10 commandements de la NIS 2

Les 10 commandements de la cybersécurité (art. 21 NIS2)

On ne plaisante pas avec la sécurité nationale et parce que, prévenir vaut mieux que guérir, l’Europe a publié la directive NIS 2 sur la cybersécurité.
Selon la NIS2 les entités (administrations ou sociétés), dites essentielles (sans lesquelles un état ne peut pas fonctionner) et importantes (par exemple une société produisant des denrées alimentaires) sont sommées d’ici fin 2024 d’avoir mis en place des mesures pour assurer la continuité de leur service en cas d’attaque de leur système d’information OT et/ou IT.
Et parce que la raison ne suffit pas toujours de lourdes amendes sont prévues à partir de 2025 pour ceux qui ne se seraient pas préparés à défendre la souveraineté nationale.

Les mesures visées au paragraphe 1 de NIS2 sont fondées sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents.

Voici les 10 commandements à suivre, pour les EE (entreprises essentielles) et les EI (entreprises importantes), selon l’article 21 de la NIS 2 ( le texte intégral est reproduit plus loin dans l’article).

  1. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
  2. utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
  3. des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
  4. les pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité
  5. des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement
  6. les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
  7. la gestion des incidents
  8. la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises
  9. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs
  10. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs

Pour répondre à ces exigences les fabricants de solutions pour les réseaux OT, tel que Moxa, proposent désormais des produits conformes à l’IEC62443, un standard qui permet de respecter les points clés de ces 10 commandements.

Découvrez l’intégralité du texte paru au JO concernant la directive NIS 2

Directive-NIS-2-parution-au-JO-en-francais