Directive nis 2

Directive NIS 2 pour renforcer la cybersécurité OT

Avec NIS 2 des milliers d’entreprises françaises doivent renforcer leur cyber-sécurité dés 2024

En 2024 une entreprise qui produit des brioches et emploie 251 personnes, pour un CA annuel de 51 millions d’euros, rentre dans le champ d’application de la directive NIS 2. Elle devra renforcer son arsenal cyber-sécuritaire, et participer ainsi à un effort de défense Européen.

La directive NIS2 (texte original en français)  vise en effet à atteindre une cyber-maturité commune dans l’ensemble de l’Union européenne
Et parce que l’on ne plaisante pas avec la sécurité, en cas d’incident de sécurité et de refus de collaboration avec les autorités, NIS 2 dote les États d’un droit d’injonction. Les entreprises pourront être soumises par les états Européens à des amendes comprises entre 1,4% à 2% du chiffre d’affaires.

Accès distant et cybersécurité

La mise en réseau des équipements industriels permet une gestion beaucoup plus fine et réactive des opérations.
En contre-partie elle a ouvert la porte des entreprises aux cyberattaques OT.
Il s’agit d’un problème crucial puisque, selon certaines estimations, 30 à 40 % des équipements industriels dans le monde sont déjà connectés à un réseau. Et cette part ne cesse d’augmenter.

Quelles sont les objectifs de la directive NIS 2 ?

Les objectifs de la directive NIS2 sont de renforcer la sécurité des réseaux et des systèmes d’information dans l’Union européenne. La directive vise à améliorer la coopération entre les États membres de l’UE en matière de cybersécurité et à garantir un niveau élevé de sécurité des réseaux et des systèmes d’information dans toute l’Union européenne. La directive impose également des obligations aux fournisseurs de services numériques et aux opérateurs d’infrastructures critiques pour garantir la sécurité de leurs réseaux et systèmes d’information.

Quels sont les secteurs concernés par la directive NIS 2 ?

La directive NIS2 s’applique à un  éventail d’entreprises et de secteurs d’activité bien plus large que la précédente directive NIS1. Elle concerne les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation ou encore les fabricants de produits chimiques et pharmaceutiques . Les secteurs d’activité ciblés par NIS2 passent ainsi de 19 à 35.

Combien d’entreprises sont concernées par la directive NIS2 ? EE ou EI ?

Selon la Tribune 150.000 entreprises en France sont concernées par la directive NIS2

NIS 2 intègre un mécanisme de proportionnalité, qui distingue deux catégories d’entités régulées en fonction de leur niveau de criticité : les EE ( entités essentielles) et les EI( entités importantes).
Les entités essentielles seront définies comme ayant un impact plus important en cas de coupure de service que les entités importantes.

Quand est ce que la directive NIS 2 sera mise en place ?

NIS 2 rentrera en vigueur en France, au plus tard, le deuxième semestre 2024. Certaines exigences seront d’application directe et d’autres devraient être soumises à un délai de mise en conformité.
En France, ce sera l’Agence nationale de sécurité des systèmes d’information (Anssi) qui aura pour mission d’en assurer le respect.

Comment les entreprises peuvent se préparer ?

Les entreprises peuvent se préparer à la directive NIS2 en mettant en place des mesures de sécurité pour protéger leurs systèmes d’information et leurs réseaux. Les mesures de sécurité comprennent notamment

  • la mise en place de systèmes de détection d’intrusion
  • la mise à jour régulière des logiciels et des systèmes d’exploitation
  • la formation des employés à la sécurité informatique
  • la mise en place de plans de continuité d’activité.
  • la segmentation de réseau
  • l’authentification forte
  • le contrôle d’accès
  • la détection des intrusions
  • la gestion des vulnérabilités
  • la résilience, etc.

Si la directive NIS 2 n’indique pas quels sont les standards à respecter l’ENISA, agence Européenne pour la cybersécurité, publie des documents précieux concernant les bonnes pratiques à suivre .

Comment renforcer la cybersécurité industrielle ?

L’adoption de l‘IEC 62443 permet de protéger les infrastructures industrielles. Cette norme couvre différents aspects de la sécurité, y compris la gestion des risques, la politique de sécurité, la conception sécurisée, la mise en œuvre de mesures de sécurité, la surveillance et la maintenance continue.

Norme internationale de cybersécurité industrielle développée par la Commission électrotechnique internationale (IEC), l’IEC 62443 fournit des directives et des recommandations pour la sécurité des systèmes de contrôle et d’automatisation industriels, notamment dans les secteurs tels que l’énergie, l’automatisation industrielle, les transports, l’industrie chimique.

Elle se compose de plusieurs parties qui traitent de divers aspects de la cybersécurité industrielle, notamment :
IEC 62443-4-1: Exigences techniques pour les systèmes de contrôle industriel
IEC 62443-4-2: Exigences techniques pour les systèmes de réseau

Pour améliorer la sécurité Sphinx France recommande les stations blanches HOGO certifiées par l’ANSSI  et les solutions MOXA certifiées IEC-62443-4-2 pour les réseaux OT.

Pour construire un réseau informatique OT, conforme à la IEC62443-4-2, SPHINX conseille par exemple  :
– les points d’accès MOXA AWK-3252A, AWK-4252A et AWK-1151C (disponibilité Q2 2023)
– des routeurs industriels sécurisés comme le Moxa EDR-9010. qui intègre un switch administrable de niveau 2
– des switches MOXA à monter sur rail comme l’EDS-G4008 ou des switches industriels de format rack, comme le RKS-G4028