Ivanti Blog: Publié par

5 bonnes raisons de se préparer dès maintenant à la directive NIS2 - Seconde partie : L'implémentation prend du temps

Mon, 28 Aug 2023 17:43:02 Z

Dans le billet de blog précédent, je vous ai parlé des deux principaux éléments à auditer avant la ratification de la mise à jour de la directive Network and Information Security (NIS2) de l'Union européenne, en octobre 2024. Pour être précis, ces audits doivent :

Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2.

Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement.

Maintenant que nous connaissons ces failles de sécurité, il faut les corriger... et ce, avant que le délai s'écoule, soit avant octobre 2024.

C'est pourquoi, dans ce billet, je vais vous guider pour vous aider à résoudre vos problèmes de sécurité les plus criants avant la date butoir d'entrée en vigueur de la NIS2. Cela passe par trois points essentiels :

Informer la Direction de vos faiblesses en matière de cybersécurité
Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité
Trouver le temps de former tous vos collaborateurs

1. Informer la Direction de vos faiblesses... et obtenir le budget nécessaire pour les corriger

La directive NIS2 fixe des obligations importantes pour les entreprises qui relèvent de son champ d'application, ce qui peut entraîner des coûts et des ressources considérables. La directive prévoit aussi de lourdes amendes et sanctions en cas de non-conformité, jusqu'à un maximum de 10 millions d'euros ou 2 % du chiffre d'affaires annuel global de l'entreprise (Article 34).

De plus, la nouvelle directive peut étendre la responsabilité des entités aux personnes qui les représentent, dans certaines situations. Et surtout, si certaines conditions sont remplies, des personnes occupant des postes de Direction pourraient être temporairement suspendues (Article 32-5b).

Par conséquent, le respect de la directive NIS2 est une nécessité légale et une priorité stratégique.

Pour être conforme, vous devez :

Informer votre Direction de ses implications et de ses avantages, et la convaincre de vous allouer un budget et des ressources suffisants pour vous mettre en conformité.
Présenter une analyse commerciale claire, montrant le danger de la non-conformité, les opportunités de mise en conformité et le retour sur investissement.
Montrez comment la mise en conformité va améliorer la réputation de votre entreprise, la confiance qu'elle inspire, sa compétitivité et sa résilience.

Informer la Direction et obtenir le budget voulu n'est pas simple. Cela nécessite une argumentation persuasive et étayée de preuves, mettant en évidence la valeur de la cybersécurité pour votre entreprise.

Plus tôt vous entamerez le processus, plus vous aurez de temps pour gagner l'adhésion et le soutien de la Direction.

Avantages possibles de la conformité à la NIS2 pour une entreprise

Voici les avantages potentiels que vous pouvez mettre en avant dans votre analyse commerciale :

Réduction des coûts opérationnels : Vous allez prévenir les cyberattaques ou minimiser leur impact, notamment concernant les coupures de service, les fuites de données, le paiement de rançons, les poursuites judiciaires, etc.
Augmentation du chiffre d'affaires : Vous allez attirer ou conserver des clients qui valorisent la sécurité, la confidentialité, la qualité, etc.
Amélioration de l'efficacité : Vous allez rationaliser les processus, booster les performances, limiter les erreurs, etc.
Innovation : Vous allez adopter de nouvelles technologies, développer de nouveaux produits ou services, créer de nouveaux marchés, etc.
Application d'autres réglementations ou normes de cybersécurité, en plus de la NIS2 (RGPD, ISO 27001, PCI DSS, entre autres) : Ces cadres normatifs globaux chevauchent souvent le cadre d'exigences de conformité de la NIS2.

Sources potentielles d'informations pour justifier votre analyse commerciale de conformité à la NIS2

Voici des sources que vous pouvez utiliser pour soutenir votre argumentation :

