Immuniser l’Europe contre les cybermenaces : la NIS2 et le rôle du Zero Trust

J’ai l’impression qu’hier encore j’étais à la cérémonie de fin d’année scolaire de mes enfants. Le Championnat d’Europe de football est maintenant terminé et les Jeux olympiques battent leur plein. Cet été passe à toute vitesse. Et avec lui, le délai dont disposent les entreprises pour se préparer à la prochaine directive NIS2 (Network and Information Security 2), dont l’échéance clé est octobre 2024.

Ceux qui ont suivi mon flux de contenu au cours des derniers mois seront peut-être surpris d’apprendre que j’étais auparavant sceptique à l’égard de cette législation, de ses véritables motivations et de son efficacité. Mais plus je me plonge dans la NIS2, plus je suis convaincu qu’il s’agit d’un énorme pas en avant pour la cybersécurité en Europe.

Loin d’être un exercice de conformité performatif réalisé par des entreprises individuelles, je pense que la directive NIS2 représente une avancée majeure dans l’immunisation de l’ensemble de la région européenne contre les cybermenaces actuelles et à venir. Avec son champ d’application élargi, ses exigences de cybersécurité plus strictes, son obligation de signaler les cyberincidents et ses amendes (personnelles) potentielles, cette directive sensibilise les conseils d’administration et les secteurs qui, historiquement, ne se souciaient pas autant de la sécurité ou de la gouvernance, et les incite à améliorer considérablement leur posture de cybersécurité.

Ou du moins, cela devrait être le cas. Si les entreprises se donnent la peine de bien la comprendre.

Lorsque nous avons discuté avec les responsables informatiques de leurs approches de la NIS2 plus tôt cette année, 80 % d’entre eux nous ont dit qu’ils étaient confiants que leurs entreprises seraient conformes d’ici la date limite d’octobre, mais seulement 53 % pensaient que leurs équipes comprenaient pleinement la portée de ses obligations. Ce chiffre est tombé à 49 % lorsqu’on a posé la même question aux responsables informatiques de leur entreprise. Ce dont ils étaient pleinement conscients, c’est que la NIS2 exige un changement radical de leurs stratégies de sécurité actuelles. Cependant, nombre d’entre eux ont besoin d’un soutien plus important que celui dont ils bénéficient pour y parvenir.

Aucun fournisseur/éditeur de solution ou de logiciel ne peut garantir la conformité à la NIS2. Cependant, l’adhésion aux principes Zero Trust (que la directive elle-même suggère aux entreprises d’adopter comme pratique de cyberhygiène de base) répond à un certain nombre de ses critères, en réduisant radicalement les surfaces d’attaque et en supprimant un large éventail de variables techniques qui peuvent entraver les progrès vers la conformité.

Et c’est là que Zscaler entre en jeu. Dans notre dernier livre blanc, « Working towards NIS2 conformity - how Zero Trust needs to be a critical part of this journey » (Le Zero Trust, levier essentiel de la conformité à la directive NIS2), nous examinons comment une architecture Zero Trust, ainsi que les capacités et les outils spécifiques de Zscaler, peuvent aider les entreprises à relever les défis de la NIS2. Et, dans la mesure où le déploiement de la NIS2 peut varier légèrement d’un État membre à l’autre, nous nous concentrons sur les exigences et les principes généraux de la directive elle-même, en divisant les orientations en quatre domaines principaux :

·    Mesures concernant la gestion des risques liés à la cybersécurité

·    Mesures concernant la gouvernance de la cybersécurité

·    Exigences concernant le signalement des incidents

·    Supervision et mise en œuvre

La lecture de ce document devrait s’avérer utile pour ceux qui estiment avoir besoin d’un soutien supplémentaire pour mener à bien leurs efforts de conformité à la directive NIS2 d’ici octobre.

Toutefois, si vous avez parcouru ce blog et que vous vous sentez confiant dans votre capacité à vous mettre en conformité, je vous suggère tout de même de consulter notre livre blanc pour voir comment vous pourriez aider d’autres personnes dans votre secteur ou votre écosystème. Ce type d’effort réglementaire illustre parfaitement le vieil aphorisme selon lequel « une marée montante soulève tous les bateaux ». Ou, en d’autres termes, il ne sert à rien de protéger son propre appartement contre les incendies si tout l’immeuble s’écroule. 

L’Europe ne peut véritablement renforcer ses cyberdéfenses que grâce à un effort concerté des entreprises de toutes tailles et de tous secteurs pour améliorer leurs mécanismes de sécurité, réduire leur exposition aux cyber-risques et rationaliser les activités de mise en conformité.