NIS 2 : les raisons de choisir Tixeo pour votre conformité
/
Share
Link
Embed
Recourir à une solution de communication sécurisée ne sera plus l’exception des OIV avec la Directive NIS 2. Des organisations dans de multiples secteurs (transports, administrations publiques, eau potable ou gestion des déchets…) doivent renforcer leur cybersécurité et la confidentialité de leurs échanges en ligne.
Qu’est-ce que la Directive NIS 2 ?
La Directive NIS 2 succède à la Directive« Network and Information Security » (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Cette nouvelle version a pour objectif principal d’élargir le périmètre des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience.
Avec l’entrée en vigueur de la Directive en octobre 2024, des milliers d’organisations européennes devront assurer aux normes de conformité exigeantes de NIS 2. En effet, de plus en plus d’entreprises et d’institutions sont concernées par les risques de cyberattaques et leurs conséquences graves, notamment sur le plan financier.
La Directive NIS 2 emploie donc une « approche tous risques » pour élever le niveau de sécurité informatique des organisations. Elle recommande ainsi la combinaison de multiples stratégies cyber. Parmi elles :
l’analyse des risques,
le traitement des incidents,
la continuité des activités,
la sécurité de la chaîne d’approvisionnement,
ou encore l’utilisation de solutions de communication sécurisés
Comment analyser les risques liés aux communications en ligne ?
Utiliser un logiciel de visioconférence non sécurisé pour les réunions en ligne expose les organisations à trois risques principaux :
l’espionnage des communications, qui engendre des vols de données sensibles voire même classifiées,
la perte d’activité, liée à la compromission de l’outil de communication principal, et entraînant l’impossibilité pour les équipes de rester en lien et d’assurer la continuité d’activité,
un coût financier important, consécutif aux deux risques précédents et à l’impact négatif de ces incidents sur la réputation de l’organisation.
Dans son dernier panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a d’ailleurs observé une augmentation de l’espionnage, ciblant notamment des entreprises de la base industrielle et technologique de défense (BITD).
Pour la conformité NIS 2, les DSI et RSSI des secteurs critiques concernés doivent donc aujourd’hui quantifier la masse d’informations transitant via leur outil de communication et de visioconférence et qualifier leur sensibilité. Ils pourront ainsi évaluer les risques et leurs conséquences financières à l’échelle de leur organisation et les comparer au coût d’une solution de visioconférence sécurisée.
Les enjeux de la visioconférence sécurisée pour la conformité NIS 2
L’utilisation de solutions de communication sécurisées fait partie des moyens pour limiter les risques de cybersécurité et assurer la cyber-résilience.
Continuité des activités
L’article 21.2.c sur la continuité des activités de la Directive NIS 2 indique que les mesures de sécurité mises en place dans les organisations doivent permettre « la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ». Le déploiement d’une solution de communication sécurisée constitue un des leviers pour permettre aux équipes de poursuivre leurs échanges en toutes circonstances.
Confidentialité des communications
Parmi les recommandations de la Directive NIS 2, on retrouve également la mise en place de « politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement » (article 21.2.h). et de « solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence ».Les solutions de visioconférences sécurisées, chiffrées de bout en bout, garantissent la confidentialité des flux de communication, notamment lors de situations d’urgence.
Pour assurer la conformité à NIS 2, la solution de communication sécurisée choisie doit à la fois :
proposer une technologie et des fonctionnalités de collaboration fiables
et répondre aux besoins les plus stricts de l’organisation en matière de sécurité informatique et de protection des données et flux de communication.
Pourquoi choisir Tixeo pour se conformer à NIS 2 ?
Origine de la solution
Pour une solution de visioconférence sécurisée, la souveraineté est cruciale. Elle garantit non seulement la sécurité des données mais aussi l’autonomie stratégique des entreprises et des organisations européennes.
Tixeo a choisi de concevoir sa solution en totale indépendance. L’éditeur français propose une technologie propriétaire qui limite les dépendances technologiques et les failles de sécurité externes. De plus, ses solutions dans le cloud sont hébergées auprès d’opérateurs souverains, localisés en Europe et conformes au RGPD. Les données des utilisateurs bénéficient donc d’une totale protection.
Déploiement on-premise
Grâce à son déploiement on-premise, la visioconférence sécurisée Tixeo peut fonctionner sur un réseau dédié dans l’organisation. En d’autres termes, dans le cas d’une compromission de l’accès à Internet ou de la solution collaborative principale, Tixeo sera toujours opérationnelle pour permettre des communications out-of-band. Cela est particulièrement recommandé avec NIS 2 pour la continuité d’activité.
En cas de crise, les équipes peuvent poursuivre leurs réunions en ligne et assurer la reprise d’activité dans les meilleurs délais.
Par ailleurs, l’open-space virtuel chiffré de bout en bout Tixeo offre la possibilité de créer des espaces de travail collaboratifs. Ceux-ci permettent de mieux structurer les échanges liés à la gestion de crise. À la clé, une amélioration de l’agilité dans l’organisation.
Enfin, le déploiement on-premise de Tixeo nécessite l’ouverture d’un seul port réseau. À la clé, une limitation ce des impacts sur la politique de sécurité informatique de l’entreprise. La rapidité et la fiabilité du déploiement répondent aux exigences de sécurité les plus strictes, notamment en situation de crise.
Il est ainsi impossible pour une personne extérieure à une réunion en ligne, comme pour l’éditeur lui-même, d’accéder aux communications qui transitent par la solution. Le partage des fichiers et la messagerie instantanée en réunion sont également chiffrés de bout en bout.
