Dans NIS2, la gestion des risques de sécurité des tiers est le point central

La Directive de l’UE sur la Sécurité des Réseaux et de l’Information  est la première législation européenne en matière de sécurité de l’information. Publiée pour la première fois en 2016 sous le nom de directive NIS, elle vise à renforcer la cybersécurité dans les entreprises de l’Union Européenne.

NIS2 est la nouvelle version améliorée, s’appuyant sur la directive NIS originale.  Il a été adopté par le Conseil européen le 28 novembre 2022 et  son déploiement devrait avoir lieu dans les pays de l’UE entre 2024 et 2025.   

Voici les principales nouveautés:

Un plus grand nombre d’entreprises seront soumises à la réglementation en matière de cybersécurité
 

Plus tôt cette année, les institutions européennes sont parvenues à un accord provisoire sur la loi sur la résilience opérationnelle numérique (DORA).  DORA est le frère de NIS, et s’adresse spécifiquement aux grandes entreprises (> 250 salariés ou > 50 millions € de chiffre d’affaires) du secteur financier. 

NIS cible un plus large éventail d’industries que DORA et NIS2 a, par rapport à NIS1, élargi les secteurs auxquels il s’applique, tels que les entreprises fournissant une infrastructure numérique (par exemple, l’hébergement d’infrastructures). Les secteurs concernés (services publics, énergie, transports, banques, infrastructures des marchés financiers, soins de santé, eau potable, gestion des déchets et infrastructures numériques) devront se conformer aux exigences de base fixées par NIS2.  Dans ces secteurs, les petites entreprises (avec plus de 10 millions d’euros de chiffre d’affaires ou 50 employés) devront désormais s’y conformer.    

Le nombre d’entreprises qui devront suivre les nouvelles normes de gestion des risques de cybersécurité est d’environ 110.000, contre 15.500 pour NIS1.  C’est le nombre d’entreprises directement touchées.  Comme décrit ci-dessous, NIS2 exige que ces sociétés gèrent les risques de cybersécurité de tiers, de sorte que le nombre d’entreprises indirectement touchées par NIS2 est susceptible de dépasser 1.000.000.

Pour les grandes entreprises du secteur financier, DORA prévaudra.

Le signalement des incidents de cybersécurité sera harmonisé entre les États membres.

La directive NIS2 décrit les types d’incidents qui doivent être signalés, tels que l’accès non autorisé à des services numériques, les violations de données et les attaques par déni de service. Les entreprises sont tenues de fournir des détails sur l’incident, tels que la date et l’heure auxquelles il s’est produit, le nombre d’utilisateurs touchés, toute mesure prise en réponse à l’incident et toute mesure prise pour empêcher que des incidents similaires ne se reproduisent à l’avenir.

La directive décrit également ce qui devrait être inclus dans les rapports soumis aux autorités, comme un aperçu de l’incident, de son impact et de sa gravité, une description de toute mesure technique ou procédurale prise pour y remédier et toute amélioration proposée qui peut aider à réduire les risques pour la sécurité. Les entreprises sont censées signaler les incidents aux autorités compétentes dans les 72 heures suivant l’incident. De plus, les entreprises doivent fournir des mises à jour régulières sur leurs progrès dans la résolution de l’incident et la mise en œuvre des améliorations proposées.

Troisièmement, et le plus important pour la posture de sécurité des entreprises, l’accent est mis sur la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs.

La gestion des tiers et la gestion des risques de sécurité liés eux tiers sont de plus en plus reconnues dans tous les secteurs et industries comme essentielles à la cyber-résilience. Son importance primordiale est qu’il s’agit d’un domaine de risque qui a pris beaucoup d’importance au cours de la dernière décennie.

Le travail à distance, la mondialisation des activités économiques et la réduction des coûts ont entraîné une numérisation rapide, l’interconnexion numérique et l’adoption de modèles commerciaux Software-as-a-Service et Infrastructure-as-a-Service.  Cela signifie que de plus en plus d’entreprises dépendent d’une chaîne d’approvisionnement informatique pour fournir leurs services. En outre, les fournisseurs d’entreprises non informatiques ont suivi des voies similaires vers plus de numérisation. Cela a conduit à l’expansion exponentielle de la surface d’attaque numérique des entreprises, ce qui a entraîné la nécessité d’une gestion des risques de sécurité par des tiers.

Quelques chiffres pour illustrer l’importance d’une bonne gestion des risques liés à la sécurité des tiers : 

• Gartner prédit que « d’ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d’approvisionnement logicielles, soit trois fois plus qu’en 2021 ».
• Forrester a prédit fin 2021 qu’en 2022, 60% des cyberattaques trouveraient leur origine dans des tiers interconnectés.
   

