Directive NIS 2 : les organisations doivent se mettre en ordre de marche et sécuriser leur écosystème fournisseurs

Évaluer cet élément
(3 Votes)

Conscientes de l’omniprésence et de la sophistication de la menace cyber en France, les entreprises ont pris le pas en augmentant leur budget et leurs compétences en interne. Malgré cela, elles sont toujours une grande majorité à déclarer ne pas être suffisamment armées.

Alors que l’Union Européenne adoptait la directive NIS 2 il y a un an, les pays membres ont maintenant jusqu’à octobre 2024 pour la transposer dans leur législation et la mettre en application sur leur territoire, un chantier d’envergure aux enjeux immenses.

Face à l’évolution de la menace, NIS 2 vise à renforcer la résilience des organisations, dont l’hygiène informatique de base, la formation à la cybersécurité, les politiques de contrôle d’accès et la gestion des actifs, les procédures de réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, et l’évaluation des mesures de gestion des risques de cybersécurité. Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), « cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber  ».
Xavier Daspre

Mais le passage risque d’être douloureux. Certaines études estiment que seules 6 % des organisations appliquent aujourd’hui la directive NIS initiale, et 46 % des conseils d’administration interrogés cette année dans l’enquête Board Perspectives estiment que leur organisation n’est pas préparée à faire face à une cyberattaque — un sentiment partagé par 78 % des décideurs IT et RSSI interrogés (Voice of the CISO, 2023). Par ailleurs, ils n’ont pas la même lecture du risque auquel leur entreprise est confrontée. Un décalage qui pourrait être inquiétant s’il persiste.

En effet, les menaces sur la chaîne d’approvisionnement ne semblent pas encore être une priorité pour les conseils d’administration alors que, ces dernières années, les cybercriminels se tournent de plus en plus vers les écosystèmes des partenaires et les fournisseurs critiques des entreprises pour les infiltrer. Les attaquants usurpent leur identité pour capitaliser sur la relation de confiance préexistante, et perpétrer ainsi des actions de fraude à la facturation, ou compromettre les systèmes par l’envoi de logiciels malveillants via des pièces jointes infectées indétectables.

Une méthode qui a récemment impacté Pôle Emploi (plus de 10 millions de noms et prénoms, statut et numéro de sécurité sociale exfiltrés et mis en vente sur le darknet) et l’entreprise Econocom, où la compromission d’un de ces prestataires de services qui avait accès à une ressource d’Econocom a permis aux cybercriminels de faire main basse sur 70 gigaoctets de données, dont des mots de passe, des documents internes et des correspondances privées.

La Supply Chain au cœur de la directive NIS 2

À l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Elles seront près de 600 concernées, parmi lesquelles des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés, du chiffre d’affaires et de la nature de l’activité réalisée par l’entité.

Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif pour renforcer leur niveau de sécurité. Car comme le confirme l’Anssi, ils sont de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques.

Si de nombreux points d’interrogation demeurent quant à la définition exacte de la réglementation et son application, l’Anssi a déjà déployé des ressources pour accompagner les entreprises (MonServiceSécurisé), et assure qu’«  un support aussi bien en termes de respect de la réglementation (compréhension des attentes de l’autorité) qu’en termes d’accompagnement (compréhension des enjeux et clarification des actions à mettre en place en interne des entités)  » sera rapidement déployé.

Comment se préparer  ?

Le courrier électronique restant le premier vecteur d’attaque dans plus de 90 % des cas, la protection des boîtes de messagerie est un des principaux enjeux. Pour renforcer leur cybersécurité, les organisations peuvent ainsi considérer imposer des mesures plus opérationnelles, comme l’authentification DMARC, qui constitue à ce jour l’une des armes les plus puissantes pour lutter contre le « domain spoofing » (ou usurpation de domaine), vecteur central de toute campagne de phishing.

DMARC (pour Domain-based Message Authentication, Reporting & Conformance) est un protocole international d’authentification des messages électroniques qui authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination. L’outil, accessible à tous, protège les noms de domaine des entreprises et des institutions contre leur utilisation abusive par des cybercriminels.

Si l'authentification DMARC progresse à vitesse réduite en France, cela devrait s'intensifier dans les mois à venir. En effet, Google et Yahoo ont annoncé qu'à partir de février 2024, ils exigeraient l'authentification des courriels pour recevoir des messages sur leurs plateformes. Ces exigences de sécurité s'appliqueront en particulier aux comptes envoyant d’importants volumes de courriels par jour qui devront, entre autres, déployer le protocole d'authentification DMARC au risque sinon d'impacter significativement la délivrabilité des messages légitimes envoyés aux comptes Gmail et Yahoo. Une annonce indiquant que des mesures importantes sont prises et qui implique une mise à niveau très rapides des entreprises.

En France, l’Anssi recommande son utilisation depuis 2017 (Guide d’hygiène informatique) et l’authentification DMARC a déjà été mise en place sur des sites critiques et souvent usurpés, tels que celui de la Gendarmerie Nationale ou encore le site impôts.gouv, nom de domaine au cœur de nombreuses campagnes de phishing.

Aujourd’hui, des mesures supplémentaires de certification d’origine des courriels existent, comme le sceau «  BIMI  » (Brand Indicators for Message Identification) — uniquement ouvert aux noms de domaines protégés par DMARC — et qui permet aux entreprises d’afficher leurs logos dans les boîtes de messagerie des destinataires, près du nom de l’émetteur.

Enfin, bien que les enjeux de cybersécurité aient pris leur place à l’ordre du jour des conseils d’administration, la collaboration entre ses membres, les RSSI et les DSI doit plus que jamais être mise en avant pour garantir la synergie des efforts en matière de protection cyber. Alors que seulement 56 % des membres de conseil d’administration déclarent interagir régulièrement avec leurs responsables de la sécurité, les échanges se sont tout de même amplifiés. Cependant, les préoccupations divergent encore et la mise en place d’une politique commune en cybersécurité est la première étape pour protéger au mieux les organisations.

Par Xavier Daspre, Directeur Technique France - Proofpoint

Lu 3555 fois Dernière modification le mardi, 05 décembre 2023 14:02
Nos contributeurs

Nos contributeurs vous proposent des tribunes ou des dossiers rédigées en exclusivité pour notre média. Toutes les thématiques ont été au préalable validées par le service Rédaction qui évalue la pertinence du sujet, l’adéquation avec les attentes de nos lecteurs et la qualité du contenu. Pour toute suggestion de tribune, n’hésitez pas à envoyer vos thématiques pour validation à veronique.benard@gpomag.fr

Annonce

Adobe Express 300x250

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

 

è  DÉMATÉRIALISATION DES FACTURES : Une opportunité de performer pour les entreprises

visuel dématérialisation des factures.jpg

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 

è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

è  ACROBAT : L'application PDF

Acrobat, l'application PDF n°1 adoptée par + de 5 millions de professionnels dans le monde. Rencontre avec Lofti Elbouhali, spécialiste Adobe chez inmac wstore

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts