Blog of cyber
70 % des organisations subiront une attaque numérique d’ici les trois prochaines années[1]. La multiplication des cyberattaques place la sécurité informatique au cœur des priorités stratégiques des entreprises et administrations.
Dans ce contexte, la directive européenne NIS 2 vient renforcer les obligations en matière de sécurité des systèmes d’information. Elle vise à harmoniser les pratiques et à élever le niveau global de cybersécurité au sein des Etats membres. La transcription de la directive NIS 2 dans le droit français est en cours. Pour autant, les dirigeants doivent d’ores-et-déjà s’interroger et se préparer sur ses impacts dans la stratégie cyber de leur organisation.
Adoptée en décembre 2022, la directive NIS 2 (Network and Information Security) remplace la version d’origine entrée en vigueur en 2016. Elle poursuit un objectif clair : renforcer la cybersécurité au sein de l’Union européenne et garantir une meilleure résilience face aux menaces de cybersécurité.
L’émergence de l’intelligence artificielle, l’usage massif des services Cloud et la digitalisation rapide des processus métiers ont créé de nouvelles zones de risque cyber. C’est pourquoi la directive NIS 2 élargit son périmètre pour couvrir davantage d’acteurs européens.
Les entités essentielles
Les « entités essentielles » aussi appelées “Organisation d’importance vitale (OIV), désignent les organisations dont une défaillance aurait un impact direct sur la continuité des services et de l’activité économique. Elles englobent les opérateurs de l’énergie, des transports, de la santé, des services financiers, de la distribution d’eau ou encore les infrastructures numériques.
Ces acteurs devront appliquer des mesures de cybersécurité strictes, réaliser des analyses de risques régulières et notifier tout incident significatif aux autorités compétentes. Leur responsabilité s’étend également à leurs prestataires et sous-traitants.
Les entités importantes
Les « entités importantes » ou Opérateur de services essentiels (OES) regroupent les entreprises de taille significative qui, sans être critiques, participent au bon fonctionnement de l’économie : fournisseurs numériques, prestataires de services IT, fabricants de produits technologiques, ou encore certaines collectivités territoriales. Les collectivités territoriales de plus de 30 000 habitants seront directement concernées, tout comme les opérateurs publics gérant des services administratifs numériques. Ces structures devront renforcer leurs politiques internes, documenter leurs plans de sécurité (PSSI) et prouver leur conformité en cas d’audit. La région Île-de-France a d’ailleurs entamé cette démarche au travers de l’évaluation mutualisée des fournisseurs de toutes ces communes de plus de 30 000 habitants.
Même si le cadre réglementaire français n’est pas encore défini, la directive NIS 2 fait apparaître les risques liés à la chaîne d’approvisionnement. L’ensemble des maillons (fournisseurs directs, prestataires de services…) agrandit la surface d’attaque potentielle. De fait, la protection des réseaux et systèmes d’information de l’intégralité de la chaîne peut s’avérer complexe à mettre en œuvre et chronophage pour les équipes RSSI.
La directive introduit également une logique de responsabilité partagée. Un incident sur un tiers peut impacter la conformité d’une entreprise. Cela impose une vigilance accrue dans la sélection et le suivi des partenaires, ainsi qu’une coordination renforcée entre la DSI, la direction juridique et les métiers. Le risque cyber doit donc être maîtrisé à la fois au niveau national (maisons-mères, sièges sociaux, ministères…), régional (agences, entrepôts, EPCI…) et local (magasins, communes…).
Au-delà des sanctions, NIS 2 incite les dirigeants à prendre conscience de la gouvernance cyber de leur organisation. Les ressources matérielles (hardwares, logiciels cyber…), humaines et financières doivent permettre aux équipes RSSI de renforcer la conformité et la résilience cyber de l’entreprise, sur le long terme.
Enfin, la directive NIS 2 englobe plus largement les acteurs publics (communes de plus de 30 000 habitants, EPCI…). Les collectivités territoriales vont devoir se conformer sur deux volets importants :
Pour toutes ces raisons, les organisations doivent prendre en main dès maintenant l’application des exigences NIS 2. La mise en conformité peut prendre du temps : diagnostic, gouvernance, plan d’actions, montée en compétences…
La directive NIS 2 s’inscrit dans un cadre réglementaire européen et français exigeant :
Pour les dirigeants, la première étape consiste à analyser les réglementations et normes auxquelles leurs entreprises sont soumises. Puis, de réaliser un état des lieux de leurs politiques de sécurité actuelles et de valider les points de conformité. Ce gap analysis permet d’identifier les écarts avec les exigences des différents textes réglementaires et en particulier NIS 2.
Par exemple, une entreprise peut déjà disposer d’un plan de continuité conforme à la ISO 27001 mais ne pas encore activer de notifications d’incident dans les 24 heures, comme l’imposera NIS 2.
Des solutions comme Trust HQ® permettent de suivre et analyser les exigences reliées à NIS2 avec des indicateurs (pourcentages de conformité) automatiques (gouvernance, détection, remédiation...). Cet état des lieux offre une vision claire des priorités à traiter pour atteindre la conformité sans surcharger les équipes RSSI.
