SMART TECH - NIS-2 : comment éviter les sanctions ?
Mardi 8 octobre 2024, SMART TECH reçoit Pierre-Antoine Failly-Crawford (Responsable de l’équipe de réponse à incident, Varonis)
Category
🗞
NewsTranscription
00:00L'échéance s'approche et il va falloir prendre les bonnes mesures pour être conforme à cette nouvelle législation sur la cybersécurité.
00:12Bonjour Pierre-Antoine Fahy-Croford.
00:14Bonjour Delphine.
00:15Vous êtes responsable de l'équipe réponse à incidents chez Varonis, entreprise de la cybersécurité.
00:20Je fais un rapide rappel de cette directive NIS2 sur la sécurité des réseaux et des systèmes d'information.
00:26C'est une législation qui vise à renforcer le niveau de cybersécurité en Europe des entreprises,
00:31mais aussi de toutes les organisations administratives de l'ensemble des pays du membre de l'Union Européenne.
00:38Alors le texte, on peut l'appliquer depuis déjà quelques temps,
00:41mais la France, elle, doit vraiment modifier sa loi pour véritablement l'intégrer.
00:47Et ça, ça doit se faire normalement d'ici au 17 octobre 2024.
00:51On est donc à quelques jours.
00:53Déjà, peut-être rappeler quelles sont les obligations qu'on trouve derrière NIS2.
00:57Alors c'est un texte qui est excessivement grand, déjà, qui rassemble beaucoup de choses.
01:02Les principales, les importantes, sont vraiment la gouvernance des risques de la cybersécurité dans les systèmes d'information
01:07pour être sûr de garantir un niveau de résilience pour chaque société dans les États membres, la France particulièrement.
01:13Mais il y a aussi une volonté principale avec NIS2 de vouloir être certain de bien gérer,
01:18identifier les incidents de sécurité, déjà, et les remonter correctement avec un bon processus aux différents régulateurs,
01:24donc l'Annecy, par exemple, ici.
01:26Et c'est principalement les plus gros enjeux de NIS2 actuellement.
01:30Et pourquoi c'est un gros enjeu ?
01:32Parce qu'aujourd'hui, quelques grandes organisations étaient déjà préparées, en fait, à répondre à ces demandes législatives.
01:39Mais là, c'est l'élargissement, en fait, du nombre d'organisations concernées.
01:43Exact. On s'est rendu compte, en fait, que même avec NIS1, il y avait tout de même un accroissement des attaques,
01:48surtout sur les collectivités, par exemple, le service public, mais aussi toutes les TPE et moyennes entreprises.
01:54Et donc, on s'est rendu compte que, potentiellement, ce n'était pas assez effectif.
01:57Et donc, ils ont élargi le nombre de sociétés.
01:59Ils ont renommé, d'ailleurs, on ne parle plus d'opérateurs, mais plutôt d'entités, maintenant.
02:03Donc, ils ont un peu unifié cette manière de dénommer les entités.
02:07Et, effectivement, élargi le scope pour être certain que tout le monde soit responsable
02:11et essaye d'implémenter une sécurité dans leur système d'information,
02:14ce qui n'est pas toujours le cas quand on doit faire la différenciation entre l'opérationnel et la sécurité.
02:19Et donc, comme le 17 octobre, c'est bientôt, est-ce que tout le monde est prêt ?
02:22Absolument pas. Pour être tout à fait transparent,
02:25toutes les sociétés ont déjà un minimum de maturité sécurité.
02:29Donc, toutes ces sociétés-là auront une facilité, on va dire, de pouvoir implémenter NIS2 dans leur système d'information.
02:36En revanche, on constate beaucoup trop aujourd'hui, on va dire, de non-volonté d'investir sur des outils de sécurité
02:43parce qu'on privilégie l'aspect retour sur l'assissement opérationnel dans un premier temps.
02:47Ce qu'il faut voir, c'est que là où le bas blesse particulièrement,
02:51et on le voit d'ailleurs aujourd'hui dans toutes les nouvelles, on va dire, attaques qui arrivent,
02:57c'est que les sites d'information ne sont plus simplement un site d'information qu'on contrôle dans nos locaux, etc.
03:03C'est vraiment plusieurs parties prenantes, des sous-traitants, des fournisseurs de cloud, par exemple,
03:08d'applicatifs ou carrément d'infrastructures à ce service.
