Votre entreprise est-elle déjà conforme à la NIS2 ?

8 octobre 2024 À propos de NIS2

Le 18 octobre 2024, la directive NIS2 entrera en vigueur. Une directive européenne qui oblige les entreprises à examiner leur stratégie cybersécurité. Mais qu’est-ce que cela signifie pour votre entreprise ?

La première version de NIS date déjà de 2019 et devait inciter les entreprises responsables des infrastructures critiques à mieux se protéger contre les menaces cybernétiques. En effet, une perturbation des services dans des secteurs tels que l’énergie, la mobilité, la gestion de l’eau potable ou au sein du gouvernement pourrait avoir de graves conséquences pour toute la population. Les dernières années ont montré que cette inquiétude était justifiée : les entreprises dont la cybersécurité n’était pas au point ont été victimes de cyberattaques.

NIS 2

Champ d'action élargi

La principale nouveauté de la NIS2 est donc le champ d'action plus large. Les « secteurs essentiels » identifiés ont été renommés en « entités essentielles » et élargis avec des « entités importantes » : la gestion des déchets, la chimie, l'alimentation, les fournisseurs numériques ainsi que les services postaux et de messagerie ont été ajoutés à la liste. Rien qu'en Belgique, environ 2 000 entreprises entrent directement dans ce cadre. À partir d'octobre, elles devront prouver qu'elles respectent des exigences plus strictes en matière de cybersécurité. Mais leurs fournisseurs devront également suivre cette évolution. De plus, des amendes lourdes menacent les entreprises et même leurs dirigeants.

Prendre des mesures, signaler les incidents

Ceux qui en font partie doivent respecter deux obligations majeures : prendre des mesures de sécurité et signaler tout incident dans les 24 heures au Centre pour la Cybersécurité Belgique. Les mesures précises dépendent de chaque entreprise. La législation exige d’abord une analyse des risques pour identifier les « points faibles » puis de prendre les actions appropriées. Pas seulement de manière préventive : il doit y avoir des protocoles qui s’activent en cas d’incidents. Et bien sûr, la sensibilisation et la formation des employés à la cybersécurité sont des priorités.

Données clients sous clé

En tant que fournisseur de ces secteurs, Eleantis a également fait ses devoirs. En collaboration avec son partenaire IT J.V. IT Consulting, un plan a été élaboré pour garder les données des clients en sécurité. Des investissements considérables se sont concentrés sur trois domaines : la segmentation du réseau, la suppression de tous les accès non sécurisés par l’introduction de connexions VPN et d’une authentification multifactorielle, ainsi que des systèmes de détection avancés pour repérer les intrus.

IT versus OT

Cette expérience est également mise au service de ses clients, pour sécuriser votre réseau. Bien que les mondes de l’IT (technologies de l’information) et de l’OT (technologies opérationnelles) soient très différents, dans un environnement Industrie 4.0, ils se rapprochent de plus en plus. Il vous faut alors un partenaire qui sait protéger vos processus de production sans compromettre leur efficacité. En environnement de bureau, les analyses antivirus et pare-feux sont naturelles, en production malheureusement pas toujours. Pourtant, la sécurisation des commandes PLC est aussi primordiale pour empêcher que des intrus prennent votre production en otage par une attaque ransomware. Une étude de Fortinet montre que les cybercriminels ciblent de plus en plus les systèmes OT, avec une augmentation de 17 % en 2022 à 24 % en 2023.

Unir les forces

Mais comment passer d’un système obsolète sans protocoles de sécurité à une production moderne avec protocoles cyber-sécuritaires intégrés ? Eleantis rassemble avec ses clients toutes les connaissances OT et IT nécessaires à leur mode de fonctionnement spécifique. Le point de départ est un audit qui vérifie votre niveau actuel de cybersécurité et identifie les dangers potentiels.

Construire des ponts sécurisés

Étape 2 : combler ces lacunes. Ils collaborent étroitement avec votre atelier de production et votre service IT pour déterminer quelles communications sont autorisées, qui peut se connecter et qui ne le peut pas, si tel serveur est encore nécessaire ou comment limiter l’accès à distance… Toujours en veillant à l’équilibre entre sécurité et fonctionnalité. Ainsi, des ponts sont bien construits entre les compartiments isolés de la production, mais équipés des pare-feux, cryptages, authentifications multifactor, switches gérés nécessaires…

Plan de sauvegarde

Le dernier point d’attention est la mise en place d’un plan de sauvegarde, pierre angulaire de votre stratégie de cybersécurité. Conservez des sauvegardes en plusieurs endroits. Optez pour des sauvegardes dites immuables (qu’on ne peut modifier d’aucune manière) et assurez-vous que plusieurs versions puissent coexister (« versioning »). Si un malware s’était dissimulé dans la dernière version, vous pourrez revenir à la précédente. N’oubliez pas non plus de les tester rigoureusement. Il s’agit d’assurer que, en cas d’incident cybernétique, vous puissiez rapidement être à nouveau opérationnel.

À cinq minutes de minuit

L’arrivée de la directive NIS2 vise à faire de la cybersécurité un réflexe naturel pour les entreprises. Aujourd’hui, le manque de connaissance des risques (loin de mes préoccupations) et le manque d’informations sur les moyens d’y faire face freinent souvent plus de cybersécurité. Évidemment, le budget joue aussi un rôle, car comme vous le voyez, beaucoup doit être fait. Mais ceux qui ne le feront pas se verront présenter une facture bien plus salée si les hackers frappent. Que l’industrie manufacturière soit une cible, cela a malheureusement été suffisamment démontré ces dernières années.

https://eleantis.be/contacteer-ons/

Sur le site du Centre pour la Cybersécurité, vous trouverez des informations plus détaillées sur tout ce que la législation NIS2 implique. Si vous souhaitez également assurer la cybersécurité côté OT de votre entreprise, contactez les spécialistes d’Eleantis.