Cybersécurité : pourquoi et comment vous préparer à la directive NIS2 ?

Votre entreprise est-elle concernée par la directive NIS2 ?

Pour faire simple, votre entreprise devra se mettre en conformité avec la directive NIS2 si elle remplit ne serait-ce qu’un seul des critères mentionnés en annexe 1 et 2 de la réglementation.

Concrètement, vous êtes concernés par NIS2 si :

• vous exercez votre activité ou proposez vos services dans deux États membres (ou plus) de l’Union européenne,
• votre organisation emploie 50 personnes ou plus,
• votre chiffre d’affaires annuel est supérieur à 10 millions d’euros,
• votre entreprise est considérée comme une entité critique selon la définition de la directive 2022/2557 sur la résilience des entités critiques,
• vous travaillez dans l’un des 18 secteurs d’activité suivants :
  • énergie
  • transports
  • secteur bancaire
  • infrastructures des marchés financiers
  • santé
  • fourniture / distribution d’eau potable
  • gestion des eaux usées
  • infrastructures numériques
  • gestion de services TIC
  • administration publique
  • secteur spatial
  • services postaux et d’expédition
  • gestion des déchets
  • fabrication / production / distribution de produits chimiques
  • alimentation
  • fabrication
• vous êtes un sous-traitant, fournisseur, prestataire de service pour l’infrastructure d’une entreprise soumise à la directive NIS2.

Le périmètre des organisations concernées par cette nouvelle réglementation est donc très vaste. Plus de 600 types d’entités, aussi bien privées que publiques, sont ainsi soumises à NIS2 : administrations, grands groupes, ETI, PME, TPE… La probabilité que votre entreprise en fasse partie est très élevée !

Directive NIS 2 : quelles obligations en matière de cybersécurité ?

Votre entreprise coche une ou plusieurs des cases listées ci-dessus ? Vous allez donc devoir vous mettre en conformité d’ici l’entrée en application de la directive.

Quelles sont les nouvelles obligations à respecter en matière de cybersécurité pour les organisations soumises à NIS2 ? Voici les principales mesures dictées par la directive :

• Réaliser des analyses de risques et des audits de sécurité de vos systèmes d’information.
• Respecter des procédures de gestion des incidents : vous devez notifier tout incident de sécurité dans un délai de 24 heures sous forme de rapport préliminaire, suivi d’un rapport final qui doit être fourni dans un délai d’un mois maximum.
• Rédiger un plan de continuité, qui décrit la gestion de vos sauvegardes mais aussi les processus à suivre pour rétablir l’activité dans les plus brefs délais.
• Un chiffrement de bout en bout, pour protéger vos données des actes cybermalveillants.
• Renforcer la sécurité de votre chaîne d’approvisionnement, en contractualisant les aspects liés à la cybersécurité avec vos fournisseurs et prestataires.
• Traiter et divulguer les vulnérabilités, par exemple applicatives ou logicielles.
• Sécuriser l’acquisition, le développement et la maintenance de vos réseaux et des systèmes d’information.
• Consolider le contrôle des accès, notamment en adoptant des solutions d’authentification à plusieurs facteurs ou d’authentification continue.
• Mettre en œuvre une politique de sécurité des ressources humaines, de gestion des utilisateurs et de gestion des actifs.
• La formation de vos collaborateurs aux bonnes pratiques de cyberhygiène ainsi qu’à la politique de cybersécurité de votre entreprise.

En cas de non-conformité, votre entreprise s’expose à de lourdes sanctions. Les entités “essentielles” peuvent se voir infliger une amende allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial. Les entités dites “importantes” encourent une amende allant jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial. Enfin, la responsabilité des dirigeants peut également être engagée.

Bien sûr, ces sanctions sont précédées d’injonctions de mise en conformité.

Comment votre entreprise peut-elle se mettre en conformité avec la directive NIS2 ?

Il est d’abord important de comprendre que la démarche de l’Union européenne n’est pas punitive, mais préventive, pour protéger votre entreprise des cyberattaques. Les agences gouvernementales, telles que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en France, se placent ainsi dans une démarche d’accompagnement. Vous pouvez donc vous référer aux documentations déjà disponibles, à l’instar du guide dédié aux TPE / PME.

Ensuite, pour se mettre en conformité, votre entreprise va devoir adopter des solutions de cybersécurité qui apportent une réponse aux exigences de la directive.

SFR Business vous accompagne pour renforcer les dispositifs de sécurité informatique de votre entreprise :

• Sécurité du réseau : vous souhaitez sécuriser les communications entre vos bureaux distants, ainsi que le réseau de vos collaborateurs qui travaillent depuis leur domicile ? SD-Net est une solution SD-WAN qui crée des tunnels chiffrés pour protéger vos flux de données entre les différents lieux de travail.
• Sécurité du cloud : les infrastructures cloud abritent souvent des environnements complexes, hébergeant une multitude d’utilisateurs, de sites et d’applications. Une solution SASE centralise et supervise la cybersécurité de votre infrastructure cloud depuis une plateforme unique.
• Sécurité des terminaux : ordinateurs fixes ou portables, smartphones, tablettes… l’ensemble des terminaux de votre entreprise doivent être protégés. Une gestion de flotte unifiée permet d’administrer à distance l’ensemble de votre flotte de terminaux pour bloquer les applications non approuvées, supprimer les données à distance en cas de vol, ou encore paramétrer le contrôle des accès aux données de votre entreprise.
• Surveillance du SI et blocage des menaces avancées : l’intégrité de votre SI doit être assurée 24h/24. Un SOC permet de surveiller en temps réel votre système d’information et de détecter instantanément les tentatives de cyberattaque. Il peut être combiné avec solution EDR/XDR capable de contrer les menaces les plus avancées telles que les rançongiciels afin de garantir le plus haut niveau de cybersécurité pour votre entreprise.
• Sécurité de la collaboration : au-delà des solutions de cybersécurité, les applications collaboratives utilisées par les salariés de votre organisation doivent également offrir un niveau de sécurité robuste. Le Pack Business Unifié proposé par SFR Business en collaboration avec Cisco Webex, offre une protection intégrale de vos données et de vos échanges grâce à un chiffrement de bout en bout.

De par la largesse des critères de la directive, votre entreprise doit certainement se mettre en conformité avec NIS2. Au-delà d’être une contrainte, cette réglementation est l’opportunité de vous mettre en ordre de bataille pour planifier la cybersécurité de votre organisation et vous armer pour vous protéger des cybermenaces. Les équipes SFR Business se tiennent à vos côtés pour relever ce défi.