessaire ! ».
Ensuite : « vérifiez la conformité de vos fournisseurs à la directive NIS2 et faites-le le plus tôt possible. » En matière de cybersécurité, la solidité d’une entreprise dépend de celle de son maillon le plus faible. Il est donc essentiel d’évaluer les fournisseurs tiers de votre chaîne d’approvisionnement. Mark suggère d’évaluer les fournisseurs à l’aide d’un questionnaire d’évaluation des risques, de demander une déclaration de conformité NIS2 ou de mettre en place des accords de niveau de service (SLA).
Enfin : « mettez en place un CSIRT », préconise Mark. Je lui demande ce que c’est. « Il s’agit d’une équipe d’intervention en cas d’incident de cybersécurité, qui assurera la liaison avec le CSIRT (Cybersecurity Incident Response Team) du gouvernement en cas d’incident. » Les organisations des secteurs concernés ne disposeront que de 24 heures pour signaler un incident ; aussi est-il essentiel de réunir cette équipe et de faire en sorte qu’elle soit sur la même longueur d’onde. Je lui demande quels profils doivent constituer le CSIRT. « Il doit s’agir d’une équipe pluridisciplinaire couvrant la cybersécurité, l’IT, le droit, la gouvernance et la conformité. La cybersécurité est l’affaire de tous ; les représentants de chacun de ces domaines doivent non seulement être sensibilisés, mais aussi être prêts à agir », précise Mark.
Avec moins de quatre mois avant l’échéance, il est important que toutes les organisations concernées par la directive mettent en place des mesures irréprochables en matière de cybersécurité.
—
Merci d’avoir lu notre échange sur NIS2. N’hésitez pas à lire les prochains articles de blog de la série, dans lequel j’aborderai d’autres sujets pertinents en compagnie d’experts CSC.
À ce propos…
Découvrez-en davantage sur les services de sécurité des noms de domaine et les services DNS de CSC, ou remplissez ce formulaire pour discuter avec l’un de nos experts.
