Chronique NIS V2 - Episode 3
Introduction
Comment se mettre en conformité avec la directive NIS V2 alors que certaines autorités nationales de cybersécurité n'ont pas encore publié leur référentiel d'exigences ?
Le 17 octobre 2024 marque un tournant décisif pour les entreprises européennes, avec l’entrée en vigueur de la directive NIS V2. Cette directive impose des exigences accrues en matière de cybersécurité, en particulier pour les entreprises des secteurs critiques. Toutefois, il a été signalé que certaines autorités nationales de cybersécurité pourraient publier leurs référentiels d'exigences spécifiques à NIS V2 ultérieurement.
Cela soulève une question cruciale pour les entreprises : doivent-elles attendre ces référentiels pour entamer leur mise en conformité ? La réponse est non !
La directive NIS V2 s’applique dès maintenant, et les entreprises ne doivent pas attendre. Nous proposons dans cet article un mapping basé sur les exigences de NIS V2 et les normes ISO 27001/27002, qui constitue une première piste pour structurer la mise en conformité tout en anticipant les mesures que pourrait introduire les autorités de contrôles nationales. e document sera mis à jour une fois que les référentiels officiels seront disponibles, mais il est déjà suffisamment robuste pour être utilisé dès maintenant.
Comment capitaliser sur les pratiques existantes pour se mettre en conformité de manière proactive ?
Pour les entreprises déjà alignées ou s'appuyant sur les normes ISO 27001/27002, la mise en conformité avec NIS V2 est facilitée. Ce n'est pas une rupture, mais une continuité logique. Le mapping présenté ici montre comment les exigences ISO se recoupent avec celles de NIS V2, en mettant l'accent sur les points spécifiques où NIS V2 va plus loin ou introduit des nouveautés.
Il est possible de s'appuyer sur ces pratiques existantes dès maintenant, sans attendre un éventuel référentiel des autorités compétentes. En utilisant ce document comme base de travail, les entreprises peuvent structurer leur démarche de conformité en s'appuyant sur ce qui est déjà explicité dans la directive NIS V2. Il est donc essentiel de commencer dès maintenant la mise en conformité, sans attendre de futurs référentiels.
Tableau de synthèse : capitalisation sur le mapping entre l'ISO 27001:2022 et NIS V2
Analyse détaillée du mapping entre ISO 27001:2022 et NIS V2
Organisation et responsabilités sécurité
Dans le cadre de l’ISO 27001, les rôles et responsabilités en matière de sécurité sont bien définis, y compris la séparation des tâches, les contacts avec les autorités et les groupes d'intérêt spécifiques. NIS V2 ne modifie pas fondamentalement cette approche, mais insiste davantage sur la nécessité explicite de définir des responsabilités en matière de cybersécurité. Cet aspect est primordial dans la directive, car une absence de clarté sur ces rôles peut entraîner des failles organisationnelles.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Politiques de sécurité
Les politiques de sécurité doivent être formalisées dans les entreprises, comme cela est exigé par la norme ISO 27001. NIS V2 n’ajoute pas de nouvelles exigences, mais insiste sur l’adaptation des politiques de sécurité aux risques spécifiques des entreprises. En d'autres termes, il ne s’agit plus seulement d’avoir une politique de sécurité standard, mais de la contextualiser en fonction des menaces réelles que rencontre l'entreprise.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Planification de la gestion des risques
La gestion des risques est un pilier essentiel à la fois pour ISO et NIS V2. Le processus de gestion des risques est fondamental dans les deux référentiels. Toutefois, NIS V2 met l'accent sur une validation et une documentation régulière par la direction, avec une implication constante de celle-ci dans le suivi des risques.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Appréciation, validation et suivi du plan de traitement des risques
Les normes ISO insistent déjà sur la nécessité d’apprécier et de suivre les risques, mais NIS V2 demande une approbation formelle par la direction des risques identifiés et des mesures à prendre pour les atténuer. Cette validation renforce l'idée que la gestion des risques ne doit pas être déléguée uniquement aux équipes techniques, mais doit être un sujet traité au plus haut niveau.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Revues de sécurité et suivi des performances
Le suivi de la performance des mesures de sécurité est couvert par les audits et revues dans les normes ISO. NIS V2 reprend cette approche, mais insiste sur la gestion des risques par la direction. Là encore, la directive insiste sur la responsabilité de la direction dans la surveillance continue et dans les actions correctives.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Sécurité dans les ressources humaines
La sensibilisation à la cybersécurité est un aspect bien couvert dans ISO 27001 et ISO 27002, mais NIS V2 insiste particulièrement sur l’inclusion de la direction dans ces formations. La directive part du principe que la sensibilisation doit se faire à tous les niveaux de l’organisation, y compris au sommet.
Élément spécifique NIS V2 : Sensibilisation des membres de la direction. Les formations doivent être adaptées à leur niveau de responsabilités, notamment en matière de gestion des risques.
Sécurité dans les activités de conception, développement et de maintenance
L'ISO aborde de manière exhaustive la gestion de la sécurité dans le cycle de développement, y compris la gestion des vulnérabilités et la journalisation. NIS V2 ne rajoute pas d'exigences supplémentaires sur ce point, se contentant d’appliquer les principes de l’ISO.
Élément spécifique NIS V2 : N/A. Aucune exigence supplémentaire n'est explicitée par rapport aux normes ISO.
Contrôle d’accès
Le contrôle d'accès est couvert par les deux normes ISO avec des exigences très complètes sur les droits d'accès, l'authentification et la gestion des identités. NIS V2, toutefois, introduit une exigence claire : le recours obligatoire à une authentification multifactorielle (MFA) pour les systèmes critiques.
