La gestion des risques est essentielle pour toute organisation exploitant une infrastructure critique. Identifier les risques et y répondre efficacement peut considérablement réduire les chances de réussite d’une attaque. Mais il est tout aussi important d’en limiter l’impact en la maîtrisant dès les premiers signes. Cette approche est aujourd’hui visible au quotidien, sur le terrain, partout en Europe, dans des secteurs comme l’énergie, la santé ou la logistique – des domaines par nature particulièrement sensibles.

La directive NIS 2 marque donc un tournant majeur dans la régulation de la cybersécurité en Europe. Pour la France comme pour l’ensemble des États membres, l’enjeu dépasse le simple respect réglementaire : il s’agit d’un véritable levier de transformation pour protéger les infrastructures critiques, dont l’activité conditionne la stabilité économique, sociale et politique.

Alors que la France accuse un certain retard dans la transposition de la directive, le débat prend une dimension stratégique : comment transformer cette contrainte en une opportunité pour renforcer la confiance numérique et consolider la souveraineté européenne ?

L’héritage français en cybersécurité : une base pour NIS 2

Pour protéger leurs actifs les plus critiques, la majorité des entreprises mettent en œuvre des contrôles rigoureux sur l’accès aux ressources et aux personnes. Cela leur permet de maintenir la continuité de leurs opérations, même en cas d’incident majeur.

En France, il convient de rappeler que le pays a été pionnier en matière de sécurité des infrastructures critiques avec la directive NIS, directement inspirée de la Loi de Programmation Militaire (LPM). Ce cadre législatif impose des mesures de sécurité strictes aux Opérateurs d’Importance Vitale (OIV) et a contribué à définir une approche claire de protection des infrastructures critiques face aux menaces cyber. Grâce à cette expérience, la conformité est relativement bien encadrée en France.

S’appuyant sur ces fondations, la directive NIS 2 vise à renforcer la résilience des organisations des secteurs d’infrastructures critiques. Son objectif est d’améliorer la réponse aux incidents pour éviter qu’une menace ne se transforme en catastrophe.

NIS 2 comme catalyseur de la maîtrise des incidents

NIS 2 met l’accent sur la résilience, la gouvernance et l’anticipation des menaces. Elle déplace l’objectif réglementaire des contrôles prescriptifs vers une résilience fondée sur les résultats, faisant de la maîtrise des incidents non plus une simple bonne pratique mais une obligation de conformité.

L’un des changements les plus significatifs est l’obligation, pour les organisations, de notifier les autorités dans un délai de 24 heures après avoir pris connaissance d’un incident majeur. Ce délai serré exige une visibilité en temps réel sur l’activité du réseau et les mouvements latéraux – des capacités souvent absentes des architectures de sécurité traditionnelles basées sur le périmètre.

La segmentation Zero Trust, approche proactive de confinement des attaques pour préserver l’intégrité opérationnelle, joue un rôle crucial dans l’amélioration de la résilience cyber grâce à plusieurs étapes clés :

> Identification des risques : repérer les vulnérabilités comme des ports ouverts à haut risque, des systèmes non corrigés ou des connexions à des IP malveillantes.

> Réduction des risques : éliminer ces vulnérabilités et établir des barrières pour contenir une attaque, par exemple en séparant les environnements IT et OT.

> Réduction de l’impact : isoler dynamiquement les ressources infectées pour les séparer du reste de l’infrastructure.

Enjeux pour les organisations et les PME

La directive NIS 2 vise à réduire les disparités en matière de résilience et à renforcer la prise de conscience collective des risques. Son changement majeur réside dans l’élargissement considérable des secteurs et des organisations concernés, notamment les PME, qui devront probablement faire face au défi de mobiliser les ressources nécessaires pour se mettre en conformité.

Ainsi, toutes les entreprises ne sont pas au même niveau de préparation. Celles qui ont déjà adopté NIS 1 sont généralement prêtes pour NIS 2, les ajustements étant principalement liés à une harmonisation entre États.

En revanche, les entreprises nouvellement concernées par NIS 2 se retrouvent dans deux situations : celles qui ont une bonne hygiène cyber trouvent souvent le processus relativement fluide, tandis que celles qui n’ont pas de politique de cybersécurité risquent de rencontrer des difficultés. Le plus grand défi réside probablement dans le manque de ressources pour se concentrer pleinement sur la conformité.

Heureusement, la plupart des pays ont fixé l’échéance de conformité à 2030 au plus tard, laissant aux entreprises un délai supplémentaire. L’ANSSI a mentionné une période de tolérance après la transposition, et une conformité totale pourrait être exigée d’ici fin 2027.

Il reste à voir comment chaque État transposera la directive et quelles seront les procédures de certification. Le principal défi résidera sans doute dans la protection des équipements anciens.

Investissements prioritaires pour construire la résilience

Bien que de nombreux contrôles de sécurité soient déjà en place, beaucoup d’organisations devront probablement investir davantage dans la gestion des incidents pour renforcer leur résilience et répondre aux exigences de NIS 2.

Les domaines clés d’investissement incluent :

> Analyse des risques : identification des zones de vulnérabilité susceptibles d’entraîner un compromis ;

> Gestion des incidents : confinement des attaques et mise en quarantaine des ressources infectées ;

> Continuité d’activité : réduction de l’impact d’une attaque ;

> Sécurité de la chaîne d’approvisionnement : contrôle de l’accès aux ressources par les tiers ;

> Gestion des vulnérabilités : désactivation des services à haut risque et des systèmes non corrigés.

L’étape la plus importante est de comprendre les risques au sein de l’organisation, ce qui implique de :

> Comprendre et cartographier l’ensemble des flux de trafic dans l’organisation ;

> Identifier et fermer les services à haut risque inutiles ;

> Corriger les vulnérabilités ;

> Segmenter et séparer les environnements pour éviter la propagation d’une attaque.

Une approche stratégique fondée sur les risques

Malgré les défis liés à la conformité, NIS 2 est une évolution positive en ce qu’elle encourage une meilleure prise en compte de la résilience et de la continuité d’activité. Elle rehausse le niveau d’exigence en cybersécurité et impose une approche proactive et structurée de la gestion des incidents, y compris leur confinement.

Pour les entreprises, il est crucial d’adopter une approche fondée sur les risques, en identifiant les actifs critiques et en mettant en place des contrôles supplémentaires, comme la segmentation, pour les protéger. Par exemple, si votre plus grande crainte est l’arrêt de votre chaîne de production, concentrez-vous sur la sécurisation des systèmes de contrôle industriel, puis remontez les vecteurs d’attaque possibles.

Dans cette approche, deux erreurs sont fréquentes : la première est de chercher à appliquer toutes les exigences à la lettre, ce qui peut s’avérer coûteux et inefficace. La seconde est de négliger l’importance de s’entourer d’experts, car la conformité à NIS 2 peut être complexe selon le niveau de maturité de l’entreprise.

Une approche stratégique, fondée sur les risques et appuyée par des experts, est essentielle pour répondre efficacement aux exigences de NIS 2 tout en renforçant, sur le long terme, la résilience et la sécurité des organisations face aux défis numériques.

*Damien Gbiorczyk est expert cyber résilience Illumio

The post { Tribune Expert } – NIS 2 : un levier pour renforcer la résilience des infrastructures critiques appeared first on Silicon.fr.