Alors que la date fatidique du 17 octobre 2024 approche, les travaux de l’ANSSI se poursuivent pour adapter et mettre en œuvre les exigences de la directive NIS2 dans le contexte français. Sans attendre le détail des nouvelles obligations et des processus de contrôle de conformité qui seront mis en place par le législateur, les entités essentielles et importantes des nombreux secteurs visés par la directive européenne doivent prendre les devants.
Les articles 20 et 21 de NIS 2 établissent en effet une série de mesures auxquelles entreprises et administrations devront se conformer. Elles portent à la fois sur la mise en place d’un système de gouvernance de la sécurité de l’information, le déploiement des mesures techniques de protection et l’établissement d’un dispositif pour traiter les incidents de sécurité.
Gouvernance de la sécurité
En matière de gouvernance, la maîtrise de la sécurité de l’information nécessite la mise en place de chantiers incontournables, qui touchent de façon transverse toute l’organisation.
- Définition des rôles et les responsabilités, notamment à travers la désignation d’un responsable de sécurité, idéalement rattaché à la direction générale
- Mise en place d’un corpus documentaire de politiques, processus et procédures de sécurité, dont la pièce maîtresse est la politique de sécurité des systèmes d’information (PSSI)
- Cartographie du système d’information en termes d’activités et services, et recensement des actifs de support (serveurs, réseaux, applications, etc.)
- Cartographie des prestataires et fournisseurs, condition nécessaire pour piloter leur niveau de sécurité
- Mise en place d’une gestion des risques de sécurité, à travers des analyses des risques régulières, avec acceptation des risques résiduels par la direction générale
- Réalisation d’audits réguliers pour vérifier l’efficacité des mesures de sécurité et la conformité vis-à-vis des réglementations applicables
- Prise en compte de la sécurité dans la gestion RH, avec une attention particulière à la formation et sensibilisation des collaborateurs, et à la bonne gestion des arrivées et les départs
Mesures techniques de protection
Ces mesures organisationnelles sont essentielles, mais restent insuffisantes si elles ne sont pas complétées par des mesures techniques de protection robustes.
- Maintien en conditions de sécurité des systèmes, qui passe par l’implémentation des processus de veille de sécurité et de gestion des vulnérabilités
- Maîtrise de l’accès physique aux locaux, avec déploiement d’un contrôle d’accès moderne, assorti d’un système d’alarme
- Sécurisation de l’architecture du système d’information, avec un soin spécifique apporté aux interconnexions aux réseaux tiers, et au cloisonnement en fonction de la sensibilité des différentes zones
- Sécurisation des accès distants et des actions d’administration, à travers le déploiement d’authentification multi-facteur, et de bastions d’administration
- Déploiement des solutions de protection contre les codes malveillants, en différentes couches : EDR, IDS, IPS, WAF
- Durcissement des configurations, dans le but de réduire autant que possible la surface d’attaque, tout en veillant à la facilité d’exploitation des systèmes et des applications
- Sécurisation de la gestion des identités et des accès, en s’inspirant du principe du moindre privilège, qui demande une gestion stricte des habilitations et des revues régulières
- Implémentation de mesures pour la continuité et la reprise d’activité, fondée sur des sauvegardes fiables, idéalement hors-ligne
Traitement des incidents
Parce que le risque zéro n’existe pas et que les attaquants innovent en continu, des incidents de sécurité vont inévitablement se produire. Il est donc indispensable de se doter de solides capacités de traitement des incidents de sécurité.
- Détection des incidents, essentiellement à travers le déploiement d’un SIEM, exploité par un SOC, éventuellement externalisé
- Réaction aux incidents, soit en se dotant d’un CERT interne, soit en collaborant avec un partenaire spécialisé
- Gestion des crises cyber, en définissant des processus au niveau managérial et opérationnel, et en organisant des exercices réguliers
Naturellement, ces travaux de mise en conformité sont facilités par le recours à des prestataires de confiance, idéalement qualifiés par l’ANSSI.