Cette fiabilité technologique s’ajoute à la garantie de souveraineté du chiffrement Tixeo. En effet, en tant que technologie française respectant le RGPD, la solution n’est ainsi soumise à aucune loi extraterritoriale. Nul ne peut obliger Tixeo à autoriser l’accès aux données de ses visioconférences.
La visioconférence sécurisée Tixeo s’adapte aux besoins des organisations en matière d’intégration et de sécurité informatique. Sa scalabilité lui permet d’augmenter les usages de la visioconférence sans impacter les applications métiers. Dans des circonstances exceptionnelles, Tixeo accompagne ainsi les organisations pour leur permettre de réagir au plus vite et de poursuivre leurs communications en toute sécurité.
Choisir Tixeo pour la conformité à NIS 2 présente donc trois bénéfices principaux :
D’abord, la solution préserve la confidentialité des échanges sensibles, relatifs notamment aux procédures d’urgences en cas de crise,
D’autre part, avec un déploiement on-premise, Tixeo assure la continuité des échanges internes (même sans Internet) et pallie à la compromission de la solution de communication principale,
Enfin, en situation critique, recourir à Tixeo déjà déployé en interne évite d’utiliser dans l’urgence des solutions de communication non sécurisées, pouvant présenter des failles de sécurité.
Tixeo, unique solution de visioconférence sécurisée certifiée et qualifiée par l’ANSSI
Depuis 2017, Tixeo bénéficie de la reconnaissance de l’Etat français grâce à sa certification et sa qualification de l’ANSSI.
Plus qu’une simple démarche marketing, le passage en certification et qualification est un exercice de transparence et de fiabilité. Tixeo l’a déjà réalisé à 6 reprises et avec succès.
De plus, Tixeo évolue dans l’écosystème cyber français et européen depuis plusieurs années. La solution de visioconférence sécurisée souveraine a notamment obtenu :
En conclusion, la conformité à NIS 2 devient une obligation légale pour de nombreuses organisations. Cela concerne notamment les fournisseurs de services essentiels dans les secteurs de l’énergie et les transports ou encore les fournisseurs numériques. Le non-respect de ces normes de conformité peut entraîner de lourdes sanctions financières et nuire à la réputation de l’entreprise. Par conséquent, mettre en place une stratégie de conformité NIS 2 constitue également une étape essentielle pour assurer la pérennité de l’entreprise face aux cybermenaces.
La Directive NIS 2 est la nouvelle version de la Directive “Network and Information Security” (NIS), adoptée en 2016 par le Parlement européen et le Conseil de l’Union européenne. Elle élargit le champ des secteurs concernés par le renforcement de la cybersécurité et de la cyber-résilience. Entrant en vigueur en octobre 2024, elle impose à des milliers d’organisations européennes de respecter des normes de conformité strictes pour se protéger contre les cyberattaques.
Quels sont les principaux risques liés aux communications en ligne non sécurisées ?
Utiliser une solution de communication non sécurisée expose les organisations à :
1. L’espionnage des communications, entraînant des vols de données sensibles. 2. La perte d’activité, due à la compromission de l’outil de communication principal. 3. Des coûts financiers importants, résultant des incidents de sécurité et de l’impact sur la réputation de l’organisation.
Comment une solution de communication sécurisée aide-t-elle à la conformité NIS 2 ?
Une solution de communication sécurisée :
1. Assure la continuité des activités en permettant aux équipes de continuer à échanger même en cas de crise. 2. Garantit la confidentialité des communications grâce à des technologies de cryptage avancées, recommandées par la Directive NIS 2. 3. Répond aux exigences de sécurité informatique et de protection des données, cruciales pour la conformité.
Pourquoi choisir Tixeo pour se conformer à la Directive NIS 2 ?
Tixeo présente plusieurs avantages pour la conformité à NIS 2 :
1. Origine souveraine : Solution française, indépendante technologiquement et hébergée en Europe, conforme au RGPD. 2. Déploiement on-premise : Fonctionne sur un réseau dédié, assurant la continuité d’activité même sans accès à Internet. 3. Chiffrement de bout en bout : Garantit la confidentialité des flux de communication, impossible à intercepter par des tiers. 4. Flexibilité et scalabilité : S’adapte aux besoins des organisations, permettant une augmentation des usages sans compromettre la sécurité.
Quels labels de sécurité et de conformité Tixeo a-t-elle obtenus ?
Tixeo a reçu plusieurs labels de reconnaissance, tels que :
1. Label France Cybersecurity pour la sécurité des données et le chiffrement. 2. Label Cybersecurity Made in Europe de la European Cyber Security Organisation (ECSO).
Quelles sont les conséquences du non-respect de la Directive NIS 2 ?
Le non-respect des normes de conformité de la Directive NIS 2 peut entraîner des sanctions financières sévères et porter gravement atteinte à la réputation de l’organisation. Assurer la conformité est donc essentiel pour protéger l’entreprise contre les cybermenaces et garantir sa pérennité.
En quoi consiste la certification et la qualification ANSSI de Tixeo ?
Depuis 2017, Tixeo est certifiée et qualifiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations). Cette certification est un gage de transparence et de fiabilité, obtenue à six reprises. Elle atteste de la robustesse et de la sécurité de la solution de visioconférence Tixeo.