La directive NIS 2 renforce la prise en compte du risque lié aux tiers. Les entreprises doivent démontrer leur capacité à évaluer, suivre et maîtriser le risque cyber et l’impact d’une défaillance de leurs partenaires et fournisseurs.
En effet, 98 % des entreprises travaillent avec un tiers ayant subi une violation de données. Malgré des politiques de sécurité solides, un prestataire insuffisamment protégé peut introduire une vulnérabilité critique dans le système d’information. Ce risque résiduel rend aveugle les RSSI sur le niveau réel de sécurité.
C’est pourquoi la mise en place d’une démarche de Third-Party Cyber Risk Management (TPCRM) devient essentielle. Grâce à des solutions non intrusives de notation automatisée des tiers, les entreprises peuvent analyser en masse leurs fournisseurs, les classer selon leur niveau de criticité et monitorer le risque cyber dans le temps.
Dans cette même logique, les collectivités locales et organismes publics doivent engager une démarche de gouvernance cyber. Concrètement, cela implique d’intégrer à la fois leurs fournisseurs et les entités publiques qui leur sont rattachées (agences territoriales, communes…), même si elles ne sont pas directement concernées par les exigences NIS 2. In fine, il s’agit d’accompagner les entités locales dans leur montée en maturité et d’assurer une homogénéité des pratiques sur l’ensemble du territoire. La région Île-de-France finance l’évaluation de 500 tiers. Cette mutualisation avec les collectivités franciliennes permet de produire des rapports sur le risque tiers dans un triple objectif : réduire les coûts, améliorer la résilience opérationnelle collective et préparer les entités publiques à NIS 2.
La maîtrise du risque cyber de l’ensemble de la chaîne d’approvisionnement impose une cartographie précise de la surface d’attaque externe. Pour mieux se protéger, il faut d’abord connaître les zones d’exposition et de failles. Il s’agit d’analyser tous les actifs accessibles depuis Internet – sites web, adresses IP, serveurs, APIs, applications Cloud, etc. – qui peuvent représenter autant de points d’entrée potentiels pour un attaquant.
Les outils d’*External Attack Surface Management (EASM)* permettent d’automatiser cette cartographie et de détecter de nouvelles failles (services exposés, configurations vulnérables et domaines oubliés...). La maîtrise de la surface d’attaque cyber permet de réduire le risque d’intrusion et de prioriser les actions de remédiation, comme imposé par la directive NIS 2.
Face à la complexité réglementaire, les dirigeants d’entreprises et élus doivent conjuguer exigences de conformité, gestion du risque cyber et pilotage de la performance.
Board of Cyber met à disposition une suite d’outils technologiques destinés à aider les dirigeants et RSSI à mieux comprendre leur propre performance cyber. L’objectif : leur donner une vision claire,, mesurable et en continu de leur exposition au risque.
Les outils Board of Cyber permettent une évaluation automatisée et structurée du niveau de maturité cyber, à la fois interne et externe. La finalité est d’identifier rapidement les vulnérabilités critiques, hiérarchiser les risques et suivre les actions de remédiation.
Dans la perspective de NIS 2, la gestion du risque lié aux tiers (Third-Party Risk Management – TPRM) devient une composante clé. Board of Cyber aide les organisations à mettre en place une approche systématique, basée sur trois étapes :
Face à un volume important de fournisseurs (plusieurs dizaines voire centaines), un tiers critique doit faire l’objet d’une attention particulière. Pour cela, les critères de classification permettent de juger le niveau de risques de chacun.
Le fournisseur est-il interconnecté avec votre SI ? Gère-t-il des données personnelles ou stratégiques ? Crée-t-il une dépendance (pas d’alternative) ?
Ces critères permettent de hiérarchiser les fournisseurs selon leur niveau d’exposition et d’impact en cas de défaillance.
Sur la base de ces critères, chaque fournisseur est positionné en fonction de son importance pour l’organisation et du niveau de risque associé. Ce tiering doit être évolutif afin de prendre en compte les évolutions apportées par NIS 2. Cette démarche d’évaluation continue des fournisseurs permet de prioriser les contrôles et des actions d’amélioration.
Cette dernière étape consiste à identifier les dispositifs pour collecter les informations selon le niveau de criticité. De nombreuses organisations ont déjà mis en place des questionnaires avec dépôt de preuve, consolidées au sein d’outil comme Trust HQ® (notamment en phase d’appel d’offre). Des entreprises intègrent également des clauses d’audit dans leur contrat principalement pour les fournisseurs ou prestations jugés critiques.
Cependant, ces dispositifs deviennent chronophages dès qu’ils doivent être activés sur plusieurs centaines de fournisseurs. C’est pourquoi, un diagnostic initial transverse permet d’automatiser l’évaluation du risque cyber sur des centaines de prestataires. Il aboutit à l’identification des tiers qui pourraient faire l’objet d’un questionnaire de sécurité ou d’un audit. Ce diagnostic automatique se base sur un système non intrusif de notation cyber comme Security Rating®, ****permettant d’évaluer la performance cyber d’une organisation.
[1] Rapport de menace de l’ANSSI 2024
