Des règles de sécurité européennes plus strictes pour les entreprises

Plus tôt cette année, la loi NIS-2 est entrée en vigueur, la dernière version des règles de sécurité existantes depuis 2016. Depuis, la réglementation européenne impose aux États membres de développer des stratégies nationales de cybersécurité et de coopérer au niveau international. La première version - NIS-1 - s'est rapidement avérée obsolète. Avec le NIS-2, les réseaux de télécommunication et les autres services de communication sont également reconnus comme des services essentiels.

Ces "entreprises clés" sont désormais tenues de signaler les incidents de sécurité à une équipe nationale d'intervention informatique. Cela s'applique même si aucune donnée personnelle n'est saisie lors d'un incident, ce qui fait déjà partie des règles de confidentialité du GDPR. Les équipes d'intervention informatique doivent partager les informations dans les 24 heures lorsqu'un incident peut avoir des implications transfrontalières.

Mesures de gestion du risque de cybersécurité
(D’après les textes juridiques publiés par le Parlement européen)
Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.
Les mesures visées sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins :

• les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
• la gestion des incidents ;
• la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
• la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
• la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
• des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
• les pratiques de base en matière de cyber hygiène et la formation à la cybersécurité ;
• des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
• la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
• l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Les mesures incluses dans les règlements européens sont utiles en tant que guide pour la cybersécurité en interne de chaque organisation.