La directive NIS2 apporte plus de cybersécurité dans l'UE

le 19/05/2022, par Dominique Filippone, Sécurité, 686 mots

Les premiers pas de la directive NIS2 ont été validés par l'Union européenne, mais il faudra patienter jusqu'en 2024 avant une transcription dans le droit de chaque Etat membre.

La directive NIS2 apporte plus de cybersécurité dans l'UE

La directive NIS 2 est sortie de terre. Enfin presque. La Commission européenne et le haut représentant de l'Union pour les affaires étrangères et la politique de sécurité sont ainsi parvenus à un accord. Selon les termes convenus, cette législation imposera des normes communes en matière de cybersécurité pour les organisations critiques européennes. Cela inclus en particulier en France notamment les opérateurs de services essentiels (OSE). La liste devrait s'allonger en s'appliquant par exemple aux entités de l'administration publique aux niveaux central et régional. A l'occasion du FIC 2021, Guillaume Poupard, directeur général de l'ANSSI, avait expliqué que la deuxième version de la directive allait élargir le périmètre, fixer de nouveaux seuils, désigner des administrations publiques. Même si certains pays membres étaient réticents à intégrer les pouvoirs publics dans le scope du cadre réglementaire, la France a obtenu gain de cause. L'Europe compte faire grimper les investissements consacrés à la cybersécurité avec l'objectif d'atteindre jusqu'à 4,5 milliards d'euros grâce aux efforts conjoints entre l'UE, les Etats membres et les acteurs concernés.

« Les cybermenaces évoluent rapidement, elles sont de plus en plus complexes et adaptables. Pour garantir la protection de nos citoyens et de nos infrastructures, nous devons anticiper plusieurs étapes. Le bouclier de cybersécurité résilient et autonome de l'Europe signifiera que nous pouvons utiliser notre expertise et nos connaissances pour détecter et réagir plus rapidement, limiter les dommages potentiels et accroître notre résilience. Investir dans la cybersécurité, c'est investir dans l'avenir sain de nos environnements en ligne et dans notre autonomie stratégique », a expliqué Thierry Breton, Commissaire chargé du marché intérieur, à l'occasion de la naissance de l'accord NIS 2.

L'adoption de NIS 2 pas avant avril 2024 en France

La v2 de NIS prévoit des exigences plus strictes en matière de sécurité informatique des organismes critiques, et aussi des sanctions associées incluant des amendes, en cas de non conformité. Dans le document présenté par l'UE, plusieurs leviers d'action sont prévus : résilience, souveraineté technologique et leadership, renforcement des capacités opérationnelles pour prévenir, dissuader et réagir et faire progresser un cyberespace mondial et ouvert grâce à une coopération accrue. Parmi les domaines abordés par NIS 2 : l'hygiène informatique de base, la formation à la cybersécurité, l'utilisation de la cryptographie, la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs. Ou encore la réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, et les politiques et procédures pour évaluer la l'efficacité des mesures de gestion des risques de cybersécurité.

L'adoption définitive du texte par les États membres et le Parlement européen est calée en juin prochain pour une entrée en vigueur censée intervenir dès le mois suivant. Pour autant, il faudra encore patienter un peu avant de voir cette directive transcrite dans le droit de chaque Etat membre. En effet, un délai de transposition d'un peu moins de deux ans (21 mois) est prévu ce qui fera donc patienter jusqu'en avril 2024 avec une prise en compte définitive de NIS 2 au niveau local. La Commission européenne et le haut représentant se sont engagés à mettre en oeuvre cette stratégie cybersécurité dans les mois à venir et devront rendre régulièrement compte des progrès accomplis devant le Parlement européen, le Conseil de l'Union européenne et les parties prenantes.

L'adoption de ce projet intervient quelques mois après l'annonce de la création d'une unité cybersécurité conjointe européenne pour améliorer la capacité de réponse aux cyberattaques croissantes contre les États membres, baptisée EU-CyCLONe. L'Europe n'est pas seule sur ce terrain, puisque les Etats-Unis se sont également emparés du sujet en imposant par exemple des exigences zero trust aux agences fédérales. De la même façon, en Grande-Bretagne, un projet de loi est aussi sur les rails pour accroitre la sécurité des solutions et infrastructures télécoms et des normes cybersécurité imposées aux importateurs et distributeurs de tout terminal capable de se connecter à Internet. Sur le sujet, l'Europe est donc loin d'être seule et n'est pas forcément non plus très en avance.

(Crédit : Torsten Simon / Pixabay)

Le vol d'identifiants compromet la sécurité du cloud selon IBM X-Force

Selon l'entité X-Force d'IBM, la principale cause de compromission du cloud est liée à l'utilisation inappropriée d'informations d'identification, d'où la nécessité pour les équipes IT de renforcer leurs...

le 18/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1039 mots

Les outils LLM d'Orca aident à détecter les exploits de type Log4j

L'outil de recherche d'Orca Security utilise des requêtes en langage naturel pour identifier les vulnérabilités de type Log4j. Selon Orca Security, l'option de recherche d'actifs dans le cloud ajoutée à sa...

le 11/09/2023, par Shweta Sharma, IDG NS (adaptation Jean Elyan), 589 mots

Briser la chaîne des cyberattaques

Les solutions de Proofpoint ciblent les étapes les plus critiques d'une cyberattaque pour lutter contre la compromission des courriels professionnels, les ransomwares et l'exfiltration de données. Lors du...

le 07/09/2023, par Michael Hill, IDG NS (adapté par Jean Elyan), 945 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...