Statistiques ou chiffres montrant la prévalence, l'impact ou le coût des cyberattaques dans votre secteur ou région.
Études de cas ou exemples montrant les avantages que d'autres entreprises ont tirés de la mise en conformité avec la directive NIS2 ou des réglementations similaires. Par exemple, le rapport Enisa « NIS Investments 2022 » (Investissements 2022 pour la NIS) montre que, dans 62 % des entreprises ayant implémenté l'ancienne directive NIS, cette implémentation a permis de détecter des incidents de sécurité. Pour 21 % d'entre elles, l'implémentation a facilité la récupération après un incident de sécurité.
Témoignages ou remontées d'informations de la part de clients, de partenaires, de régulateurs ou d'experts, qui approuvent ou recommandent la mise en conformité avec la directive NIS2 ou d'autres réglementations similaires.
Bancs de tests ou indicateurs montrant vos performances ou progrès (actuels ou prévus) en matière de cybersécurité par rapport à la directive NIS2 ou à vos concurrents.
Le document Ivanti « 2023 Cyberstrategy Tool Kit for Internal Buy-In » (Kit d'outils de cyberstratégie 2023 pour l'adhésion en interne) constitue aussi une ressource précieuse. Il décrit le délai de fonctionnalité et le coût, montre comment une solution aide à se protéger de certains types de cyberattaque, et explique comment répondre aux objections les plus courantes.

Avantages généraux de la conformité à la directive NIS2 pour une entreprise

Voici certains des avantages de la mise en conformité avec la directive NIS2 :

Réduction des coûts opérationnels. Vous allez prévenir les cyberattaques ou minimiser leur impact, notamment concernant les coupures de service, les fuites de données, le paiement de rançons, les poursuites judiciaires, etc. D'après un rapport IBM, le coût moyen d'une fuite de données en 2022 atteignait 4,82 millions de dollars pour les infrastructures critiques, et le délai moyen d'identification et de contention d'une fuite était de 277 jours. Si vous prenez des mesures pour vous mettre en conformité avec la directive NIS2, le temps moyen nécessaire pour identifier et colmater les fuites sera bien plus court, et vous réduirez le coût des attaques.
Augmentation du chiffre d'affaires. Vous allez attirer ou conserver des clients qui valorisent la sécurité, la confidentialité, la qualité et autres facteurs de ce type. D'après une enquête PwC, 87 % des clients disent qu'ils changeront d'interlocuteur s'ils n'ont pas confiance dans les pratiques d'une entreprise concernant les données. Et 71 % des clients affirment qu'ils arrêteront d'utiliser les produits ou services d'une entreprise s'ils s'aperçoivent qu'elle partage leurs données sans leur permission, ce qui peut se produire en cas de fuite de données.
Amélioration de l'efficacité. Vous allez rationaliser les processus, booster les performances, limiter les erreurs, etc. Accenture a montré que les entreprises qui adoptent des technologies de sécurité avancées peuvent réduire le coût des cybercrimes de jusqu'à 48 %.
Application d'autres réglementations ou normes qui exigent une bonne cybersécurité, notamment RGPD, ISO 27001, PCI DSS ou autres. Cisco souligne que 97 % des entreprises qui appliquent le RGPD en tirent des avantages comme l'obtention d'un avantage concurrentiel, l'efficacité opérationnelle et la réduction des délais de vente. On peut sans doute obtenir les mêmes résultats en appliquant la NIS2.

Concernant le budget, la proposition de directive de la Commission européenne (Annexe 7-1.4.3) mentionne que l'on estime que les entreprises entrant dans le champ d'application de la NIS2 auraient besoin d'une augmentation d'un maximum de 22 % de leurs dépenses actuelles en matière de sécurité TIC (Technologies de communication des informations) au cours des premières années suivant l'introduction de la directive NIS2.

Toutefois, la proposition mentionne également que cette augmentation moyenne des coûts de sécurité TIC entraînerait un retour sur investissement proportionnel, notamment en raison d'une réduction considérable du coût des incidents de cybersécurité.

2. Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité

Après avoir identifié les faiblesses et obtenu le budget nécessaire, il est temps d'éliminer ces faiblesses. La directive NIS2 exige que les entreprises mettent en place les mesures organisationnelles et techniques appropriées pour gérer leurs risques de cybersécurité et garantir un niveau élevé de sécurité pour tous leurs réseaux et systèmes d'information.

Ces mesures incluent :

Adoption de stratégies et de procédures pour la gestion des risques, la réponse aux incidents, la continuité des activités, la protection des données, etc.
Définition de rôles et de responsabilités pour la gouvernance, la surveillance et la coordination de la cybersécurité, entre autres.
Mise en place de programmes de formation et de sensibilisation pour le personnel, la Direction, les clients, etc.
Implémentation d'une cyberhygiène de base : cryptage, authentification (MFA), pare-feux, logiciel antivirus, application des correctifs, accès Zero Trust, et ainsi de suite.
Exécution régulière de tests, de surveillances d'audits et autres mesures.

