NIS 2 : Renforcer la sécurité des chaînes d’approvisionnement pour une Europe plus cyber-résiliente

Mourad El Malki, CISO InterCloud revient sur le sujet de la directive NIS 2 et la sécurité des chaines d’approvisionnement.

Comment les entreprises peuvent-elles efficacement se conformer à la directive NIS 2 pour renforcer la sécurité de leurs chaînes d’approvisionnement face aux cybermenaces croissantes ?

Attention, les sanctions prévues en cas de non-conformité à la NIS 2 sont dissuasives : jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires pour les entités importantes ! (https://cyber.gouv.fr/la-directive-nis-2#obli). La directive NIS 2 est un texte législatif crucial pour renforcer la cybersécurité des infrastructures critiques en Europe. Elle tend à renforcer la sécurité de la supply chain et à réduire les risques liés aux sous-traitants. Les entreprises doivent réaliser des évaluations des risques détaillées et régulières pour identifier et atténuer les vulnérabilités dans leurs opérations et leurs chaînes d’approvisionnement.

Cette évolution met en lumière l’urgence pour les organisations de renforcer leurs mesures de sécurité pour prévenir de telles attaques et protéger non seulement leurs propres opérations, mais aussi l’ensemble de leurs partenaires et fournisseurs. Face à cette menace croissante, la directive NIS 2 apporte un cadre réglementaire plus robuste pour la cybersécurité des chaînes d’approvisionnement. En effet, les chaînes d’approvisionnement sont de plus en plus ciblées par les cybercriminels, qui exploitent les vulnérabilités d’un fournisseur pour accéder aux systèmes et aux données d’une autre entreprise.

En France, le nombre d’entités concernées est estimé à 15 000, soit dix fois plus qu’en vertu de la directive NIS 1. Cette augmentation significative reflète la volonté des autorités européennes de mieux protéger l’ensemble des secteurs critiques face aux cybermenaces croissantes. A l’échelle européenne, on estime que 150 000 entités seront désormais soumises aux exigences de la directive NIS 2. Ce chiffre inclut les administrations publiques et les entreprises opérant dans des secteurs tels que l’énergie, les transports, la santé, les services financiers et les industries manufacturières.

L’élargissement du champ d’application de la directive NIS 2 s’explique par la reconnaissance croissante de l’interdépendance des infrastructures critiques. Une cyberattaque ciblant une entité apparemment mineure peut avoir des conséquences graves pour l’ensemble de la chaîne d’approvisionnement, voire pour l’économie tout entière. En conséquence, les organisations concernées devront mettre en place des mesures de cybersécurité robustes pour protéger leurs systèmes et données, ainsi que celles de leurs fournisseurs. La directive NIS 2 contribuera ainsi à renforcer la résilience de l’Europe face aux cybermenaces.

La directive NIS 2 impose aux organisations un certain nombre d’exigences en matière de sécurité des chaînes d’approvisionnement, notamment :

• Identifier et évaluer les risques de cybersécurité liés aux fournisseurs. Cela implique de cartographier la chaîne d’approvisionnement et de comprendre les types de données et de systèmes auxquels les fournisseurs ont accès.
• Mettre en place des contrôles de sécurité appropriés pour les fournisseurs. Cela peut inclure des exigences contractuelles, des audits de sécurité et des contrôles d’accès.
• Surveiller en permanence les activités des fournisseurs. Cela permet de détecter les activités suspectes et de prendre des mesures correctives en cas d’incident.
• Notifier les incidents de cybersécurité aux autorités compétentes. C’est important pour aider les autorités à suivre les tendances en matière de cybersécurité et à prendre des mesures préventives.

Les 3 avantages de la directive NIS 2 pour la sécurité des chaînes d’approvisionnement

La directive NIS 2 devrait contribuer à améliorer la sécurité des chaînes d’approvisionnement de plusieurs façons :

• La directive NIS 2 obligera les organisations à se concentrer sur la sécurité de leurs chaînes d’approvisionnement, ce qui devrait conduire à une meilleure prise de conscience des risques et à l’adoption de meilleures pratiques.
• La directive NIS 2 impose aux organisations de mettre en place des contrôles de sécurité plus rigoureux pour leurs fournisseurs, ce qui devrait rendre plus difficile pour les cybercriminels d’infiltrer les chaînes d’approvisionnement.
• La directive NIS 2 encourage la collaboration entre les organisations et les autorités compétentes, ce qui devrait permettre de partager plus facilement les informations sur les cybermenaces et de mieux coordonner les réponses aux incidents.

Face aux cybermenaces croissantes, il est impératif que les entreprises adoptent une approche proactive pour renforcer la sécurité de leurs chaînes d’approvisionnement. La directive NIS 2 fournit un cadre réglementaire solide pour les aider à atteindre cet objectif.

Lors de la sélection d’un partenaire pour gérer des fonctions informatiques critiques, il est essentiel que les organisations s’assurent que ce dernier comprend non seulement leurs exigences spécifiques, mais possède également l’expertise nécessaire pour les aider à y répondre. Cela est particulièrement important dans le contexte de la directive NIS2.

Pour se conformer à la directive NIS2, les organisations doivent travailler avec des partenaires informatiques qui sont non seulement capables de fournir les services nécessaires, mais qui connaissent également bien les exigences réglementaires et peuvent aider à mettre en œuvre les mesures de sécurité techniques et organisationnelles nécessaires pour répondre à ces nouvelles obligations.

Et surtout, n’oubliez pas ! la confiance n’exclut pas le contrôle, un contrôle continu …