Tribune de Fabien Lavabre, Responsable sécurité chez Tixeo
Fin 2024, les pays membres de l’Union européenne devront avoir transposé la Directive NIS 2 (Network Information and security) dans leurs lois nationales. Alors que la cybercriminalité ne cesse de croître, ce nouveau texte a pour ambition d’élargir le renforcement de la cybersécurité et de la cyber-résilience de milliers d’entités européennes.
Mais dans un contexte de pénurie de talents et de contraintes budgétaires fortes. Comment les entreprises vont-elles s’organiser pour se conformer à une énième réglementation européenne exigeante ?
De la genèse vers de plus grandes ambitions
Si la directive NIS 1 affichait comme objectif d’élever le niveau commun de cybersécurité des États membres de l’Union Européenne et de mieux protéger les entreprises les plus sensibles (Opérateurs de Services Essentiels), elle constituait surtout une réaction aux nombreuses cyberattaques perpétrées contre l’Europe entre 2005 et 2016. Dans les faits, cette directive n’a été que peu appliquée, notamment en raison des faibles sanctions réellement prononcées.
NIS 2 vient donc élargir le périmètre des entités concernées à 18 secteurs d’activité, comme les administrations publiques, et à des milliers d’entreprises et de sous-traitants. Avec deux objectifs à relever :
s’adapter aux cyberattaques d’aujourd’hui qui ciblent tout type d’entité (de la petite PME au groupe du CAC 40),
forcer l’application du texte, en appliquant des sanctions similaires à celles prévues par le RGPD et en augmentant leur montant (basé sur le nombre d’employés et le Chiffre d’Affaires) ainsi que le nombre de contrôles.
Une mise en œuvre complexe de la directive NIS 2
Pour répondre à son ambition, NIS 2 reprend principalement les mesures de la norme ISO/IEC 27001. Celles-ci, au-delà d’imposer des critères techniques avancés, impliquent la mise en place de changements structurels et organisationnels.
La Directive y ajoute quelques spécificités, comme la création des Entités Essentielles (EE) et des Entités Importantes (EI). Une classification qui permet d’adapter les exigences à la fois au niveau de risque et au poids de l’organisation et ainsi d’améliorer la proportionnalité des sanctions. Quoi qu’il en soit, une entité déjà certifiée ISO 27001 ne devrait pas avoir de gros efforts à faire pour se mettre en conformité à NIS 2.
À l’inverse, les organisations qui n’ont pas ou peu de culture en cybersécurité vont devoir investir énormément de ressources humaines et financières, pour structurer leur sécurité de manière organisationnelle et adapter leur gouvernance.
Se pose alors la problématique de la pénurie des talents en cybersécurité. NIS 2 devrait concerner au moins 6000 entreprises en France, et plus de 100.000 au niveau européen. Or, en 2023, Cybersecurity Ventures indiquait que 3,5 millions de postes en cybersécurité étaient toujours à pourvoir. Et qu’en parallèle, depuis 2011, le taux de chômage du secteur est à 0%.
L’application de la NIS 2 va se heurter à la réalité du terrain : engager un spécialiste en cybersécurité ne sera possible que pour les sociétés capables de payer des prestations qui devraient être revues à la hausse.
Trois défis majeurs pour les entreprises européennes concernées
Les entreprises devront relever plusieurs défis pour se mettre en conformité avec cette nouvelle directive.
D’abord, elles devront s’y retrouver dans la complexité des textes de lois européens, toujours plus nombreux et exigeants. En effet, NIS 2 est un énième texte réglementaire sur la cybersécurité, un de plus au niveau mondial. Entre les mises à jour et les nouveautés concernant les normes internationales, les frameworks et les types de réglementations (règlements, directives, lois, décrets, arrêtés…), les entités concernées doivent suivre la marche. D’autant plus que d’autres textes européens arrivent comme l’IA Act (proposition de règlement européen sur l’intelligence artificielle) et deux projets de certifications de cybersécurité européennes (EUCC pour les produits TIC et l’EUCS pour le cloud).
Ensuite, les entités devront trouver des ressources humaines suffisamment qualifiées et expérimentées (juristes, consultants, RSSI…) pour répondre à toutes ces exigences.
Enfin, elles devront sélectionner, parmi les multiples produits de sécurité du marché, ceux qui leur conviennent. Le coût cumulé sera non négligeable. Ces dépenses sont certes nécessaires mais loin d’être à la portée financière de petites entités. Même si certains éditeurs ont anticipé cette problématique et adapté leurs offres pour s’adresser au plus grand nombre.
Et si NIS 2 était trop ambitieuse ?
Volonté utopique et politique, la Directive NIS 2 promet d’imposer un socle de sécurité commun à différents secteurs dont font partie des milliers d’organisations. Mais cette mise en œuvre paraît trop ambitieuse car elle s’appuie sur un écosystème fragilisé par le manque de ressources humaines. Les organisations devront être guidées, notamment avec des plans de formations ou des subventions, afin de réaliser leur mise en conformité.
Dans un univers de la cybersécurité où la gestion du risque est primordiale, les entreprises devront soigneusement évaluer le rapport entre les ressources investies dans la mise en conformité à NIS 2, en tenant compte de la probabilité des risques encourus, et des amendes potentielles.
Après NIS 1 en 2016, NIS 2 en 2023, quid de NIS 3 ? en 2030 ? L’Europe décidera-t-elle de poursuivre l’élargissement des mesures aux toutes petites entreprises ou rajoutera-t-elle de nouvelles exigences aux EE et EI ? Une chose est sûre : l’accompagnement renforcé des entités et la simplification de cet arsenal législatif pourraient être les bienvenus.
