La directive NIS2 est une législation européenne en matière de cybersécurité. NIS2 est une mise à jour de la directive précédente sur la sécurité des réseaux et de l'information (NIS). Son objectif est de créer un niveau commun de cybersécurité entre les États membres de l'Union européenne. Tout comme le règlement général sur la protection des données (RGPD), la NIS2 cherche à harmoniser les mesures et les approches adoptées par les États membres de l'UE pour sécuriser les infrastructures digitales. Dans ce cas, il s'agit des meilleures pratiques pour lutter contre la hausse des cyberattaques.
Les cyberattaques comme les ransomwares et les violations de données ont un impact croissant sur les entreprises et les entreprises aux quatre coins de l'UE. L'ENISA (Agence de l'Union européenne pour la cybersécurité) a publié un rapport sur l'écosystème des menaces. Ce dernier vise à avertir les entreprises de l'UE que de nouvelles formes d'hameçonnage et d'attaque Zero Day sont utilisées avec une efficacité redoutable. Bénéficiant d'un vaste champ d'application, la NIS2 vise à renforcer la cybersécurité des « entités essentielles et importantes » de secteurs critiques tels que l'énergie, le commerce de détail, les transports, les banques, la santé, l'administration publique, etc. Cette directive concerne également la sécurité des fournisseurs de services et des chaînes d'approvisionnement au-delà des frontières.
La NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres de l'UE ont jusqu'au 17 octobre 2024 pour transposer la NIS2 en droit national, ce qui la rendra applicable.
La NIS2 impose la mise en place de contrôles de sécurité globaux et rigoureux pour atténuer les risques et prévenir les dommages de cybersécurité causés aux systèmes et aux données. Ces exigences concernent un large éventail de systèmes et de ressources informatiques incluant notamment la protection des environnements informatiques contre les ransomwares, l'hameçonnage et les accès non autorisés.
Les solutions de sécurité d'Akamai fournissent des renseignements ainsi qu'une protection de bout en bout dédiés à protéger les technologies d'exploitation d'infrastructure critiques (OT), les systèmes informatiques et les données contre les violations, les incidents de sécurité, les infections par des programmes malveillants et l'exposition accidentelle de données. La plateforme de sécurité d'Akamai garantit la sécurité dynamique nécessaire pour appliquer les principes Zero Trust à la protection des données dans une entreprise.
Akamai aide vos équipes de sécurité à optimiser l'efficacité et le retour sur investissement de vos placements en matière de sécurité. Dans cette optique, l'entreprise va bien au-delà de la détection traditionnelle des terminaux en fournissant une solution Zero Trust performante, dédiée à la sécurité et à la confidentialité des données.
Akamai propose :
L'article 21 de la directive NIS2 souligne que les entités concernées doivent gérer le cyberrisque en utilisant « des mesures techniques et organisationnelles appropriées et proportionnées ». Ces mesures incluent, sans s'y limiter, les éléments suivants :
Le NIS2 s'applique à toute entreprise de l'UE, y compris à « toutes les entités publiques et privées du marché intérieur qui remplissent des fonctions importantes pour l'économie et la société dans son ensemble ». Ces dernières « sont tenues de prendre des mesures adéquates en matière de cybersécurité ».
La directive distingue deux catégories d'« entités concernées » : les entités essentielles (EE) et les entités importantes (EI). En ce qui concerne la conformité, la différence entre les deux catégories est que les entités essentielles sont soumises à des exigences réglementaires plus strictes en matière de respect de la conformité, d'obligations de signalement des incidents et de mesures applicatives dans l'ensemble des systèmes d'information. Exemples de chaque type d'entité :
Les entités opérant dans les secteurs suivants sont considérées comme essentielles (EE) ;
Les entités opérant dans les secteurs suivants sont considérées comme importantes (EI) ;
Les trois secteurs concernés par la directive NIS2 sont les suivants :
Santé : la santé est un service essentiel qui ne peut déroger à la NIS2. Par conséquent, une entité du secteur de la santé doit respecter les exigences réglementaires strictes de la NIS2, y compris les mesures de gestion des risques destinées à atténuer les cyberrisques et à prévenir les dommages causés aux systèmes informatiques et aux données. En parallèle, les exigences concernant la gestion des incidents, la cybersécurité de la chaîne d'approvisionnement, la sécurité des réseaux, le contrôle d'accès, et le chiffrement des données restent primordiales. Les services essentiels comme les institutions de santé peuvent utiliser des solutions Zero Trust pour répondre à ces exigences de sécurité strictes. Le Zero Trust permet de réduire les délais de mise en conformité en dédiant moins de ressources à l'application d'une sécurité robuste sur les réseaux étendus et sur les chaînes d'approvisionnement.