L'implémentation de ces mesures organisationnelles et techniques ne se fait pas une fois pour toutes ni de façon statique. Cela nécessite la mise en place d'un processus continu et dynamique, capable de s'adapter à l'évolution des menaces, des technologies, des réglementations et des besoins de l'entreprise.

Ainsi, les conseils que je vous ai donnés pour les autres points abordés sont valables ici aussi : plus tôt vous commencerez, plus vous aurez de temps pour implémenter les mesures nécessaires et vous assurer qu'elles sont efficace.

Je vous conseille d'entamer l'implémentation au plus tard en janvier 2024, pour être prêt avant les vacances d'été.

Étapes suivantes pour la mise en œuvre de la directive NIS2

Voici certaines des étapes que vous pouvez suivre pour implémenter ces mesures organisationnelles et techniques :

Développement et implémentation d'unprocessus de gestion basée sur les risques définissant les objectifs, le champ d'action, les rôles, les responsabilités, les ressources, les délais et les mesures de gestion de vos risques de cybersécurité.
Implémentation d'une stratégie de sécurité précisant les principes, consignes, normes et procédures qui vous servent à garantir la sécurité de votre réseau et de vos systèmes d'information.
Exécution d'une évaluation des risques afin d'identifier les actifs, menaces, vulnérabilités, impacts et probabilités de cyberattaques de votre environnement, et de prioriser vos actions en fonction de votre goût du risque et de votre résistance.
Implémentation de contrôles de sécurité capables de protéger votre réseau et vos systèmes d'information contre toute tentative d'accès, utilisation, divulgation, modification ou destruction non autorisée. Ces contrôles entrent dans trois catégories : prévention (comme le cryptage), détection (surveillance, par exemple) et correction (comme la sauvegarde).
Implémentation d'unplan de réponse aux incidents définissant les processus, rôles, responsabilités, ressources, outils et canaux de communication dont vous disposez pour répondre efficacement aux cyberincidents.
Implémentation d'un plan de continuité des activités définissant les processus, rôles, responsabilités, ressources, outils et canaux de communication dont vous disposez pour maintenir ou restaurer vos processus métier critiques en cas de perturbation ou de sinistre liés à une cyberattaque.
Implémentation d'un plan de révision et d'amélioration servant à affiner vos processus, rôles, responsabilités, ressources, outils et canaux de communication afin de régulièrement évaluer, signaler et améliorer vos mesures de cybersécurité.
Implémentation de contrôles techniques pour la gestion des actifs et une cyberhygiène de base.

La définition de la cyberhygiène dans l'Article 21 de la directive est un peu vague, alors nous en parlerons davantage dans un autre billet de blog. Pour l'instant, envisagez des mesures de sécurité de base, notamment :

MFA.
Application des correctifs pour vos OS et applications le plus tôt possible.
Sécurisation des connexions réseau sur les réseaux publics.
Cryptage de tous les lecteurs (surtout les lecteurs amovibles).
Gestion des privilèges et éducation de tous les collaborateurs.
Abonnement à des sources d'informations sur les derniers correctifs et leur niveau de priorité, comme les webinars Patch Tuesday d'Ivanti.

3. Renforcer le maillon faible : trouver le temps de former tous les collaborateurs

La directive NIS2 reconnaît que le facteur humain est essentiel dans la cybersécurité, et que les collaborateurs constituent souvent le maillon faible (mais aussi la première ligne de défense) dans la prévention ou la détection des cyberattaques.

La directive impose aux entreprises de mettre en place des programmes de formation et de sensibilisation à l'attention de leurs collaborateurs, des utilisateurs des services numériques et des autres parties prenantes concernées par les problèmes de cybersécurité.

Former tous vos collaborateurs n'est pas une tâche sporadique ou facultative. Cela nécessite un programme régulier et complet, couvrant notamment les sujets suivants :

Concepts de base et terminologie de la cybersécurité.
Cybermenaces et vecteurs d'attaque courants.
Meilleures pratiques et astuces de cyberhygiène.
Stratégies et procédures de cybersécurité, présentées de façon pertinente et simplifiée pour les utilisateurs finaux.
Rôle et responsabilités de chaque utilisateur dans la cybersécurité de l'entreprise.
Comment signaler les incidents et y répondre.

Il est important de noter que cette formation doit être suivie par tout le monde dans l'entreprise, pas seulement par le personnel IT. Même les dirigeants doivent suivre cette formation.