FAQ :
Qu’est-ce que la Directive NIS 2 ?
La Directive NIS 2 (Network and Information Systems) est une réglementation de l’Union Européenne visant à améliorer la cybersécurité et la cyber-résilience des infrastructures critiques. Elle étend les obligations de sécurité à 18 secteurs d’activité critiques et impose des mesures strictes pour la protection des réseaux et des systèmes d’information.
Quels sont les objectifs principaux de la Directive NIS 2 ?
La Directive vise à renforcer la cybersécurité des entités dites “essentielles” ou “importantes” grâce à différentes stratégies comme l’analyse des risques, le traitement des incidents ou encore la continuité des activités. Son ambition est d’harmoniser les exigences de sécurité à travers l’UE.
Pourquoi est-il essentiel de se conformer à la Directive NIS 2 ?
Se conformer à la Directive NIS 2 est crucial pour éviter des sanctions sévères et garantir la continuité des activités en cas d’incident cyber. La conformité assure également une protection accrue des données sensibles et renforce la confiance des clients et partenaires.
Comment Tixeo aide-t-elle à se conformer à la Directive NIS 2 ?
Tixeo propose une solution de visioconférence sécurisée, certifiée et qualifiée par l’ANSSI, qui répond aux exigences strictes de la Directive NIS 2.
Quelles sont les innovations de Tixeo en matière de visioconférences sécurisées ?
Depuis plus de 10 ans, Tixeo développe sa propre technologie de chiffrement de bout en bout. La conception de la solution répond aux principes du Secure by Design, intégrant la sécurité dès les premières étapes de développement du logiciel.
Qui est concerné par la Directive NIS 2 ?
La Directive concerne plus de 100 000 organisations européennes dans des secteurs critiques comme l’énergie, les transports, les banques, les infrastructures du marché financier, la santé, l’eau potable et les infrastructures numériques.
Quelles sanctions sont prévues en cas de non-conformité à la Directive NIS 2 ?
Les sanctions pour non-conformité incluent des amendes significatives et des mesures correctives imposées par les autorités compétentes. La Directive prévoit également des mécanismes de surveillance et de sanctions harmonisés au niveau de l’UE.
Quelles sont les étapes pour se conformer à la Directive NIS 2 ?
Pour se conformer à la Directive NIS 2, les entreprises doivent effectuer une évaluation des risques et allouer des ressources humaines spécialisées afin de mettre en place des mesures de sécurité appropriées. Elles devront aussi surveiller et signaler les incidents et assurer la formation et la sensibilisation de leur personnel, et notamment de leurs dirigeants, à la cybersécurité.
Avec l’application prochaine de la directive NIS 2 en Europe, les opérateurs de services essentiels (OSE) et les opérateurs d’importance vitale (OIV) se préparent à de nouvelles obligations pour renforcer leur cybersécurité.
Une nouvelle dénomination pour les OSE
La création des entités essentielles (EE) et entités importantes (EI)
Cette évolution de la directive NIS 1 a pour principal objectif de maximiser la sécurité des réseaux et des systèmes d’informations des organisations européennes sensibles. Parmi ses changements, la fin de la dénomination OSE (opérateur de services essentiels). Celle-ci désignait jusqu’alors les services essentiels dont l’arrêt de l’activité impacterait fortement le fonctionnement de l’économie ou de la société française.
La Directive NIS 2 efface la dénomination OSE au profit de deux catégories d’entités :
Les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques.
Les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.
Les « Fournisseurs de service numérique » font partie de ces catégories. À noter qu’il n’y a pas de modification de la dénomination OIV (opérateurs d’importance vitale). Ces derniers sont concernés par NIS 2.
Les obligations pour les entités essentielles, entités importantes et OIV
Recourir à des solutions de sécurité labellisées ANSSI
Parmi les mesures de sécurité préconisées par NIS 2, on retrouve « l’utilisation de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins. ». Pour les OIV, le recours à des solutions de sécurité labellisées par l’ANSSI, grâce à son Visa de sécurité, est déjà obligatoire. En effet, en cas de crise, les opérateurs d’importance vitale doivent réagir vite et faire preuve de résilience. Les solutions de communications sécurisées sont donc indispensables. Elles permettent aux collaborateurs de poursuivre leur activité. Différentes technologies, comme le chiffrement de bout en bout, garantissent la protection des données.
Visa de sécurité ANSSI : un gage de fiabilité Le Visa de sécurité de l’ANSSIpermet d’identifier facilement les solutions de cybersécurité les plus fiables. Celles-ci ont été vérifiées et évaluées par des laboratoires agréés.
Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout.
Protéger l’architecture réseau
La directive NIS 2 préconise le cloisonnement des réseaux et les accès distants. C’est le cas notamment dans le cadre de l’utilisation de solutions de sécurité on-premise. Celles-ci devront pouvoir être fonctionnelles dans un réseau isolé. L’organisation devra également connaître l’ensemble de leurs impacts sur son architecture réseau.
Les bénéfices de la visioconférence sécurisée on-premise
TixeoServer est la solution de visioconférence sécurisée on-premise de Tixeo, certifiée et qualifiée par l’ANSSI. La sécurité fait partie de toutes les étapes de sa conception jusqu’à son déploiement. Ainsi, son installation nécessite de n’ouvrir qu’un seul port réseau, afin de limiter les impacts sur la politique de sécurité du système d’information de l’organisation.
