Archives par mot-clé : NIS2

Justice, loi

Conformité DORA et NIS2 : le choc opérationnel des SGP

Dans les SGP, la conformité cyber n’est plus un dossier annexe. DORA et NIS2 imposent une mécanique vérifiable : risques cartographiés, fournisseurs tenus, incidents tracés, tests menés, preuves prêtes.

Pour les sociétés de gestion de portefeuille (SGP), DORA et NIS2 transforment la cybersécurité en obligation démontrable, au-delà des politiques écrites. Ce qui change concrètement tient à cinq piliers : cartographier les risques et les actifs critiques, encadrer les prestataires et la chaîne de sous-traitance, structurer la gestion des incidents avec des preuves exploitables, organiser des tests réguliers et réalistes, et conserver des éléments probants en continu. L’enjeu n’est pas seulement de “faire”, mais de pouvoir prouver, à tout moment, qui décide, qui exécute, ce qui est mesuré, et ce qui est corrigé.

Ce qui change : d’une cyber “raisonnable” à une cyber prouvable

Dans une SGP, le quotidien est fait d’arbitrages, d’outils spécialisés et de dépendances invisibles. Jusqu’ici, la cybersécurité pouvait rester une discipline de bon sens, solide sur le papier, inégale dans l’exécution. DORA et NIS2 déplacent le centre de gravité : le sujet n’est plus la conformité déclarative, mais la conformité observable. Ce basculement se lit dans un mot qui revient partout, même quand il n’est pas prononcé : la preuve.

La première marche, c’est la cartographie des risques. Pas une liste générique, mais une vision qui relie processus, données, applications, accès et scénarios de défaillance. Une SGP doit pouvoir expliquer, sans hésiter, ce qui est critique, pourquoi, et ce que cela implique en termes de mesures. La tension naît ici : cartographier, c’est aussi admettre ses angles morts. Et une fois l’inventaire posé, chaque exception devient une dette. Dans un univers où un incident se joue souvent sur un compte trop large ou un flux mal compris, l’exercice n’est pas administratif, il est tactique.

Deuxième déplacement, la gestion des fournisseurs. Les SGP fonctionnent avec des briques externes, hébergement, logiciels, données, support, infogérance, parfois en cascade. DORA et NIS2 rendent cette chaîne impossible à ignorer. Il ne suffit plus de “faire confiance” à un prestataire : il faut encadrer, suivre, et réagir. Concrètement, cela pousse à clarifier qui fait quoi, qui accède à quoi, comment les accès sont retirés, et comment la sécurité est contrôlée dans la durée. La relation change de nature : un contrat devient un mécanisme de contrôle. La vigilance se joue aussi dans la capacité à challenger des réponses standardisées et à refuser les zones floues. C’est dans ces interstices que se cachent les incidents les plus coûteux, et les plus difficiles à attribuer.

Troisième point, la gestion des incidents. Là encore, la nouveauté n’est pas l’existence d’un plan, mais son opérabilité et sa traçabilité. Un incident n’est plus seulement une panne à réparer, c’est une séquence à documenter. Qui a détecté, à quelle heure, avec quel signal. Quelles décisions ont été prises, par qui, sur la base de quels éléments. Quels impacts ont été mesurés, quelles mesures de confinement ont été appliquées, et comment le retour à la normale a été contrôlé. Dans une logique cyber-renseignement, cette chronologie est capitale : elle permet d’identifier un mode opératoire, de comprendre une propagation, et de réduire le risque de récidive. Sans traces, on reconstruit une histoire. Avec des traces, on produit des faits.

Pour mettre ces exigences en musique, certaines SGP s’appuient sur une entreprise de sécurité informatique, afin de structurer méthode, tests et documentation, sans confondre vitesse et précipitation.

Comment s’y préparer : tests, evidences, et gouvernance sans fiction

La préparation se joue dans la répétition et le réalisme. Les tests ne sont pas un exercice de communication, ils doivent créer des frottements. Tester un incident, ce n’est pas lire un scénario, c’est éprouver des délais, des rôles, des décisions, et la qualité des informations disponibles. L’objectif est double : trouver ce qui casse, et générer des preuves. Une SGP doit être capable de montrer ce qui a été testé, ce qui a été observé, et ce qui a été corrigé. Le correctif compte autant que le test, car il montre une boucle de maîtrise, pas un théâtre de conformité.

Cette logique oblige à revoir la production de preuves. Les éléments probants ne se fabriquent pas à la veille d’un contrôle. Ils s’accumulent, comme des journaux de bord : comptes rendus, validations, tickets, journaux techniques, plans de remédiation, décisions de gouvernance. La difficulté est de rester simple : trop de documents tue la lisibilité, pas assez tue la crédibilité. La bonne cible est une preuve utile, reliée à un risque identifié et à une mesure effective.