Élément spécifique NIS V2 : MFA obligatoire. Cette exigence est renforcée dans NIS V2, avec une obligation explicite d’implémenter la MFA pour les systèmes les plus sensibles.
Gestion des incidents et surveillance des menaces
Là encore, ISO et NIS V2 se rejoignent largement, mais la directive NIS V2 introduit une obligation de notification des incidents auprès de l'ANSSI dans les 24 heures (alerte précoce) et dans les 72 heures (notification complète). Cette exigence est spécifique à NIS V2 et n’existe pas dans l'ISO.
Élément spécifique NIS V2 : Notification à l’ANSSI sous 24 à 72 heures. Ce niveau de réactivité est essentiel pour prévenir et atténuer les impacts des incidents.
Continuité d'activité et reprise d'activité
Les normes ISO imposent déjà des plans de continuité et de reprise d'activité. NIS V2 ne modifie pas ces exigences, mais s’assure que ces plans sont adaptés aux menaces actuelles.
Élément spécifique NIS V2 : N/A. Aucun élément supplémentaire n'est explicitement mentionné dans NIS V2.
Gestion des actifs informationnels
La gestion des actifs informationnels est un élément fondamental la norme ISO 27001. Ces normes exigent que les entreprises identifient, classifient et protègent tous leurs actifs informationnels, qu'il s'agisse de données, de logiciels, de matériel ou de services associés. Cela implique la mise en place d'un inventaire détaillé et régulièrement mis à jour, permettant d'évaluer la valeur de chaque actif et de déterminer les mesures de protection appropriées.
NIS V2 ne modifie pas cette approche mais renforce l'importance de la protection des actifs critiques. La directive insiste sur la nécessité d'identifier les actifs essentiels au fonctionnement des services critiques et de s'assurer qu'ils sont protégés de manière adéquate contre les menaces actuelles.
Élément spécifique NIS V2 : N/A. Aucun élément supplémentaire n'est explicitement mentionné dans NIS V2.
Respect de la réglementation et des contrats
La norme ISO 27001 met l'accent sur le respect des exigences légales, réglementaires et contractuelles en matière de sécurité de l'information. Les entreprises doivent identifier les lois et règlements applicables, s'assurer de leur conformité et maintenir une documentation appropriée. Cela inclut également le respect des obligations contractuelles envers les clients, les partenaires et les fournisseurs.
NIS V2 renforce cette exigence en obligeant les entreprises des secteurs critiques à se conformer à des obligations spécifiques en matière de cybersécurité, notamment la notification des incidents et la coopération avec les autorités compétentes. Toutefois, la directive n'ajoute pas de nouvelles exigences par rapport aux normes ISO existantes.
Élément spécifique NIS V2 : N/A. Aucun élément supplémentaire n'est explicitement mentionné dans NIS V2.
Gérer la sécurité de la chaîne d’approvisionnement
La sécurité de la chaîne d'approvisionnement est largement couverte par les normes ISO 27001 et ISO 27002, qui exigent que les entreprises évaluent et gèrent les risques associés aux fournisseurs et aux partenaires. Cela inclut la mise en place de clauses contractuelles spécifiques, la surveillance continue des prestations des fournisseurs et l'intégration des exigences de sécurité dans les processus d'achat.
NIS V2 met également l'accent sur la gestion des risques liés à la chaîne d'approvisionnement, en particulier pour les partenaires critiques. La directive encourage les entreprises à surveiller de manière proactive les fournisseurs clés pour s'assurer qu'ils respectent les exigences de sécurité nécessaires. Cependant, elle ne spécifie pas d'exigences supplémentaires par rapport aux normes ISO.
Élément spécifique NIS V2 : N/A. Aucun élément supplémentaire n'est explicitement mentionné dans NIS V2.
Comment Eunoia Security Hub facilite la mise en conformité avec NIS V2 ?
Eunoia Security Hub est la solution idéale pour aider les entreprises à se conformer aux référentiels de cybersécurité les plus exigeants, y compris NIS V2. Grâce à l'intégration des exigences de NIS V2, notre plateforme permet aux organisations de suivre précisément les spécificités de cette directive, tout en capitalisant sur les bonnes pratiques de gestion de la sécurité de l'information déjà mises en place.
L'avantage d'Eunoia réside dans sa capacité à effectuer des mappings entre les différentes exigences de sécurité, ce qui permet de mutualiser et d'optimiser les contrôles. Eunoia Security Hub propose déjà des standards internationaux reconnus tels que l'ISO 27001 et 27002, ainsi qu'une version adaptée de NIS2. De plus, elle offre la possibilité de personnaliser les standards selon les besoins spécifiques de chaque entreprise.
Conclusion
Le mapping entre les normes ISO 27001/27002 et NIS V2 montre que la directive s’aligne largement sur les bonnes pratiques déjà reconnues dans le cadre de la gestion de la sécurité. Toutefois, NIS V2 introduit des éléments spécifiques, notamment en termes de responsabilités, d’implication de la direction et de notification des incidents. Pour les entreprises déjà engagées dans un processus ISO, la mise en conformité avec NIS V2 est donc facilitée, mais il reste des points d'attention, notamment en ce qui concerne l’implication de la direction et la notification des incidents.
En attendant les référentiels d’exigences des autorités compétentes, qui pourraient introduire des mesures complémentaires, les entreprises peuvent déjà commencer à se préparer avec ce mapping. Il est crucial de ne pas attendre cette publication pour agir.
Comments