Faire appel à des sous-traitants et prestataires de services sécurisés
Les acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services, sont soumis à la Directive NIS 2. En effet, ces derniers bénéficient généralement d’un accès à l’infrastructure de leur client et représentent ainsi un risque de sécurité. En cas de failles de sécurité au sein de leur infrastructure, la sécurité du réseau des entités plus ou moins critiques pour lesquels ils travaillent serait impactée.
Les OIV désignent des organisations opérant des activités critiques et hautement indispensables pour la nation, dont la coupure aurait de graves dommages économiques ou sécuritaires.
Qu’est-ce qu’un OSE (Opérateur de Services Essentiels) ?
Selon l’ANSSI, un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Quelles sont les obligations des OIV et des OSE en matière de cybersécurité ?
Les OIV et les OSE doivent se conformer à des réglementations strictes en matière de cybersécurité pour protéger les infrastructures critiques.
1. Mettre en place des mesures de sécurité renforcées pour protéger leurs systèmes d’information critiques. 2. Signaler tout incident de sécurité à l’ANSSI. 3. Se conformer aux contrôles de conformité effectués par l’ANSSI ou par des prestataires agréés. 4. S’assurer que leurs sous-traitants respectent les mêmes standards de sécurité.
Comment un organisme est-il désigné comme OSE ?
L’ANSSI, en collaboration avec les ministères concernés, propose une liste d’OSE potentiels. La désignation suit un processus contradictoire impliquant l’envoi d’une lettre d’intention à l’opérateur pressenti, qui peut répondre avec des réserves. La décision finale est prise par le Premier ministre, basée sur l’impact potentiel d’une interruption du service sur la société et l’économie.
Quels secteurs sont concernés par les statuts OIV et OSE ?
Les secteurs essentiels comme l’énergie, les transports, la santé, les télécommunications et les services financiers sont visés par les statuts OIV et OSE en raison de leur importance stratégique et de leur vulnérabilité aux cyberattaques. Leur protection est cruciale pour la stabilité et la sécurité de notre société. Avec la directive NIS 2, la dénomination OSE est effacée au profit de deux catégories d’entités : les entités essentielles et les entités importantes.
Quelles sanctions sont prévues en cas de non-conformité ?
Les entités essentielles et les entités importantes qui ne répondent pas aux exigences de la directive NIS 2 s’exposent à des amendes administratives dont le montant pourrait aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel de l’entité concernée. Concernant les OIV, en cas de non-conformité, les dirigeants encourent une amende de 150 000 €, qui peut aller jusqu’à 750 000 € pour une personne morale.
Quels sont les principales exigences de NIS 2 pour les entités essentielles et importantes (anciennement OSE) ?
Avec la directive NIS 2, le périmètres des OSE s’élargit. Les entités importantes regroupent désormais les acteurs de la chaîne d’approvisionnement, sous-traitants ou prestataires de services. La directive préconise également le cloisonnement des réseaux et les accès distants, ainsi que l’utilisation de solutions de communications sécurisées. Les entités ont également l’obligation d’informer les autorités compétentes dans les plus brefs délais en cas d’incident (alerte précoce dans les 24 heures et notification formelle dans les 72 heures).
Cette réglementation en matière de cybersécurité à l’échelle européenne est inédite. Ses exigences sont nombreuses afin que les organisations européennes justifient d’un niveau élevé commun en matière de sécurité informatique. Les entreprises vont devoir s’y conformer, et vite. Voici les principales évolutions de la nouvelle directive NIS 2.
NIS 2 : un élargissement du champ d’action de NIS 1
En 2016, la directive « Network and Information Security » (NIS) était adoptée par le Parlement européen et le Conseil de l’Union européenne. Son objectif principal était d’augmenter le niveau de cybersécurité d’organisations majeures dans une dizaine de secteurs d’activité à haut risque. En France, cela représentait une centaine d’acteurs.
Avec l’intensification des cybermenaces, dans un contexte géopolitique tendu, de plus en plus d’entreprises et d’institutions sont concernées par les risques d’incidents informatiques.
C’est pourquoi, l’Europe a publié, dès la fin de l’année 2022, une extension de cette directive NIS 1 avec NIS 2. Son but est d’élargir le périmètre des secteurs concernés et de renforcer les exigences en matière de cybersécurité.
De ce fait, cette nouvelle directive emploie une « approche tous risques ». Autrement dit, elle oblige un large panel d’organisations à mieux protéger leurs réseaux et systèmes d’informations, grâce à la combinaison de multiples stratégies cyber. Parmi elles :
l’analyse des risques,
le traitement des incidents,
la continuité des activités,
la sécurité de la chaîne d’approvisionnement,
ou encore l’utilisation de systèmes de communication d’urgence sécurisés au sein de l’organisation.
Tous les secteurs (ou presque) sont concernées
NIS 2 concernera désormais des milliers d’entités, dans plus de 18 secteurs d’activité. Toutes les entités privées ou publiques de plus de 50 personnes, ou avec un chiffre d’affaires dépassant 10 millions d’euros sont concernées. Parmi elles figurent des entreprises du numérique ou certaines administrations ou collectivités, particulièrement ciblées par des cyberattaques ces derniers mois. Ces secteurs sont classés dans deux catégories : les secteurs hautement critiques et les secteurs critiques.