NIS-2 souligne que les organisations doivent gérer de manière proactive les risques introduits par des tiers. Cela inclut tous les fournisseurs et prestataires de services et devrait être considéré dans une perspective multidisciplinaire des risques. La directive stipule que les organisations devraient au moins:

• Évaluer la qualité des services et les pratiques de cybersécurité de leurs fournisseurs, y compris la sécurité des processus de développement (art. 43)
• Faire preuve de prudence dans le choix du prestataire de services de sécurité (art. 44)
• Être conscient des risques de sécurité qui découlent des interactions avec d’autres entreprises dans un écosystème plus large, en particulier lorsqu’il s’agit de la relation avec les instituts de recherche ou les services d’analyse et de transformation des données fournis par des fournisseurs tiers (art. 45)
• Participer aux évaluations sectorielles des risques de la chaîne d’approvisionnement organisées par les autorités compétentes.  L’objectif de ces évaluations coordonnées est d’identifier les services, systèmes ou produits TIC essentiels pour le secteur concerné, ainsi que les menaces et vulnérabilités pertinentes. (art. 46)
• Mettre en place et maintenir un processus tenable d’évaluation et de gestion des risques de la chaîne d’approvisionnement, en tenant compte des aspects techniques et non techniques, en tenant compte de l’importance relative du fournisseur et de l’importance du service fourni par le fournisseur (art. 47)
• Mettre en œuvre des mesures appropriées pour garantir la sécurité des communications électroniques avec les fournisseurs (art. 49, 50 & 51).
• Lorsqu’ils sont confrontés à une menace importante, informer leurs clients et les autorités compétentes de cette cybermenace et des stratégies de remédiation pertinentes (art. 52 & 53)
   

La directive invite également les organisations à mettre en place des processus et des procédures pour détecter et atténuer les risques liés à la chaîne d’approvisionnement, y compris ceux liés à la cybersécurité. Les procédures devraient comprendre les étapes suivantes :

• Identifier et évaluer les menaces posées par les produits et services tiers
• Élaborer des politiques, des plans et des solutions pour faire face aux menaces cernées
• Mesures de mise en œuvre pour assurer l’approvisionnement sécurisé de produits et services de tiers

Les organisations doivent également s’assurer qu’elles surveillent, évaluent et prennent en permanence les mesures appropriées pour résoudre tout problème de sécurité avec des tiers. Cela pourrait inclure la réalisation régulière d’évaluations ou de vérifications indépendantes de tiers, la mise à jour des ententes avec les fournisseurs et la réalisation d’examens réguliers de leurs pratiques de sécurité.

Les organisations doivent également être prêtes à prendre les mesures correctives appropriées si des problèmes sont identifiés avec des tiers, tels que la suspension temporaire de l’interaction ou la résiliation complète du contrat. En outre, les organisations devraient avoir un processus en place pour s’assurer qu’elles peuvent répondre efficacement et rapidement aux incidents impliquant des tiers.
 

Autres nouveautés intéressantes de NIS2

NIS2 introduira des exigences plus strictes en matière de surveillance et d’exécution, visant l’harmonisation à l’échelle de l’UE des sanctions en cas de non-respect.

Dans le domaine des opérations de sécurité informatique, NIS2 propose un cadre à l’échelle de l’UE pour la divulgation responsable des vulnérabilités découvertes. Cela prendrait la forme d’un registre géré par l’Agence de l’UE pour la cybersécurité (ENISA).  Qui sait, un jour, l’UE aura peut-être sa propre base de données sur les vulnérabilités, similaire à la NVD gérée par le ministère américain du Commerce.

En résumé, la demande de solutions tierces en matière de risques de sécurité en Europe va augmenter

La NIS2 doit d’abord être traduite dans la législation locale des pays de l’UE pour entrer en vigueur. Cela devrait être tout au long de 2024 et au début de 2025, les mêmes délais que DORA.  Avec l’introduction de NIS2, beaucoup plus d’entreprises sont désormais tenues de jouer un rôle actif dans la gestion de leurs risques de sécurité. En conséquence, la demande de solutions tierces de gestion des risques de sécurité devrait augmenter au cours des trois prochaines années.

Ceeyu est une plate-forme SaaS qui peut aider les entreprises à évaluer leur propre sécurité et la sécurité de leurs fournisseurs ou d’autres tiers à l’aide d’évaluations automatisées et basées sur des questionnaires.