MENU
ACTUALITÉS
Quelles sont les mesures de sécurité à déployer dans le cadre de la directive NIS2 ?
Actualités
20
Avr 23

La Directive NIS2 (Network and Information System) a été publiée et vise à remplacer la Directive NIS de 2016. La Directive NIS2 vise à renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne (UE) en obligeant certaines sociétés de secteurs stratégiques de mettre en place des mesures de sécurité appropriées et à notifier les incidents de sécurité graves aux autorités compétentes.

Les sociétés concernées par cette directive sont réparties en 2 catégories selon les secteurs sur lesquels elles opèrent leurs activités :

  • Les Entités Essentielles quel que soit leur taille évoluant sur les secteurs critiques visé par la directive (UE) 2022/2557. Cela concerne notamment une partie des sociétés opérant dans secteurs suivants : énergie, transport, banques, santé, eaux potables et usées, infrastructure numérique, administration publique, espace, services gérés et de sécurités gérés ;
  • Les Entités Importantes dont le CA ou le bilan est supérieur à 10 m€ ou de plus de 50 salariés. Cela concerne notamment une partie des sociétés opérant dans secteurs suivants : gestion des déchets, industrie manufacturière (chimie, dispositif médicaux, électrique, informatique, automobile), place de marché, réseaux sociaux, moteurs de recherche, organismes de recherche.

En tant qu’entité essentielle ou importante, vous serez dans l’obligation de justifier d’un niveau de sécurité. Commencez dès maintenant les démarches pour vous assurer une mise en conformité pour octobre 2024.

 

Pour garantir que les infrastructures critiques restent disponibles, résilientes et sécurisées, voici quelques-unes des mesures de sécurité que les entreprises doivent déployer pour se conformer à la directive NIS2 :

  • Identification des risques de sécurité : Les entreprises doivent effectuer une analyse des risques pour identifier les menaces et les vulnérabilités qui pourraient affecter leur système d’information;
  • Mise en place de mesures techniques et organisationnelles : Les entreprises doivent mettre en place des mesures techniques et organisationnelles pour prévenir les incidents de sécurité, détecter les menaces et y répondre efficacement;
  • Gestion des incidents de sécurité : Les entreprises doivent mettre en place un processus de gestion des incidents de sécurité pour prévenir, détecter et réagir efficacement aux incidents de sécurité et minimiser les conséquences. Ce point couvre également tout ce qui a attrait à la continuité des activités, la gestion des crises et la reprise ;
  • Protection de la chaîne d’approvisionnement : Les entreprises doivent mettre en place des mesures de sécurité pour s’assurer de la production et de la livraison d’un produit ou d’un service en cas de cyber attaques. Cela passe par une surveillance des fournisseurs, prestataires de services directs et des relations entre chaque entité ;
  • Intégration de solutions en cyber sécurité : Les entreprises doivent s’assurer que les normes de sécurité sont intégrées dès le début du développement de logiciels, que les infrastructures des réseaux et des systèmes d’information sont sécurisés et maintiennent un haut niveau de sécurité pour empêcher toute intrusion ;
  • Test de pénétration : Les entreprises doivent effectuer régulièrement des tests de pénétration pour s’assurer que les politiques, procédures et solutions mises en place sont efficaces en matière de cyber sécurité ;
  • Formation des employés : Les entreprises doivent former leurs employés sur les pratiques de sécurité informatique pour minimiser les risques de cyberattaques ;
  • Protection des données sensibles : Les entreprises doivent utiliser la cryptographie. Elle permet de protéger les données sensibles en les chiffrant, ce qui rend leur accès impossible sans une clé de décryptage appropriée ;
  • Sécurisation des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs : Les entreprises doivent mettre en place des procédures de vérification pour connaître qui se connecte sur le réseau avec quel outil et d’où il se connecte.
  • Authentification multi facteurs : Les entreprises doivent utiliser des solutions d’authentification à plusieurs facteurs ou d’authentification continue, des communication vocales, vidéo et textuelles sécurisées et des systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Les sociétés concernées doivent appliquer ces mesures dès octobre 2024.

Il est important de noter que ces mesures de sécurité ne sont pas exhaustives et que les entreprises doivent adopter une approche de sécurité holistique pour garantir la sécurité de leur système d’information. En cas de non-respect de ces directives, la NIS2 prévoit d’importantes sanctions financières pour les entités essentielles pouvant aller jusqu’à 2% du CA mondial de l’entreprise.

L’expertise et les compétences acquises depuis plus de 25 ans dans les domaines de la sécurité permettent à SERMA Safety and Security d’adresser toute la chaîne de valeur de la sécurité : du produit en passant par les infrastructures jusqu’aux applications et leurs données. Reconnue pour son excellence technique, SERMA Safety and Security compte de nombreuses qualifications et certifications dont l’accréditation CESTI, sa qualification PASSI ainsi que de nombreux partenariats avec les éditeurs de solutions de cybersécurité. SERMA Safety and Security vous accompagnera et vous conseillera pour adopter les bonnes mesures de sécurité.

Partagez l'article :