Reste la gouvernance. DORA et NIS2 imposent une clarté sans échappatoire : qui porte le risque, qui arbitre, qui accepte une exception, qui finance une correction. Une organisation peut survivre avec des zones grises, mais elle ne peut pas démontrer sa maîtrise avec des responsabilités floues. La préparation passe donc par des rôles explicites, des circuits de décision courts, et une capacité à prioriser. Car le piège, dans les SGP, est connu : traiter l’urgence technique sans traiter la cause structurelle, puis découvrir que la même faille se déplace chez un fournisseur, un outil ou un processus voisin.

Dans ce cadre, la conformité devient un avantage de renseignement interne : mieux voir son système, ses dépendances et ses signaux faibles, c’est réduire l’espace où un adversaire peut se dissimuler.

Hacking

La directive NIS 2, bientôt dans vos écrans

Octobre 2024, les pays membres de l’Union Européenne auront voté leur loi respective se calant sur la Directive NIS 2, la Network and Information Security.

On l’a connait sous le nom de Network and Information Security (NIS) ou encore, dans sa version francophone, la SRI, pour Sécurité des Réseaux et de l’Information. En raison de la transformation digitale en cours, notre monde bénéficie d’une connectivité améliorée et d’une plus grande agilité des entreprises. Cependant, cette dépendance accrue à la technologie digitale expose les entreprises, en particulier dans des secteurs critiques tels que les transports, l’énergie, les soins de santé ou la finance, à des vulnérabilités accrues face aux cybermenaces de plus en plus sophistiquées.

Face à ce défi, le Conseil de l’Union européenne (UE) a adopté la directive NIS2 comme un bouclier contre les cybermenaces, en élargissant son champ d’application et en définissant des mesures de sécurité et des exigences en matière de notification des incidents, applicables dans l’ensemble de l’UE. De plus, elle encourage la coopération entre les États membres pour favoriser le partage d’informations sur les menaces et les bonnes pratiques de sécurité. La directive NIS2 est une nouvelle version de la directive NIS de 2016, et les États membres ont jusqu’au 18 octobre 2024 pour transposer ses exigences réglementaires en droit national.

Renforcer la posture et la résilience des entreprises

Cette initiative fait partie d’un effort plus large de l’UE visant à renforcer la posture et la résilience des entreprises face aux risques cybernétiques. En plus de la directive NIS2, l’UE a également introduit la loi sur la cyber-résilience (CRA), qui s’applique aux produits matériels et logiciels comportant des éléments numériques. Cette loi vise à améliorer la sécurité des produits dès les phases de conception et de développement, puis tout au long de leur cycle de vie, ainsi qu’à créer un cadre de cybersécurité cohérent et à améliorer la transparence des critères de sécurité.

Le Royaume-Uni a également adopté le Telecommunications Security Act (TSA) pour renforcer la sécurité et la résilience des réseaux et services de communications électroniques sur son territoire, témoignant ainsi d’un meilleur alignement des normes de cybersécurité entre le Royaume-Uni et l’UE.

Il est essentiel de se préparer à la mise en œuvre de la directive NIS2 pour garantir un environnement numérique plus sûr et résilient dans l’ensemble de l’UE. Les implications de la directive NIS2 peuvent inclure la nécessité de se conformer aux mesures de sécurité et d’exigences de notification des incidents, ainsi que la participation à la coopération entre les États membres pour le partage d’informations sur les menaces et les bonnes pratiques de sécurité.

Un monde numérique en pleine transformation

L’impact de la directive NIS2 sur le paysage numérique en Europe est significatif. La directive clarifie certaines ambigüités et élargit son champ d’application pour inclure de nouveaux secteurs d’activité tels que les fournisseurs d’infrastructures numériques. Elle divise également les entités en deux catégories : « essentielles » et « importantes ». Selon cette réglementation, toute entité opérant dans un ou plusieurs des secteurs spécifiés, dont l’effectif est supérieur à 50 collaborateurs et qui réalise un chiffre d’affaires supérieur à 10 millions d’euros, relèvera automatiquement de son champ d’application en tant qu’entité essentielle ou importante. On estime que le nombre d’entités qui seront incluses dans le champ d’application de NIS2 pourrait être multiplié par dix par rapport à NIS.

La directive NIS2 introduit également un processus de notification d’incidents de sécurité plus précis. Les entreprises sont tenues de soumettre un rapport d’alerte dans les 24 heures suivant la connaissance d’un incident, suivi d’une évaluation initiale dans les 72 heures et d’un rapport final dans un délai d’un mois.

En outre, la nouvelle directive impose des sanctions financières plus sévères en cas de non-conformité, pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel de l’entreprise, le montant le plus élevé étant retenu.

Bien que les entités essentielles et importantes soient assujetties aux mêmes dispositions, les entreprises classées comme importantes bénéficieront d’une application relativement moins contraignante. La directive NIS2 s’appuie sur les meilleures pratiques de cybersécurité, notamment l’évaluation continue des risques et des vulnérabilités à chaque étape du cycle de vie opérationnel, la maîtrise proactive des risques identifiés grâce à des mesures pertinentes de prévention, de détection et de réponse aux menaces, la définition de procédures efficaces de gestion de crise pour assurer la continuité des activités en cas d’incident, et le partage rapide, ouvert et transparent des informations sur les vulnérabilités et incidents avec les autorités de surveillance nationales et toutes les parties potentiellement impactées, directement ou indirectement.