Une enquête mandatée par Ivanti a montré que de nombreux collaborateurs ne sont même pas au courant qu'une formation à la cybersécurité est obligatoire. 27 % d'entre eux seulement se disent « bien préparés » à reconnaître et à signaler les menaces de type malware et hameçonnage au travail. 6 % d'entre eux se disent « bien préparés » à reconnaître et à signaler les menaces de type malware et hameçonnage au travail.

Dans le rapport Enisa « NIS Investments 2022 » (Investissements 2022 pour la NIS), l'Enisa mentionne que 40 % des OES (Operators of Essential Services - Opérateurs de services essentiels) interrogés n'ont aucun programme de sensibilisation à la sécurité pour le personnel non IT.

Il est important de savoir qui n'a pas encore été formé et d'agir en conséquence. Former tous vos collaborateurs est non seulement bénéfique pour la conformité, mais aussi pour la productivité, la qualité, l'innovation et la satisfaction des clients.

Le meilleur avis que je peux vous donner pour la NIS2

La directive NIS2 est une législation historique qui vise à renforcer la cybersécurité des secteurs critiques dans l'UE. Elle fixe des obligations importantes pour les entreprises qui relèvent de son champ d'application, ainsi que de lourdes amendes et sanctions en cas de non-conformité.

L'application de la directive NIS2 n'est pas une tâche facile. Elle réclame une approche proactive et exhaustive, incluant plusieurs étapes, parties prenantes et ressources.

Plus tôt vous commencerez à vous y préparer, plus vous serez prêt quand elle entrera en vigueur en octobre 2024.

Notre meilleur conseil ? N'attendez pas : commencez à vous préparer à la NIS2 dès aujourd'hui !

5 bonnes raisons de se préparer dès maintenant à la directive NIS2 - Première partie : Les audits prennent du temps

Mon, 28 Aug 2023 17:14:55 Z

Vous avez sans doute entendu parler de la nouvelle directive NIS2 (Network and Information Security - Sécurité du réseau et des informations) de l'Union européenne. Cette directive entrera en vigueur en octobre 2024. Vous devez vous y préparer, car les amendes et sanctions pour non-conformité seront très lourdes.

Mais vous pensez peut-être qu'octobre 2024 est bien loin de nous, non ? N'en croyez rien.

Après tout, comment savoir si vous avez largement le temps de vous préparer, si vous ne connaissez pas votre niveau actuel de conformité aux réglementations prévues ?

C'est pourquoi, d'ici à octobre 2024, vous devez réaliser un audit de l'état actuel de votre cybersécurité. Plus précisément :

Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2
Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement

Dans la seconde partie de cette série, je vous parlerai des trois secteurs dans lesquels il faudra combler les failles révélées par vos audits. Je vous dirai notamment comment :

Informer la Direction de vos faiblesses en matière de cybersécurité.
Implémenter correctement de nouvelles mesures organisationnelles et techniques de sécurité.
Trouver le temps de former tous vos collaborateurs.

1. Identifier dès aujourd'hui les failles dans le respect des exigences de la directive NIS2

La directive NIS2 est une loi sur la cybersécurité applicable à toute l'Union européenne, qui fournit des mesures légales pour booster le niveau global de cybersécurité dans l'UE. Elle modernise le cadre légal existant pour tenir le rythme d'une numérisation croissante et de l'évolution du paysage des menaces de cybersécurité.

La directive étend le champ d'action des règles de cybersécurité à de nouveaux secteurs et entités, pour améliorer la résilience et les capacités de réaction aux incidents des entreprises publiques et privées, des autorités compétentes, et de l'ensemble de l'UE.

La directive NIS2 met en lumière des mesures renforcées d'amélioration de la résilience face aux cyberattaques, pour limiter les vulnérabilités et améliorer la cyberdéfense.

Pour respecter la directive NIS2, vous devez :

Évaluer l'état de votre cybersécurité, et identifier toutes les failles et faiblesses susceptibles de vous exposer à des cyber-risques.
Comparer vos stratégies, procédures et contrôles actuels aux exigences de la directive, et noter ce qu'il faut améliorer ou mettre à jour.
Évaluer votre capacité de réponse aux incidents et vos mécanismes de génération de rapports, pour vous assurer qu'ils s'alignent bien sur les normes de la directive.

L'un des principaux problèmes de la NIS2 est qu'elle vous dit quoi faire, mais pas comment le faire. Heureusement, de nombreuses structures peuvent vous aider sur ce point, notamment :

En Belgique, le CCB a créé le Cyberfundamentals Framework, qui repose sur plusieurs structures. Il offre des références sur la manière dont les différents éléments de ces structures s'articulent avec le RGPD et la NIS2.

