L'événement annuel LCL Wallonia One s'est déroulé le 26 septembre. Outre les plaisirs de la bonne chère, les participants ont pu profiter d'activités et de conférences intéressantes. Les interventions de cette édition ont toutes porté sur la sécurité. Arnaud Martin, expert en réglementation et normalisation de la cybersécurité chez Agoria, nous a aidés à approfondir la nouvelle directive sur la sécurité des réseaux et de l'information (NIS2). NIS2 est une importante mise à jour de la législation européenne visant à renforcer la cybersécurité et à protéger les infrastructures critiques. Lisez la suite pour découvrir quelle incidence celle-ci pourrait avoir sur la cybersécurité des centres de données.

Quels sont les principaux changements introduits par la législation NIS2 par rapport à la première directive NIS ?

Arnaud Martin : « La directive NIS2 élargit le champ d'action de la directive précédente. Elle vise à atteindre un niveau élevé de cybersécurité au sein de l'Union en normalisant certaines mesures et responsabilités. Si nous gardons cet objectif à l'esprit, six grands changements se dégagent :

1. L'élargissement du champ d'application comprend toute une série de secteurs jusque là non couverts par la directive NIS. Des critères de taille ont par ailleurs été ajoutés .
2. L'auto-enregistrement est une obligation. À l'origine, il fallait être désigné par les autorités comme relevant de la NIS, un processus que tous les pays n'ont pas suivi avec la même rigueur. Désormais, les entreprises d'une certaine taille sont automatiquement incluses, ce qui transfère la responsabilité de l'enregistrement aux entreprises elles-mêmes. Les retards sont éliminés et une couverture plus complète est assurée.
3. Des mesures de cybersécurité normalisées sont désormais obligatoires dans tous les États membres, ce qui réduit la fragmentation. Si chaque pays a ses propres lignes directrices, cela ne fonctionne pas. Les pays peuvent toujours compléter les mesures standard, mais il y a au moins une base claire pour tout le monde.
4. Les responsabilités de la haute direction sont mises en exergue, dès lors que toute infraction engage leur responsabilité. La cybersécurité cesse d'être l'apanage du département informatique pour devenir une responsabilité au plus haut niveau.
5. Les obligations de notification étendues exigent des notifications précoces et des actualisations régulières sur les incidents. Les autorités et toute partie concernée doivent être alertées.
6. Les équipes nationales d'intervention en matière de cybersécurité ont vu leur autorité renforcée afin de soutenir et coordonner leurs efforts. »

La directive NIS2 couvre à présent des secteurs qui n'étaient pas inclus dans la directive initiale, lesquels ?

Arnaud Martin : « La NIS2 comprend un large éventail de nouveaux secteurs, mais aussi des sous-secteurs qui n'étaient pas encore inclus ; ainsi, l'infrastructure numérique faisait déjà partie de la NIS initiale, mais désormais les centres de données sont couverts également. Les réseaux de diffusion de contenu, les communications électroniques, les fournisseurs de services de confiance et la gestion des services TIC ont également été ajoutés à cette catégorie. Le secteur de l'administration publique est désormais inclus, ce qui est crucial car les incidents de cybersécurité y ont des répercussions sur de grands nombres de personnes. Les hôpitaux sont désormais spécifiés, de même que le secteur des soins de santé de manière générale. En outre, l'Annexe II énumère d'autres secteurs légèrement moins critiques mais toujours considérés comme importants, dont les services postaux et de messagerie, la gestion des déchets, les produits chimiques, la production de denrées alimentaires et la recherche. »

Pourquoi cette mise à jour de la directive NIS était-elle nécessaire ?

Arnaud Martin :
« Parce qu'il fallait répondre à l'évolution des besoins et aux problèmes posés par la directive NIS originale. Les six principaux changements dont je viens de parler correspondent aux domaines qui nécessitaient des améliorations et de la clarté. Il y avait des incohérences dans le champ d'application et des mesures de cybersécurité variables d'un pays à l'autre. Le nouveau mécanisme d'auto-enregistrement garantit une couverture complète, et le champ d'application élargi permet la prise en compte de secteurs auparavant négligés. Ces changements visent à créer un cadre de cybersécurité plus cohérent et plus solide dans l'ensemble de l'UE. »

Les entreprises sous-estiment-elles encore l'importance de la cybersécurité ?