Renforcer et sécuriser

Les principes clés de NIS2 visent à renforcer la sécurité des réseaux et de l’information. Cette directive adopte une approche inclusive des risques en considérant les menaces potentielles de sources diverses telles que les cambriolages, les incendies, les catastrophes naturelles, les pannes d’électricité, les télécommunications et les cyberattaques. Pour évaluer les risques, les entités doivent dresser l’inventaire de leurs ressources, services et vulnérabilités potentielles. Les politiques de sécurité des systèmes d’information doivent être élaborées en se basant sur des lignes directrices nationales ou supranationales et sur des principes d’évaluation des risques spécifiques à chaque secteur d’activité. L’ENISA est chargée de l’élaboration et de la promotion de ces recommandations.

Les mesures de prévention, de détection et de riposte aux incidents doivent être prises en compte après une évaluation exhaustive des risques. Il est nécessaire d’assurer l’application des mesures de sécurité de base telles que le déploiement de correctifs et de mises à jour de sécurité dans des délais raisonnables, un contrôle des accès et la formation des collaborateurs aux bonnes pratiques de sécurité. Les entreprises peuvent se conformer aux exigences de NIS2 et aux meilleures pratiques stipulées par le NIST en utilisant des solutions de sécurité conformes au framework de cybersécurité (CSF). Il est également recommandé d’utiliser des technologies innovantes, y compris l’intelligence artificielle, pour améliorer la détection et la prévention des cyberattaques.

Enfin, il est important de prévoir un plan détaillé pour une réaction immédiate face à des incidents inévitables. Les entreprises doivent disposer d’une architecture hautement disponible, avec des processus automatisés de failover et des sauvegardes hors site de toutes les données critiques, ainsi que d’une connectivité fiable, sécurisée et efficace entre les sites en utilisant la technologie SD-WAN pour assurer la continuité de leurs activités. La directive NIS2 souligne également l’importance d’un échange d’informations couvrant plusieurs domaines tels que les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes en place, les tactiques, techniques et procédures, les exercices de simulation de gestion de crises, la formation et les processus permettant de renforcer le niveau de confiance.

La sécurité des tiers et de la chaîne d’approvisionnement est cruciale pour garantir la posture de sécurité d’une entreprise, comme l’ont récemment démontré les exploits exploitant la vulnérabilité Log4j. Pour se conformer à la directive NIS2, les entreprises doivent prendre en compte les recommandations formulées lors des discussions sur le Cybersecurity Framework (CSF) 2.0 et adhérer à des normes de sécurité de l’information éprouvées, telles que l’ISO 27001.

Les professionnels qui utilisent le cadre de CSF 2.0 soulignent l’importance de différencier les chaînes d’approvisionnement selon le type de fournisseur (éditeurs de logiciels, constructeurs, etc.). Cette approche permet d’adapter les mesures de sécurité à chaque profil, notamment face à la prolifération d’appareils IoT, de processus basés sur des logiciels (SaaS, bibliothèques open source, etc.) et d’éditeurs fournissant des logiciels grand public (applications, sites Web, etc.).

Les phases du cycle de vie du système d’information

La sécurité des réseaux et des systèmes d’information doit être prise en compte à toutes les phases du cycle de vie du système d’information, de l’achat à la maintenance. La directive NIS2 insiste sur l’identification, le traitement et la divulgation en temps opportun des vulnérabilités, conformément aux normes internationales telles que l’annexe A.14 de la norme ISO 27001, ISO/IEC 30111 et ISO/IEC 29147. L’utilisation d’un framework tel que le CSF du NIST permet d’améliorer les pratiques de sécurité et de garantir une approche globale et résiliente.

L’intégration d’une plateforme de sécurité avec le système de gestion de la sécurité des informations est essentielle pour simplifier et automatiser les processus de sécurité. Cette intégration permet aux entreprises d’avoir une gestion cohérente et intégrale des risques liés à la sécurité de l’information.

La directive NIS2 exige une évaluation régulière des mesures de gestion des risques de cybersécurité. L’utilisation d’un cadre comme PolicyOps permet de simplifier ce processus d’évaluation et de gestion des politiques et procédures de sécurité de l’entreprise. PolicyOps automatise l’évaluation des politiques de sécurité, permet un suivi de la conformité et assure que la gestion des risques est conforme aux normes de sécurité en vigueur, y compris la directive NIS2.

La directive encourage également l’application pleine et entière des principes de protection des données et de la vie privée, tels que l’utilisation de pseudonymes et le chiffrement, pour sécuriser les données à caractère personnel. Pour certains fournisseurs, l’utilisation d’un chiffrement de bout en bout peut être obligatoire.