03:11Donc, en fait, les sites d'information ont vraiment évolué énormément et sont complexes aujourd'hui.
03:16Et donc, essayer d'appliquer une gouvernance de la sécurité et des risques dans tous ces entrepôts, c'est ultra compliqué.
03:22Et c'est là où NIS2 est intéressant puisque elles ont également impliqué les prestataires de cloud,
03:28justement les fournisseurs de cloud et de services numériques également,
03:32dans ces directives pour les forcer à se mettre en conformité à la sécurité
03:36parce qu'on sait qu'aujourd'hui, une attaque sur un prestataire de cloud ou un prestataire de services
03:41potentiellement ouvre la porte à un grand nombre de clients et c'est important.
03:44Alors, la responsabilité personnelle des dirigeants peut être engagée en cas de manquement aux obligations.
03:51Ça fait quand même réfléchir.
03:53Est-ce que les patrons, les dirigeants ont pris la mesure de ce qui se passait ?
03:58Ce qui est super intéressant, effectivement, c'est que chaque société qui doit implémenter NIS2
04:04a l'obligation de reporter à l'ANSI un responsable de la sécurité,
04:08donc un garant de l'implémentation de cette directive dans le système d'information.
04:13S'il y a un manquement, c'est cette personne-là qui est effectivement responsable.
04:17Du coup, ils sont obligés.
04:18Et dans cette obligation, ce qui n'était pas le cas avec le RGPD par exemple,
04:22dans cette réglementation-là, comme ils ne peuvent pas se dire « Ah non, je ne savais pas ».
04:26Aujourd'hui, c'est tellement vaste, on pourra repartir sur peut-être l'implémentation,
04:30mais c'est tellement vaste qu'un RSSI ou autre similaire a l'obligation d'être certain
04:37de pouvoir garantir la sécurité dans le système d'information, garantir la sécurité de ses données.
04:42C'est explicitement mentionné d'ailleurs.
04:44Il faut une sécurité stricte sur l'accès aux données, surtout sensible.
04:48Ensuite, toute la partie cryptographie, vraiment être certain qu'on est en état de l'art
04:52avec toute la crypto, tous les protocoles qui existent aujourd'hui.
04:56Et finalement, aussi avoir des plans de continuité d'activité,
04:59à savoir se mettre dans le pire des scénarios possibles.
05:01Il se passe un problème, qu'est-ce qu'on fait concrètement aujourd'hui ?
05:03Est-ce que vous avez une élaboration ?
05:05Comment on évite ? Mon sujet, c'était un peu comment éviter le coup de bâton, la sanction.
05:09J'imagine que... Alors déjà, je ne sais pas si le 17 octobre,
05:12véritablement, on va adapter le droit français pour appliquer cette directive,
05:17parce que les échéances politiques ont été un peu chahutées.
05:20Donc on verra déjà, et j'imagine qu'on aura un délai aussi pour s'y préparer.
05:26Mais enfin, qu'est-ce qu'on doit mettre en place, selon vous, en priorité ?
05:30Chez les sociétés, c'est un outillage.
05:33Il faut être en capacité, au moins sur la partie protection des données,
05:36qui est un pan vraiment majeur dans l'IS II, d'être en capacité d'identifier les risques.
05:41Quel que soit l'endroit où se situe la donnée,
05:43d'identifier où est ma donnée sensible, critique à ma société,
05:46extrapoler les risques associés à cette donnée.
05:48Donc est-ce qu'il y a un problème, potentiellement, à ces données ?
05:50Remédier ça automatiquement et ensuite avoir,
05:53et ça c'est un point vraiment prépondérant dans l'IS II,
05:56avoir la capacité d'identifier, justement, toute l'activité qui arrive sur ces données
06:00et surtout d'identifier, on va dire, une action anormale ou malveillante sur ces données.
06:05Donc détecter des incidents de sécurité.
06:07Je vous ai demandé juste une première chose à faire, ça fait déjà beaucoup.
06:10Merci, merci Pierre-Antoine Fahy-Crofort.
06:14Je rappelle que vous êtes le responsable de l'équipe Réponse à Incidents.
06:17Chez Varonis. Merci beaucoup.
06:19Merci Christine.