Directive NIS 2, vers des investissements cybersécurité renforcés

0

Les cyber-menaces ne cessent d’évoluer et de se complexifier. De plus, depuis la pandémie et l’instauration du travail à distance, les surfaces d’attaques augmentent.

Avec le recours au cloud devenu indispensable pour bon nombre d’entreprises, les cyberattaquants ne s’intéressent plus uniquement à la donnée en elle-même, mais aussi aux identifiants de connexion.
Alors qu’il en va de la pérennité et de la réputation des entreprises en cas d’activité malveillante, le niveau de sécurité n’est pas toujours suffisamment adapté.

Depuis 2016, l’Union Européenne impose aux entreprises « essentielles » des normes de sécurité renforcée par le biais de la directive « Network and Information Security » (NIS). Ce texte a été récemment révisé, et le 12 mai dernier, la Commission, le Parlement et le Conseil ont été en mesure d’annoncer un nouvel accord, le NIS 2, qui devrait imposer à des milliers d’entreprises européennes d’investir pour être mieux protégées en matière de cybersécurité.

La cybersécurité doit être une priorité pour chaque entreprise, quel que soit sa taille et son secteur d’activité. La donnée est cruciale pour pouvoir prendre des décisions avérées, et chacun se doit de la protéger. 

Avec l’explosion du cloud, les cyberattaquants disposent d’une multitude d’accès aux données d’une entreprises. Les risques encourus sont nombreux : une non-conformité RGPD, une pérennité mise en cause, un arrêt de la production, ou encore des conséquences sur leur réputation. Toutes les entreprises sont différentes, et leur stratégie va donc dépendre de leur taille, de leur activité, et par conséquent des données qu’elles détiennent. Une banque, un hôpital ou même une municipalité n’aura pas les mêmes besoins et donc la même stratégie qu’une petite entreprise indépendante par exemple.

Pourtant, même si les effectifs et ressources dédiés ne sont pas comparables, les enjeux sont les mêmes. Les dirigeants, les équipes de sécurité, les employés doivent prendre conscience des risques et adopter les bonnes stratégies et pratiques. Mettre en place des formations sur la conservation des données et sur le comportement à avoir en cas d’attaques, adopter une réponse aux usages « à risque » comme le BYOD (l’utilisation de matériels personnels pour un usage professionnel) ou le Shadow IT (l’utilisation d’applications non approuvées par un service IT) sont des actions qu’il faudrait voir implémentées dans toutes les entreprises. 

Enfin, l’investissement en solutions de cyber-sécurité répondant aux menaces actuelles devrait être automatique. Configurés à l’image de l’entreprise, ils pourront apporter une réponse aux nécessités de détection et de protection pour l’ensemble de l’infrastructure et des données. Si cela peut représenter un budget conséquent pour certaines entreprises, ce type de dépenses sera certainement toujours inférieur aux pertes financières provoquées par une attaque, directes ou indirectes, comme beaucoup d’entreprises ont pu le constater par le passé. 

About Author

Laurent Maréchal

Technology Architect Cloud McAfee

Leave A Reply