Dans les secteurs classés comme hautement critiques, on trouve :
l’énergie
les transports
le secteur bancaire
les infrastructures des marchés financiers
la santé
l’eau potable
les eaux usées
l’infrastructure numérique
la gestion des services TIC
l’administration publique
l’espace
Les secteurs considérés comme critiques sont :
les services postaux et d’expédition
la gestion des déchets
la fabrication, production et distribution de produits chimiques
la production, transformation et distribution des denrées alimentaires
la fabrication
les fournisseurs numériques
la recherche
Deux nouvelles catégories d’entités (EE et EI)
L’autre nouveauté apportée par NIS 2 est le classement des entités en deux catégories distinctes : les entités essentielles (EE) et les entités importantes (EI). Ce classement se fait en fonction du niveau de criticité, des effectifs et du chiffre d’affaires mondial des entreprises concernées. Une grande entreprise emploie au moins 250 personnes et/ou a un chiffre d’affaires annuel de 50 millions d’euros minimum. Une moyenne entreprise emploie au moins 50 personnes et/ou a un chiffre d’affaires annuel de plus de 10 millions d’euros.
Ainsi, les entités essentielles regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques. Les entités importantes concerneraient principalement les grandes et moyennes organisations dans les secteurs classés comme critiques et les moyennes organisations classées dans les secteurs hautement critiques. Cette distinction permettra d’adapter les exigences mais aussi les sanctions à l’égard des organisations et ce, de façon proportionnelle, en fonction de leurs moyens et des enjeux liés à la protection de leurs données.
À noter que dans certains secteurs, le fort niveau de criticité pourra justifier une désignation comme entité essentielle, et ce quel que soit la taille de l’organisation. C’est le cas notamment des entités identifiées comme critiques au niveau national par la directive CER.
Enfin, avec la directive NIS 2, le régime de sanction est également renforcé. Une organisation qui ne met pas en place les mesures de gestion de risques appropriées ou qui ne notifient pas assez rapidement un incident de sécurité risquera une amende proportionnelle à son chiffre d’affaires et à son niveau de criticité. Les entreprises pourront ainsi être soumises à des amendes comprises entre 1,4% à 2% de leur chiffre d’affaires, pouvant aller jusqu’à 10 millions d’euros.
De plus, les États membres de l’Union européenne sont en mesure d’exiger auprès des entités la réalisation d’audits ou d’inspections. Si besoin, ils pourront prononcer des avertissements et consignes.
Focus sur deux nouvelles obligations pour les organisations
Signalement des incidents de sécurité
Avec NIS 2, à la survenue d’un incident de cybersécurité, les organisations disposeraient d’un délai de 24 heures pour le signaler à l’ANSSI. Ce délai n’est pas encore définitif et pourra être revu avant la transposition nationale de la directive. Pour autant, l’ensemble des organisations concernées par NIS 2 devront s’organiser pour réagir vite. Cette notification initiale s’apparente à un rapport préliminaire, qui devra être complété par un rapport final. L’objectif est d’améliorer la réactivité des autorités lors d’un incident et de tracer plus précisément les cyberattaques.
Formation des dirigeants, managers et collaborateurs à la cybersécurité
La formation interne est un point clé de cette nouvelle directive et encourage une prise de conscience massive du sujet de la cybersécurité.
En effet, l’enjeu principal de NIS 2 est d’obliger la mise en place de mesures techniques, mais aussi et surtout de mesures opérationnelles et organisationnelles. L’organisation toute entière doit être mobilisée pour sa cybersécurité et non uniquement le service informatique. C’est pourquoi, la directive prévoit une obligation de formation en cybersécurité des dirigeants, lesquels devront systématiquement approuver l’ensemble des mesures de sécurité. D’autant plus que les dirigeants représentant l’organisation pourront être tenus responsables en cas de non-respect des obligations de la directive.
Dans cette optique de généraliser la cybersécurité à toutes les fonctions, la directive NIS2 pourrait redéfinir la fonction de DPO (Déléguée à la protection des données personnelles) en lui allouant des missions relatives à l’application de cette directive. Des nouvelles tâches qui seront en cohérence avec celles pour le respect du RGPD (Règlement Général sur la Protection des Données). Une façon de considérer la cybersécurité comme un risque juridique, et non plus comme l’apanage des RSSI.
À quelle date les organisations devront-elles s’y conformer ?
D’abord, la directive sera transposée à l’échelle nationale dans les 27 pays de l’UE dès le 17 octobre 2023. Puis, elle sera inscrite dans la loi dès septembre 2024 et devra s’appliquer de façon obligatoire à toutes les entreprises et administrations concernés. Pour autant, les organisations doivent se préparer dès à présent à ces nouvelles normes de cybersécurité, en augmentant leur niveau de sécurité. Ainsi, elles pourront pallier à l’augmentation croissante des cybermenaces.
Comment se préparer à NIS 2 ?
Dès maintenant, les organisations concernées par la Directive NIS 2 peuvent se faire accompagner par des experts afin d’évaluer le niveau de sécurité de leur système d’informations et recevoir des préconisations.
En tant que prestataire de confiance, certifié et qualifié par l’ANSSI, Tixeo accompagne les OSE et OIV dans leur mise en conformité NIS 2. En effet, l’utilisation de systèmes de communication sécurisés fait partie des recommandations pour assurer une continuité d’activité en cas de crise. La protection des communications en ligne est ainsi gage de cyber résilience des organisations.
C’est une réglementation européenne qui s’applique à des milliers d’organisations dès octobre 2024 et vise à améliorer la cybersécurité et la résilience des infrastructures critiques.