Détaillants : le rapport Sophos 2022, « L'état des ransomwares dans le commerce de détail », identifie une tendance à la hausse des menaces ciblant le secteur du commerce de détail. Le rapport indique que 77 % des détaillants ont été victimes d'une attaque par ransomware en 2021. La NIS2 considère explicitement « la production, la transformation et la distribution d'aliments » ainsi que les « gestionnaires de sites de vente en ligne » comme des « services importants ». Dans cette logique, de nombreuses activités de commerce de détail seront obligées de se conformer à la NIS2. Grâce à la sécurité Zero Trust, une entreprise de commerce de détail peut bénéficier d'une protection complète de son environnement informatique, d'une visibilité détaillée des actifs, des accès et des flux réseau, ainsi que d'une application granulaire de la règle de sécurité. Avec cette approche globale, le détaillant peut répondre à de nombreuses exigences et se conformer à la NIS2.
Fournisseurs tiers et fournisseurs de services : Gartner prédit que 45 % des entreprises mondiales feront face à des attaques de leurs chaînes d'approvisionnement logiciel d'ici 2025. La chaîne d'approvisionnement est une cible idéale pour les cybercriminels qui cherchent à infiltrer une entreprise. La NIS2 gère ce risque de cybersécurité en imposant des exigences strictes en matière de gestion des risques à la chaîne d'approvisionnement pour déployer des technologies clés d'information et de communication. La NIS2 implique une approche proactive de la gestion des risques liés à la chaîne d'approvisionnement comprenant l'évaluation de la qualité des pratiques en matière de cybersécurité adoptées par ses fournisseurs. Les fournisseurs tiers doivent utiliser un modèle de sécurité Zero Trust pour veiller à la mise en œuvre de mesures de sécurité de bout en bout qui garantissent, par exemple, l'application des accès de moindre privilège.
La NIS2 impose la mise en œuvre d'une série de mesures de cybersécurité et d'activités de gestion des risques. Ces mesures incluent l'application du contrôle des accès et du moindre privilège, une authentification multifactorielle robuste et d'autres mesures pour dissuader, détecter ou prévenir les codes malveillants comme les ransomwares. La suite de solutions d'Akamai est conçue pour aider les clients à enrayer la propagation des ransomwares et d'autres attaques avancées. Akamai contribue à protéger les entreprises contre les vulnérabilités, notamment les risques accrus liés au Cloud Computing et aux effectifs dispersés.
La NIS2 est une directive de l'UE qui propose une législation relative à la cybersécurité harmonisée à l'échelle de l'UE. La NIS2, ou directive NIS (Network and Information Security, ou réseau et la sécurité de l'information ) 2, est une mise à jour de la directive NIS précédente.
La NIS2 s'applique aux entreprises de l'Union européenne exerçant leur activité dans 11 secteurs essentiels et sept secteurs importants. En vertu de la NIS2, les entités concernées sont tenues de se conformer à la réglementation les obligeant à protéger leurs systèmes contre les cyberattaques et à s'assurer qu'elles disposent de plans de réponse aux incidents graves. Pour en savoir plus sur les secteurs relevant de ces deux catégories, lisez l'ensemble du texte de la directive NIS2.
Comme le RGPD, la NIS2 prévoit de lourdes sanctions en cas de non-conformité. Par exemple, l'article 34 de la directive NIS2 prévoit les sanctions suivantes en cas de non-conformité :
Entités essentielles :au moins jusqu'à 10 millions d'euros, soit 2 % du chiffre d'affaires annuel mondial
Entités importantes :au moins jusqu'à 7 millions d'euros, soit 1,4 % du chiffre d'affaires annuel mondial
L'article 23 de la directive NIS2 fixe des règles strictes en matière de signalement des cyberviolations. Le règlement exige l'envoi d'une notification de violation « sans retard injustifié ». L'avis doit être émis dans les 24 heures suivant la découverte d'un incident important (« alerte précoce ») et une évaluation initiale doit être communiquée dans les 72 heures. Cette règle s'applique même si des données personnelles ne sont pas exposées.
L'article 23 de la NIS prévoyait l'obligation de veiller à ce que la directive soit régulièrement révisée pour prendre en compte la recrudescence des cyberattaques, la transformation digitale et les perturbations causées par la pandémie et le travail à distance. C'est ainsi que la directive mise à jour NIS2 a été rédigée. Les modifications apportées à la nouvelle version comprennent une plus grande liste d'entités concernées, une protection de toutes les moyennes et grandes entreprises des secteurs concernés et une aide aux petites entreprises à haut risque. La NIS2 mise sur une approche de la sécurité basée sur les risques en couvrant des domaines tels que la continuité des activités et la gestion des crises, la gestion et la divulgation des vulnérabilités, et l'authentification multifactorielle.
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.
