Dans un panorama chaque fois plus hostile en matière de cybersécurité, les organisations ne peuvent pas permettre de baisser la garde avant les attaques cybernétiques. L’année 2024 a présenté une menace sans précédent, avec une augmentation significative du nombre de cigarettes, qui a permis à l’Espagne de se trouver dans l’octave position des pays les plus touchés au niveau mondial. Avant cette forte pression, les entreprises doivent mettre en œuvre des mesures de sécurité beaucoup plus strictes, qui incluent une meilleure évaluation et une meilleure gestion des risques. En réponse à ce contexte, l’Union européenne a révisé et actualisé la Directiva NIS2 (Directiva de Seguridad de Redes y Sistemas de Información) de 2016.
La nouvelle norme, qui doit être incorporée aux législations nationales des États avant le 17 octobre, doit renforcer la capacité de réponse aux incidents cybernétiques dans un environnement encore plus compliqué pour l’augmentation des mesures. Les entreprises ont le devoir d’adapter un scénario où les attaques sont les plus sophistiquées et les plus dangereuses depuis un an.
Le facteur humain et la chaîne de direction, principaux défis pour l’adaptation à la NIS2
On estime que plus de 2 000 entreprises en Espagne, dans des secteurs critiques comme l’énergie, les transports, la santé et les finances, devraient adopter une série de mesures pour gérer les meilleurs revenus cibernétiques. Ces mesures incluent l’amélioration des processus de notification des incidents, la préparation d’une collaboration plus active avec d’autres acteurs du secteur et des autorités, et la coordination entre les secteurs publics et privés. Tout cela a pour objectif d’obtenir une réponse plus efficace aux ciberataques possibles.
Iván Bermejo, responsable de l’équipe de sécurité défensive chez Innovery by Neverhack España, a souligné l’importance que les entreprises comprennent les détails de la directive et soient préparées adéquatement pour les intégrer. «Notre réponse est d’aider les entreprises à concevoir une heure de route qui leur permet de s’adapter à cette norme de manière efficace», commente-t-il.
Nouvelle directive NIS2
Pour Bermejo, le complément de NIS2 va surtout permettre d’actualiser les systèmes technologiques. Les principaux défis résident dans le facteur humain et la gestion de la chaîne de direction :
- Concienciación y formación. Si la technologie actuelle est bien équipée pour envoyer des cigarettes, le vrai point vulnérable reste le facteur humain. La plupart des incidents de cybersécurité, entre 75 % et 95 %, sont le résultat d’erreurs humaines. Par conséquent, la formation des employés en cyberrésilience et la partie centrale de la stratégie de sécurité sont essentielles pour minimiser les risques.
- Gestion de la chaîne de suministro. NIS2 introduit un changement dans la forme dans laquelle les entreprises doivent interagir avec leurs fournisseurs. Maintenant, les organisations sont tenues d’évaluer leurs fournisseurs et de garantir que leurs interactions sont obligatoirement protégées. Cela implique, entre autres choses, de fournir des accès VPN séparés et d’appliquer des mesures de sécurité strictes sur les communications externes. Les entreprises qui ne peuvent pas s’adapter à ces nouvelles exigences doivent reconsidérer leurs relations avec les tiers pour se conformer à la norme.
Les sanctions qui ne sont pas conformes à la norme peuvent imposer jusqu’à 10 millions d’euros aux entreprises des secteurs critiques. Sans embargo, surtout les sanctions économiques, l’impact sur la réputation et la perte de confiance des clients et des sociétés peuvent entraîner des dévastateurs. Il est donc crucial que les entreprises développent des stratégies claires pour s’aligner sur les exigences de NIS2 et protéger leurs systèmes technologiques sur une grande surface.