Pourquoi NIS 2 est-elle une étape importante dans la régulation de la cybersécurité ?
Face à l’augmentation et la sophistication des cyberattaques, la Directive NIS 2 améliore la gestion des risques cyber des organisations critiques ainsi que leur cybersécurité et vise à garantir leur continuité d’activité.
En quoi NIS 2 est-elle une évolution de la directive précédente ?
Elle élargit le périmètre des entités concernées, augmente les sanctions et renforce les exigences de sécurité.
Quels sont les changements à prévoir ?
La dénomination OSE (opérateurs de services essentiels), qui désignait jusqu’alors les services essentiels s’efface avec NIS 2 au profit de deux catégories d’entités : les entités essentielles (EE) et les entités importantes (EI). Le recours à des solutions de communications audio et vidéo sécurisées devient fortement recommandé pour de nombreuses entreprises.
Quelles sont les entreprises concernées ?
Les entreprises évoluant au sein de 18 secteurs d’activité, dont l’énergie, les transports, les banques, la santé et les infrastructures numériques sont concernés.
Qui est concerné par la directive NIS 2 ?
Plus de 100 000 organisations européennes dans des secteurs critiques ou hautement critiques.
Pourquoi les sous-traitants sont-ils inclus dans cette directive ?
Pour garantir la sécurité tout au long de la chaîne d’approvisionnement des services essentiels.
Quel est l’objectif de la directive NIS 2 ?
Renforcer la cybersécurité des entités essentielles et importantes en harmonisant les exigences de sécurité dans l’UE.
Quel est le contenu de la nouvelle version de la directive ?
Elle inclut des mesures de sécurité avancées, une classification des entités et des sanctions proportionnées.
Quels sont les différents critères à étudier dans la directive ?
Les critères techniques de sécurité, les exigences organisationnelles et les mesures de surveillance et de sanction.
Quelles sont les obligations imposées par la directive NIS 2 ?
L’analyse des risques, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, ou encore l’utilisation de solutions de communication sécurisés.
Quelles sont les nouvelles obligations pour les dirigeants ?
La directive oblige notamment les dirigeants à se former en cybersécurité. Leur responsabilité est pleinement engagée et leur validation systématique pour les mesures de sécurité mises en place.
Que doivent réaliser les entreprises concernées ?
Les entreprises doivent évaluer leurs risques cyber, mettre en place des mesures de cybersécurité adaptées, surveiller et signaler les incidents, assurer leur continuité d’activité et former leur personnel à la cybersécurité.
Comment devront être formalisées les obligations pour les entreprises ?
Les obligations devront être documentées et intégrées dans les politiques de sécurité de l’entreprise, avec des mesures concrètes et auditées.
Quel est le rôle de l’ANSSI dans cette démarche ?
L’ANSSI est chargée de surveiller la mise en œuvre de la directive en France et de garantir la conformité des entreprises aux exigences de cybersécurité.
Quand la directive NIS 2 entrera-t-elle en vigueur ?
Elle doit être transposée et appliquée dans les législations nationales des États membres de l’UE d’ici fin 2024.
Quelle sera la transposition de cette directive dans la législation française ?
Elle sera intégrée dans le droit national avec des adaptations spécifiques pour les entreprises françaises.
Quelles sont les sanctions prévues en cas de non-respect de la directive NIS 2 ?
Des amendes importantes, proportionnées et des mesures correctives peuvent être imposées par les autorités.
Comment Tixeo aide-t-elle à se conformer à la directive NIS 2 ?
Tixeo propose une solution de visioconférence sécurisé, certifiée et qualifiée par l’ANSSI, pour répondre aux exigences de protection des communications et de continuité d’activité figurant dans la directive.
Les Jeux Olympiques et Paralympiques 2024 sont placés sous haute surveillance, en raison de la menace terroriste, mais aussi des risques cyber. Focus sur les principales cybermenaces qui pèsent sur ces JO et leur organisation.
Quel est l’état de la menace cyber ?
Dans le contexte géopolitique tendu actuel, les cybermenaces se sont intensifiées depuis plusieurs mois.
Avec leur envergure mondiale, les JO 2024 vont forcément accentuer l’attention de groupes cybercriminels sur la capitale française. La France accueille pour la première fois depuis 100 ans les Jeux Olympiques et Paralympiques : 13 millions de spectateurs sont attendus et pas moins de 15 000 athlètes. Même si le pays et l’ensemble des parties prenantes se préparent depuis plusieurs années, l’interconnexion des systèmes et les niveaux de cybersécurité hétérogènes des organisations en font un événement à haut risque. L’ANSSI a d’ailleurs alloué un budget de 17 millions d’euros pour renforcer les capacités de cybersécurité lors de ces Jeux.
La sécurité IT des systèmes d’informations et des réseaux des entreprises et des administrations publiques face à ces cybermenaces est fondamentale, tout comme leur préparation à surmonter les potentielles crises.
Les principales cybermenaces pendant les JO 2024
Ransomware et vols d’informations sensibles
En France, en 2023, les attaques par ransomware (ou rançongiciels) ont augmenté de 30 % en par rapport à 2022, selon le dernier panorama de la cybermenace de l’ANSSI. En mars dernier, le dernier baromètre de Cybermalveillance.gouv.fr indiquait même qu’elles représentent une des principales menaces cyber aujourd’hui.
