NIS 2: Développer sa maturité cyber et sa conformité grâce à la CRQ
Le 18 octobre 2024, la directive européenne NIS 2 (Network and Information Security) devra être transposée en droit national, affectant de nombreux secteurs de l’économie européenne. Elle renforce la directive NIS 1, adoptée en 2016, qui a mis en place une approche institutionnelle et réglementaire de la cybersécurité dans l’Union européenne. L’objectif de la nouvelle directive est d’amener les 27 États membres au même niveau de maturité en matière de cybersécurité. La NIS 1 avait permis à de nombreuses entreprises européennes de mieux se protéger contre les cyberattaques, et l’impact global de cette directive avait été concluant. L’harmonisation prévue dans la NIS 2 vise à étendre le champ d’application des réglementations en matière de cybersécurité afin de protéger pleinement les services et les secteurs d’importance stratégique, tout en introduisant un principe de proportionnalité.
Par conséquent, de nombreuses entreprises non couvertes par la NIS 1 devront s’y conformer d’ici à la fin de 2024. Tout comme la loi sur la résilience opérationnelle numérique (DORA), la quantification du risque cyber (CRQ) permettra aux entreprises d’adopter une approche stratégique, quantifiée et structurée de la gestion de ce risque.
NIS 2 : Qui doit appliquer cette directive ?
La directive NIS 2 étend le champ d’application de la directive NIS 1 et s’applique désormais à de nouveaux secteurs qui n’étaient pas couverts par la législation sur la cybersécurité. Ces secteurs ne sont pas tous soumis aux mêmes restrictions, selon qu’ils figurent à l’annexe 1 ou à l’annexe 2 de la directive.
La nouvelle directive distingue deux types d’entités : les entités essentielles et les entités importantes. Une organisation est une « entité essentielle » si elle est grande ou moyenne, si elle emploie 50 personnes ou plus, si son chiffre d’affaires est supérieur ou égal à 20 millions d’euros et si son secteur d’activité est énuméré à l’annexe 1. Les « entités importantes » sont :
- les entités de taille moyenne exerçant des activités correspondant aux types d’identité de l’annexe 1
- Les entités moyennes et supérieures exerçant des activités correspondant à l’annexe 2.
La directive NIS 2 s’applique indirectement aux fournisseurs et prestataires de services des entités concernées, puisqu’elle impose l’obligation de sécuriser la chaîne d’approvisionnement des entités essentielles et importantes. Le nombre d’organisations concernées est donc plus élevé que prévu.
Quelles sont les principales exigences ?
Les entreprises concernées par NIS2 doivent mettre en place une série de mesures de cybersécurité. Ces mesures n’ont pas encore été précisées par l’ANSSI, chargée de transposer la directive en droit français. Sur la base de la directive, les organisations devront réfléchir à la gestion des crises cyber, notamment en mettant en place des plans de continuité d’activité (PCA), des plans de reprise d’activité (PRA) et des plans de gestion de sauvegardes. L’objectif est de savoir comment réagir en cas de cyberattaque et de s’assurer que l’impact sur l’entreprise est minimisé. En cas de crise, des solutions de communication sécurisées doivent être mises en place.
- Les mesures introduites par la directive NIS2 sont essentiellement techniques. Les organisations devront adopter des pratiques spécifiques pour assurer leur propre cybersécurité et celle de leur personnel : utilisation de solutions d’authentification multifactorielle ou continue, politiques et procédures en matière de cryptographie, politiques d’analyse des risques et de PSSI, etc. Une grande attention devra être portée à l’acquisition, au développement et à la maintenance des réseaux et services d’information, en mettant l’accent sur la gestion des vulnérabilités.
- La directive NIS2 contient également des mesures opérationnelles. Les organisations seront tenues de signaler les incidents de cybersécurité à un organisme spécialisé, le Computer Security Incident Response Team (CSIRT). En fonction de la gravité de l’incident, le CSIRT peut conseiller l’entité sur les procédures à mettre en place ou alerter d’autres États membres. La notification se déroule en trois étapes. Tout d’abord, les organisations doivent procéder à une « notification initiale » dans les 24 heures suivant l’incident. Elle doit ensuite procéder à une « notification détaillée » dans les 72 heures suivant l’incident. Enfin, l’organisation doit soumettre un « rapport final » au CSIRT le mois suivant. Ce processus permet non seulement d’apporter une réponse, mais aussi de documenter la gestion de la crise.
- Enfin, le NIS2 prévoit des mesures organisationnelles. Elle met également l’accent sur la responsabilité du conseil d’administration en matière de cybersécurité au sein de l’entreprise. Pour pouvoir prendre des décisions dans ce domaine, ses membres doivent être formés à la gestion des risques cybernétiques, afin de pouvoir évaluer l’impact sur les services fournis par l’entreprise et les procédures à mettre en place. Ils doivent également être en mesure d’approuver et de contrôler la mise en œuvre des mesures prises par les services informatiques. Le non-respect de la directive NIS2 expose le conseil d’administration à une responsabilité pénale et à des sanctions. Une organisation importante peut se voir infliger une amende de 10 millions d’euros ou de 2 % de son chiffre d’affaires annuel mondial. Pour une grande entreprise, l’amende peut atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.
