NIS2, CER, ISO/IEC 27001 – Qu’ai-je besoin de savoir ? Qu’ai-je besoin de faire ?
Dans les domaines de la sécurité de l’information, de la cybersécurité et de la gestion de la continuité d’activité, ces acronymes sont désormais utilisés sur tous les canaux, tout comme l’étaient le RGPD et la protection de l’information il y a quelques années. Que devez-vous savoir à ce sujet et, en particulier, que devez-vous faire ?
Nul besoin de paniquer. En bref, il s’agit de bonnes pratiques et de méthodologies pour une approche holistique basée sur les risques liés à la gestion de la continuité d’activité, à la sécurité de l’information, et à la cybersécurité d’une organisation.
Dans un monde de plus en plus numérisé, l’objectif est, d’une part, de protéger chacun d’entre nous et, d’autre part, d’assurer la résilience des entreprises dans une société sûre. Il n’est plus possible d’assurer les fonctions critiques d’un secteur sans investir dans la fonctionnalité et la sécurité de l’infrastructure numérique.
Un grand nombre d’éléments nécessaires à la gestion systématique de la sécurité de l’information ou de la cybersécurité sont peut-être déjà en place dans votre organisation. Il est très probable que ces pratiques ou processus aient déjà été mis en œuvre, par exemple dans le cadre de l’élaboration du règlement général sur la protection des données (RGPD), à partir duquel ils peuvent être affinés.
L’objectif principal devrait être de passer d’une réflexion sur la sécurité technique à l’essentiel : gérer l’activité avec une sécurité de l’information planifiée et basée sur les risques. La sécurité de l’information, comme tous les autres aspects de la sécurité, a besoin de formation, de conseils et de la création, de l’application et de la mise en œuvre de bonnes pratiques.
La directive NIS2 est une étape importante vers une meilleure sécurité de l’information et des réseaux dans l’Union européenne. Elle reflète les exigences de l’ère numérique et la nécessité de protéger la société et l’économie contre les menaces liées à la sécurité en ligne et à la sécurité de l’information.
Mais que signifient réellement ces acronymes ?
NIS2 (Network and Information Security 2) est une directive de l’Union européenne qui vise à garantir un niveau élevé de sécurité de l’information dans l’environnement numérique. Elle se concentre sur la sécurité en ligne et la sécurité de l’information et concerne diverses organisations ainsi que les principaux fournisseurs de services numériques. La directive fixe des exigences en matière de mesures de sécurité et exige que les violations graves de la sécurité soient signalées aux autorités nationales. Elle vise à améliorer la sécurité de l’information à l’échelle de l’UE et la préparation aux cybermenaces potentielles. L’application nationale de la directive NIS2 entrera en vigueur en octobre 2024.
CER (Critical Entity Resilience), la directive sur la résilience des entités critiques est également une directive de l’Union européenne qui vise à améliorer la résilience des services critiques de la société. L’essentiel est de comprendre la portée des menaces et des perturbations de chaque organisation et de renforcer le travail proactif afin de réduire la durée et d’atténuer l’impact des perturbations potentielles – en d’autres termes, de mettre en œuvre une gestion de la continuité d’activité. Les opérateurs critiques doivent procéder à des évaluations des risques et prendre des mesures techniques et organisationnelles pour améliorer leur résilience et signaler les perturbations. Comme pour NIS2, l’application de la directive CER entrera en vigueur en octobre 2024.
ISO/IEC 27001 est la norme pour la gestion et la gouvernance de la sécurité de l’information. La première version a été publiée en 2005 et la dernière en 2022. Cette norme décrit une approche de gestion basée sur le risque et donc proactive pour répondre aux menaces qui pèsent sur la confidentialité, l’intégrité ou la disponibilité des actifs informationnels et pour satisfaire aux exigences de sécurité. En tant que norme internationale, ISO/IEC 27001 est reconnue dans le monde entier et des certificats peuvent être délivrés pour attester de la conformité à ses exigences.
Comment les trois sont-ils liés ?
Comme décrit ci-dessus, NIS2 exige, entre autres, une gestion de la sécurité de l’information basée sur les risques, une réponse rapide aux incidents de sécurité graves et une notification aux autorités. Ce sont les mêmes éléments que le système de gestion de la sécurité de l’information ISO/IEC 27001 inclut directement.
CER, qui exige une gestion de la continuité de la part des opérateurs critiques, bénéficie d’un soutien direct de la part de l’ISO/IEC 27001. En effet, les exigences de NIS2 en matière de gestion des incidents liés à l’information et à la cybersécurité et le modèle de gestion ISO/IEC 27001 pour la gestion et le maintien de la sécurité de l’information sont intimement liées.
Tous ces éléments sont liés à une gestion des risques intégrée aux processus, à la prise de décision et à la gestion.
Qui est concerné par la directive CER sur la résilience ?
La directive CER couvre 11 secteurs, pour lesquels chaque État membre de l’UE doit identifier les opérateurs critiques d’ici le 17 juillet 2026.
Qui est concerné par la directive NIS2 sur la sécurité de l’information ?
Les exigences de la directive NIS2 s’appliquent aux opérateurs critiques pour la sécurité et la continuité de la société, répartis en 15 secteurs différents.
La directive diffère d’un secteur à l’autre, par exemple en termes de rapports et de sanctions, mais les obligations sont les mêmes pour tous. En outre, des critères ont été définis pour les entreprises en termes de nombre d’employés, de chiffre d’affaires et de total du bilan.
NIS2 concerne un large éventail d’organisations essentielles au fonctionnement et à la sécurité de l’infrastructure numérique de l’Union européenne, telles que :
- Fournisseurs de services en ligne : comprend les fournisseurs de services qui offrent des services numériques tels que les boutiques en ligne, les plateformes de médias sociaux, les services cloud, etc.
- Les entreprises du secteur de l’énergie : les producteurs d’électricité, les sociétés de distribution et les autres opérateurs du secteur de l’énergie dont les activités sont essentielles au fonctionnement de la société.
- Institutions financières : banques, compagnies d’assurance et autres organisations fournissant des services financiers dont la sécurité est essentielle à la sécurité financière de leurs clients.
- Services numériques critiques : par exemple, les organisations fournissant des services de santé, de transport, d’eau ou d’autres services essentiels dont la capacité opérationnelle et la sécurité de l’information sont cruciales.
Comment se mettre en conformité avec la directive NIS2 ?
La meilleure façon de commencer est de se familiariser avec la norme ISO/IEC 27001 sur les systèmes de gestion de la sécurité de l’information. Elle intègre une grande partie des exigences de la directive NIS2 et fournit une approche systématique et holistique de la gestion et de la gouvernance de la sécurité de l’information. Son importance sera encore renforcée par la directive contraignante NIS2.
Nous sommes là pour vous aider ! Vinçotte vous propose une gamme de services pour la gestion et le développement de la sécurité de l’information :
- des formations générales et sur mesure pour l’ensemble du personnel et la direction d’une organisation ;
- des services de consultance et de conseil, de l’élaboration de modèles de gouvernance à la planification et à l’exécution d’audits internes, en passant par la mise en œuvre de politiques de sécurité de l’information ;
- un outil concret pour la gestion de la conformité et le soutien à la certification, Kiwa Comply™.
Contactez-nous pour organiser une réunion gratuite d’évaluation des besoins de 30 minutes, au cours de laquelle nous pourrons planifier une approche adaptée à votre organisation.
Texte et photo de Vinçotte Luxembourg