Pour rappel, les ransomware consistent à chiffrer et à bloquer toutes les données d’un appareil (via un logiciel malveillant) et d’exiger une rançon pour obtenir leur déchiffrement. En réalité, le paiement de la rançon est toujours proscrit puisqu’il ne garantit jamais la libération des données.
Les ransomware entraînent généralement des fuites de données importantes : pendant les JO, ce type d’attaques peut cibler des entreprises directement impliquées dans l’événement (sociétés de transports, hôtellerie, billetteries…).
Espionnage des communications
À l’approche des JO de Paris 2024, la vigilance est également de mise concernant les attaques d’espionnage. En 2008, lors des JO de Pékin, l’opération « Shady Rat » avait visé le Comité international olympique (CIO) et exposé des données gouvernementales.
Aux Jeux de Rio, 8 ans plus tard, le groupe de cybercriminels Fancy Bear avait accédé aux fichiers de l’Agence mondiale antidopage et diffusé des données de santé privées d’athlètes.
Dans les organisations, avec notamment le déploiement du télétravail pendant les JO, les communications en ligne peuvent être ciblées par des opérations de cyberespionnage d’origine étatique. Les objectifs peuvent être multiples : les vols d’informations stratégiques ou de données personnelles visent généralement un but lucratif ou de déstabilisation.
Désinformation et ingérence
Nuire à l’image de la France à l’occasion des Jeux Olympiques passe également par des opérations de désinformation, de la part de groupes cybercriminels ou hacktivistes.
Dans une note récente, la DGSI a indiqué que des opérations d’ingérence et de « dénigrement des JO 2024 », menées par des services de renseignement russes, sont plus fréquemment observées durant la période. Celles-ci sont menées en ligne, sur les réseaux sociaux, et peuvent également toucher des organisations via des intrusions malveillantes dans des visioconférences sensibles par exemple.
D’ailleurs, la surmédiatisation des risques sécuritaires liés aux JO 2024, allant jusqu’à relayer l’hypothèse de leur annulation, s’apparentent parfois à des dispositifs de désinformation et peuvent nuire in fine à l’image et au déroulé de l’événement.
Attaques DDoS et exploitations de failles de sécurité
Même si leurs impacts sont rarement significatifs, les attaques par déni de service (DDoS) font partie des risques cyber largement répandus. Elles ont pour but d’empêcher la délivrance d’un service, en générant un trop grand nombre de requêtes (vers un site web par exemple). Les secteurs financiers et industriels, mais aussi les administrations publiques, en sont souvent victimes. Récemment, en mars 2024, plusieurs ministères français ont été ciblé par une telle attaque, rendant plusieurs sites gouvernementaux temporairement inaccessibles.
Dans le cadre des JO, les attaques DDoS peuvent cibler des plateformes et des sites web stratégiques, de retransmission des épreuves ou de billetterie par exemple, mais aussi des organisations sensibles. En 2021, les JO de Tokyo avaient observé une augmentation de ces cyberattaques, visant des infrastructures critiques et perturbant la continuité du service public.
Des failles de sécurité dans des applications peuvent également être exploitées par des cybercriminels pour déstabiliser l’événement ; c’est le cas pour des applications de transports publics déployées pour l’événement.
Brouillage de fréquences
Les JO 2024 vont nécessiter un déploiement réseau d’ampleur afin de couvrir les besoins en transmission de données. Comme l’indique Pierre-Louis de Guillebon, directeur général d’Orange Events et directeur du projet Orange des Jeux Olympiques de Paris 2024 dans le Monde Informatique, les Jeux Olympiques représentent « 40 coupes du monde simultanées » en matière de volume de données échangées.
Ces installations réseaux font évidemment l’objet d’une sécurisation renforcée face aux menaces de brouillage de fréquence. Des acteurs malveillants pourraient ainsi entraver les retransmissions télévisées ou les communications essentielles des services de sécurité sur les lieux de l’événement.
Congestion des réseaux FTTH
Enfin, une autre cybermenace, cette fois-ci plutôt d’ordre structurelle et interne, existe. En effet, de nombreuses TPE et PME françaises utilisent le réseau FTTH qui sera sur-sollicité durant la période JO 2024. Le trafic internet sera en effet massivement utilisé, notamment durant les heures de bureau, et la congestion des réseaux fortement probable. C’est notamment l’alerte qu’a diffusé Céleste. Des pannes informatiques et des interruptions de service pourraient alors avoir lieu. Les conséquences sont multiples, affectant la continuité des services publics et la productivité des entreprises.
L’occasion de rappeler que les entreprises de toutes tailles doivent se préparer à de telles circonstances. Cela passe notamment par la mise en place d’outils de communication de secours, afin de permettre aux équipes sur place de gérer la crise et de poursuivre leurs échanges afin d’assurer la continuité d’activité.
L’importance de la cyber-résilience dans les entreprises
Avec son kit « JOP massifié », l’ANSSI souhaite accompagner les entreprises dans leur préparation face aux risques cyber des JO 2024. Ainsi, elles pourront simuler d’éventuelles crises, en fonction de leur secteur d’activité et de leur lien avec l’événement.
Ces simulations et cette sensibilisation sont indispensables pour garantir la cyber-résilience des organisations.
Tixeo utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible. Tixeo n’utilise pas de cookies publicitaires. Pour plus d’information nous vous invitons à consulter notre politique de confidentialité.
Langue parlée (Cookie strictement nécessaire)
Le site utilise un cookie permettant à l’internaute de choisir la langue du site et de conserver son choix. Il s’agit d’un cookie strictement fonctionnel.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Statistiques
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences.