La Quantification du risque cyber (CRQ) est le premier pas vers la conformité
L’utilisation d’une solution de quantification du risque cybernétique, également connue sous le nom de CRQ, est une première étape vers la conformité avec la NIS2, en particulier en ce qui concerne les mesures organisationnelles mentionnées ci-dessus.
Cette approche consiste à évaluer l’exposition d’une organisation au risque cyber, en utilisant des indicateurs financiers pour éclairer les décisions relatives à l’atténuation ou au partage du risque.
La quantification financière du risque cyber établit un langage commun entre les équipes techniques responsables de la cybersécurité et l’organe de direction. Ce dernier étant tenu pour responsable en cas d’incident ou de non-respect de la directive, l’utilisation de données financières permet d’instaurer un dialogue et de prendre les bonnes décisions en matière de gestion des risques.
Associée à une compréhension détaillée et contextualisée de la menace, la quantification du risque cyber aide les organisations à hiérarchiser les moyens de défense appropriés et à rationaliser leurs dépenses en matière de sécurité. Cette approche permet de mieux gérer les risques et leur impact sur les infrastructures critiques. Les organisations concernées par la NIS 2 peuvent donc aligner leurs mesures de sécurité sur les exigences de la directive européenne.
L’un des objectifs des solutions de quantification du risque cyber est de générer des indicateurs harmonisés pour estimer le niveau de risque auquel une organisation est exposée en termes financiers. Ces indicateurs sont ensuite utilisés pour démontrer les efforts de conformité à l’écosystème de gestion des risques de l’organisation : équipes informatiques, direction, assureurs, régulateurs, etc.
La quantification du risque cyber est basée sur des scénarios d’incidents (ou types d’attaques) et analyse leur impact financier estimé. Cette approche aide les organisations à élaborer des plans de réponse aux incidents solides, conformément à la directive NIS 2. Cela les rend plus résistantes et leur permet de se rétablir rapidement et efficacement en cas d’incident.
Enfin, la quantification du risque cyber est une méthode qui contribue à la gestion des risques liés à l’écosystème de l’organisation (fournisseurs, clients, partenaires, etc.), en particulier sa chaîne d’approvisionnement, car elle est prise en compte dans l’environnement de l’organisation, dont les risques sont quantifiés. La NIS 2 met en évidence l’importance de ces risques. Cela permet de s’assurer que les organisations ne limitent pas leur gestion des risques à leurs systèmes internes, mais considèrent également les risques liés aux acteurs externes.
La quantification du risque cyber n’est pas seulement un moyen de booster sa mise en conformité, mais c’est aussi une méthode qui permet de concentrer les efforts sur l’obtention de résultats. Elle reflète également une nouvelle approche minimaliste de la cybersécurité. L’utilisation d’une solution de quantification des cyber-risques s’inscrit donc dans une réflexion sur le ROI de la cybersécurité (ROSI), avec l’adoption de nouvelles pratiques, dont la NIS 2 peut être le point de départ.
Par exemple, la quantification du risque cybernétique à l’aide de la plateforme Citalid permet de mieux comprendre l’impact financier d’une attaque réussie sur une organisation, grâce à notre expertise dans plus de 1 000 scénarios modélisés.
Citalid: quantifier le risque et agir
La plateforme développée par Citalid est basée sur la méthodologie FAIR (Factor Analysis of Information Risk). Celle-ci part du principe que le risque cyber peut être quantifié en termes financiers en corrélant les facteurs qui déterminent la fréquence des attaques et le coût des attaques réussies.
Elle est également enrichie par l’expertise de l’entreprise en matière de cyber threat intelligence (CTI), grâce à la surveillance continue de plus de 700 acteurs de la cybercriminalité. En ajoutant ces éléments, la cybermenace est contextualisée, ce qui permet une analyse plus détaillée de l’exposition de l’organisation, en tenant compte de son environnement.
Citalid mesure de manière simple et fiable le risque financier supporté par l’organisation en fonction de ses vulnérabilités et du contexte des menaces. Parmi les cas d’utilisation offerts par la plateforme Citalid, la mise en place d’une feuille de route de cybersécurité permet de prioriser et d’évaluer les mesures de sécurité prises pour réduire le risque. Une fois le risque maîtrisé, et dans le cadre de la NIS2, il est possible de se concentrer sur d’autres tâches liées à la conformité : mise en place de plans PCA et PRA, sensibilisation et formation du personnel, etc.
L’ANSSI encourage les organisations concernées par le NIS 2 à s’assurer contre les risques cyber. Un autre cas d’usage de la plateforme Citalid est de mieux comprendre votre risque résiduel afin de mieux évaluer vos besoins de couverture et de cyberassurance. En tant qu’assuré, vous disposerez d’éléments factuels et mesurables à discuter avec votre assureur pour négocier et choisir la police d’assurance la plus adaptée à chaque entreprise.
Vous souhaitez mettre en œuvre une solution transparente et simple de quantification des risques dans le cadre de votre processus de conformité NIS 2 ou DORA ? Réservez votre démo dès maintenant.