Après avoir choisi une structure, vous devez identifier les différences par rapport à cette structure et aux exigences de la directive. L'identification des faiblesses n'est pas tâche aisée ni rapide. Cela nécessite une analyse complète et systématique de la maturité et de la préparation de votre entreprise en matière de cybersécurité.

Il faut non seulement vérifier votre stratégie et vos règles de cybersécurité, mais aussi analyser les risques pour détecter les actifs les plus critiques et évaluer les risques qu'ils représentent. Ensuite, il faut envisager des contrôles de sécurité pour réduire le score de risque de ces actifs vitaux.

Plus vite vous entamerez la procédure, plus vous aurez de temps pour obtenir le budget nécessaire à la résolution des problèmes et à l'implémentation des changements requis.

Failles possibles dans votre environnement NIS2

Les failles que vous pouvez découvrir dans votre environnement sont les suivantes :

Absence d'une stratégie complète de cybersécurité couvrant tous les aspects : gestion des risques, réponse aux incidents, continuité des activités, protection des données, etc.
Absence d'une équipe/personne dédiée à la cybersécurité, qui supervise, coordonne et surveille toutes les activités et tous les projets de cybersécurité dans toute l'entreprise.
Absence de contrôles ou de mesures de sécurité suffisants pour protéger votre réseau et vos systèmes d'information contre toute tentative d'accès, utilisation, divulgation, modification ou destruction non autorisée.
Absence de tests ou d'audits réguliers de vos contrôles ou mesures de sécurité, pour garantir leur efficacité et leur conformité aux exigences de la directive.
Absence de programmes de formation ou de sensibilisation appropriés pour votre personnel, vos dirigeants, et vos autres collaborateurs ou parties prenantes concernant les problèmes et les meilleurs pratiques de cybersécurité.
Absence de canaux de communication ou de création de rapports clairs pour informer les autorités ou les parties compétentes de tout incident ou violation affectant vos services.

Solutions de sécurité potentielles pour que votre environnement soit conforme à la NIS2

Pour identifier et corriger ces failles de sécurité, vous pouvez :

Exécuter des structures ou des modèles d'analyse des faiblesses, qui vous aident à comparer votre état actuel avec celui que vous voulez atteindre, et à identifier les points à améliorer.
Implémenter des modèles ou des normes de maturité en matière de cybersécurité, qui vous aident à mesurer votre niveau de performances et vos progrès dans la cybersécurité.
Lancer une évaluation des risques pour identifier vos actifs, les menaces, les vulnérabilités, leur impact et la probabilité de cyberattaques.
Demander des audits ou des évaluations externes pour vérifier votre état de conformité, et identifier les éventuels points faibles ou manques.

2. Examiner les faiblesses actuelles de la sécurité de votre chaîne d'approvisionnement, pour avoir le temps de coordonner vos actions avec vos fournisseurs

La directive NIS2 comporte aussi de nouvelles dispositions concernant la sécurité de la chaîne d'approvisionnement (chapitre 0, points 54, 56). Elle reconnaît ainsi que les cybermenaces peuvent provenir de tiers (fournisseurs ou de sous-traitants).

La directive impose aux entreprises de s'assurer que leurs fournisseurs appliquent les normes et pratiques de sécurité appropriées (article 21-2d), et qu'ils surveillent régulièrement leurs performances et leur conformité (article 21–3).

Il y a une bonne raison à cela. Les attaques visant la chaîne d'approvisionnement se multiplient :

Une enquête BlackBerry auprès de plus de 1 500 décideurs IT, en 2022, révèle que 4/5 des personnes interrogées disent avoir été averties d'une attaque ou d'une vulnérabilité dans leur chaîne d'approvisionnement cette année. 77 % disent avoir découvert des acteurs masqués dans leur chaîne d'approvisionnement logicielle, dont ils ne connaissaient pas la présence jusque-là.

Une enquête Accenture révèle également que 40 % des violations de sécurité sont indirectes et passent par la chaîne d'approvisionnement.

Par conséquent, il est essentiel de sécuriser votre chaîne d'approvisionnement, pour garantir la continuité des activités, la résilience, votre réputation et la confiance.

Pourtant, le rapport Ivanti « Press Reset: A 2023 Cybersecurity Status Report » (Appuyons sur Reset : Rapport sur l'état de la cybersécurité en 2023) montre que seulement 42 % des plus de 1 300 dirigeants exécutifs et professionnels de la sécurité interrogés disent être préparés à se protéger des menaces visant la chaîne d'approvisionnement, alors même que 46 % considèrent qu'il s'agit d'une menace de haut niveau.

