Avec la directive NIS2, des mesures de sécurité obligatoires et des exigences de rapport s’appliqueront à de nombreuses entreprises à partir d’octobre 2024 – même celles qui n’étaient pas concernées auparavant
La directive NIS2 (Network and Information Systems 2 Directive) est un texte de loi européen détaillé visant à renforcer la cybersécurité dans les États membres. À partir d’octobre 2024, elle remplacera la directive NIS originale de 2016, en étendant son champ d’application à des secteurs plus critiques et en fixant des exigences de sécurité plus élevées. En particulier, les prestataires de services numériques sont désormais également inclus dans le champ d’application de la NIS2, ce qui étend considérablement la portée de la directive.
– Analyse des risques et politiques de sécurité pour les systèmes d’information
– Gestion des incidents
– Gestion de la continuité des activités
– Gestion des sauvegardes
– Gestion de crise
– Sécurité de la chaîne d’approvisionnement
– Mesures de sécurité pour l’acquisition, le développement
et la maintenance des réseaux et des systèmes d’information
– Gestion des vulnérabilités
– Évaluation de l’efficacité des mesures de gestion des risques
– Procédures de sécurité pour les collaborateurs ayant accès à des données sensibles ou importantes
– Formation et sensibilisation à la cybersécurité
– Concepts pour l’utilisation de la cryptographie
– Contrôle d’accès et gestion des actifs
– Utilisation de l’authentification multifactorielle (MFA) ou de l’authentification continue (SSO)
– Sécurisation des communications vocales, vidéo et textuelles et, si nécessaire, sécurisation des systèmes de communication d’urgence
– Mise en œuvre d’un système de gestion de la sécurité de l’information
Pour avoir une vue d’ensemble de tous ces éléments, vous pouvez télécharger notre checklist NIS2 ici.
Il est essentiel de savoir quels incidents cyber doivent être signalés, à qui et dans quel délai. Par exemple, une première alerte doit être envoyée à l’autorité de sécurité du pays dans les 24 heures suivant la suspicion d’un incident. Si les soupçons sont fondés ou confirmés, un rapport sur l’incident de sécurité doit suivre dans les 72 heures. Enfin, un rapport final doit être envoyé au plus tard un mois après la notification de l’incident confirmé.
Le rapport final doit comprendre les éléments suivants :
Si l’incident n’est pas résolu dans un délai d’un mois, les organisations sont tenues de fournir un rapport d’avancement. Dans ce cas, le rapport final doit suivre au plus tard un mois après le traitement de l’incident de sécurité.
Comme vous pouvez le constater, ces délais sont extrêmement serrés. Pour gagner un temps précieux en cas d’incident, nous recommandons un « exercice d’urgence de réponse à incident » annuel et un contrat-cadre pour les activités de réponse à incident. Cela permet à l’équipe d’intervention de se familiariser avec vos systèmes en « temps de paix ». Cela vous permet également de définir à l’avance les points de contact, les équipes de crise et les décideurs, et de les familiariser avec les processus importants de la chaîne de communication.
Vous n’êtes pas sûr de la marche à suivre ? Nos experts peuvent vous aider.
Contactez-nous pour découvrir comment nous pouvons vous aider
Fence, la solution logicielle d’analyse et gestion de risque de cybersécurité d’Airbus Protect, a reçu le label EBIOS Risk Manager de l’ANSSI. L’outil d’Airbus Protect Fence permet la réalisation simple et intuitive d’analyse de risques suivant la méthode EBIOS Risk Manager, ainsi que des analyses de conformité. Il assure également le suivi des risques identifiés […]
Dans cette nouvelle série, nous posons trois questions à des experts en sûreté, en sustainability et en cybersécurité pour en savoir plus sur leur rôle au sein d’Airbus Protect. Nous commençons par Christian Siemers, qui est basé dans notre bureau d’Ottobrunn. Peux-tu nous dire en quoi consiste ton travail de consultant OT ? La première […]