Les menaces visant la chaîne d'approvisionnement passent non seulement par des fournisseurs de solutions comme Okta, Kaseya ou SolarWinds, mais également par des partenaires, soit directement connectés à votre infrastructure IT, soit autorisés à s'y connecter.

Et n'oubliez pas les attaques visant vos fournisseurs de ressources, qui peuvent les paralyser et les empêcher de fournir les ressources dont vous avez besoin pour vos propres opérations. Vous devez vous y préparer et disposer de fournisseurs de secours, capables de vous procurer ces ressources si votre fournisseur principal est hors jeu en raison d'une cyberattaque ou d'un autre événement.

La sécurité de la chaîne d'approvisionnement est un défi complexe et difficile, qui implique plusieurs acteurs, dépendances et interconnexions... et vous n'y arriverez pas en un jour.

Il vous faut :

Mettre en place des canaux clairs et transparents de communication avec vos fournisseurs, et définir vos attentes et vos obligations en matière de cybersécurité.
Exécuter des évaluations et des audits réguliers des pratiques de sécurité de vos fournisseurs, et vérifier qu'elles répondent aux exigences de la directive.
Établir un plan d'urgence et trouver des solutions de secours, en cas de perturbation ou de compromission de votre chaîne d'approvisionnement.

En outre, vous devez contacter vos fournisseurs dès que possible et travailler avec eux pour vous assurer que votre chaîne d'approvisionnement est sécurisée et résiliente.

Difficultés de la NIS2 pour la chaîne d'approvisionnement

Les difficultés que vous pouvez rencontrer lors de la sécurisation de votre chaîne d'approvisionnement sont notamment les suivantes :

Manque de visibilité ou de transparence des pratiques, stratégies ou incidents de sécurité de vos fournisseurs.
Manque de confiance ou de coopération entre vos fournisseurs, ou entre vous et vos fournisseurs.
Manque de cohérence ou d'alignement des normes, exigences ou besoins de sécurité tout au long de votre chaîne d'approvisionnement.
Manque de ressources ou de capacités pour surveiller, auditer ou vérifier les performances ou la conformité de vos fournisseurs en matière de sécurité.
Absence de plan d'urgence ou de solutions de secours pour atténuer les éventuelles perturbations ou compromissions de votre chaîne d'approvisionnement, et pour vous en remettre.
Manque d'informations sur ce que vous attendez des pratiques de sécurité de vos fournisseurs.

Solutions de sécurité de la chaîne d'approvisionnement pour la NIS2

Pour relever ces défis liés à la sécurité de la chaîne d'approvisionnement, vous pouvez :

Signer des contrats ou des accords très clairs avec vos fournisseurs, qui précisent leurs obligations et responsabilités de sécurité.
Développer des critères, consignes ou structures de sécurité communs, applicables à tous les fournisseurs de votre chaîne d'approvisionnement et alignés sur les exigences de la directive.
Implémenter des contrôles, mesures ou outils de sécurité vous permettant de suivre, surveiller ou vérifier les activités, incidents ou états de conformité de vos fournisseurs en matière de sécurité.
Créer des équipes, comités ou forums de sécurité conjoints, pour faciliter le partage d'informations, la collaboration et la coordination entre vos fournisseurs, et entre vous et vos fournisseurs.
Nourrir la confiance et la compréhension mutuelle entre vous et vos fournisseurs, grâce à des communications, une reconnaissance et des retours d'informations réguliers.

Bon, vos audits pour la directive NIS2 sont terminés. Et ensuite ?

Maintenant que vous connaissez votre position actuelle par rapport à la directive NIS2, il est temps d'implémenter des changements critiques pour garantir votre conformité d'ici octobre 2024. Je ne doute pas que le traitement des faiblesses identifiées par vos audits va vous prendre tout le temps qu'il vous reste (voire même plus !) avant que ces dispositions prennent officiellement effet dans votre pays.

Mais comment traiter systématiquement ces faiblesses en temps voulu ? Notre prochain billet de blog présente les trois domaines de changements de sécurité indispensables pour la NIS2 , et vous verrez comment :

Informer la Direction de vos faiblesses en matière de cybersécurité.
Correctement implémenter de nouvelles mesures organisationnelles et techniques de sécurité.
Trouver le temps de former tous vos collaborateurs.