Arnaud Martin : « Cela dépend vraiment du secteur. Dans ceux comme la banque, l'énergie et les télécommunications, la cybersécurité fait partie intégrante des activités, mais pour autant, de nombreuses entreprises n'en saisissent pas encore pleinement l'importance, même dans le secteur numérique. La NIS2 contribue à uniformiser les règles du jeu, puisque les mêmes réglementations s'appliquent dans toute l'Europe. Elle établira une nouvelle norme, à l'instar de ce qui s'est passé pour la gestion de la qualité avec l'introduction de certifications telles que l'ISO9001, qui sont désormais bien connues et entrées dans les usages et les attentes. » "

Incidence sur les centres de données

Comment les nouvelles exigences de la NIS2 affecteront-elles les procédures opérationnelles des centres de données ?

Arnaud Martin :
« Les centres de données placent généralement la sécurité, y compris la cybersécurité, au premier rang de leurs priorités. Cependant, la NIS2 pourrait encore avoir un impact sur divers aspects de leur activité, car elle impose d'intégrer la cybersécurité dans l'ensemble des processus critiques. Il s'agit notamment d'identifier les processus et les données critiques de l'entreprise et de veiller à ce qu'ils soient protégés adéquatement, afin de garantir la continuité. Il s'agit plus particulièrement de définir et mettre à jour les politiques, maintenir des contrôles d'accès stricts et une gestion des actifs actualisée, et de revoir régulièrement les procédures. Soit, un défi organisationnel global qui nécessite des mises à jour permanentes et des définitions claires des rôles et des responsabilités. Certains centres de données sont d'ores et déjà en règle : une entreprise certifiée ISO27001 est censée être déjà conforme à la NIS2, puisqu'elle va encore un peu plus loin que les exigences de la directive. Mais même ces centres de données ne doivent rien laisser au hasard. L'UE travaille actuellement sur un acte d'exécution, qui détaillera des mesures spécifiques, suite à quoi les centres de données devront examiner et adapter leurs procédures en conséquence. Un projet de cet acte d'exécution est en cours de finalisation, détaillant les différentes mesures sur 27 pages. »

Quelles mesures spécifiques les centres de données doivent-ils prendre pour se conformer à la réglementation NIS2 ?

Arnaud Martin : « Les responsabilités des dirigeants sont clairement définies : la haute direction doit approuver les mesures de cybersécurité et se former pour comprendre et gérer les risques. Les centres de données doivent également proposer des formations régulières en matière de cybersécurité à l'ensemble de leur personnel, afin de le sensibiliser et de parfaire leurs compétences. Les pires scénarios doivent être pris en compte, avec un plan de reprise après sinistre, des sauvegardes appropriées et une gestion de crise. »

Comment les centres de données peuvent-ils adapter leurs processus de gestion des risques en réponse à la NIS2 ?

Arnaud Martin : « Les centres de données devraient affiner leurs processus de gestion des risques en menant des analyses approfondies et en évaluant leurs procédures préexistantes. L'acte d'exécution prévoit une approche détaillée en dix étapes, et la conformité à des certifications comme ISO 27001 peut aider à satisfaire à ces exigences. Des mises à jour et des audits réguliers sont essentiels pour garantir la conformité et l'efficacité. »

Quid des nouvelles exigences en matière de sécurité de la chaîne d'approvisionnement pour les centres de données ?

Arnaud Martin : « La NIS2 prête une attention toute particulière à la sécurité de la chaîne d'approvisionnement, c'est là que pourrait bien se situer le changement le plus important. Le projet d'acte d'exécution comprend quatre critères de sélection et neuf éléments à spécifier dans les contrats. Les centres de données doivent évaluer et contrôler régulièrement leurs fournisseurs, afin de s'assurer qu'ils respectent des normes strictes en matière de cybersécurité. Les contrats doivent préciser les mesures de sécurité, avec vérifications des antécédents et rapports d'audit. Cette approche systématique peut avoir un effet de cascade sur les fournisseurs de troisième, voire de quatrième rang, ce qui nécessite un processus d'évaluation complet et continu. »

Quelles sont les nouvelles exigences de notification des incidents dans le cadre de la NIS2, et comment les centres de données peuvent-ils s'y préparer ?

Arnaud Martin : « La NIS2 impose des notifications rapides aux autorités compétentes dans les 24 heures qui suivent la détection d'un incident, suivies d'une évaluation initiale dans les 72 heures et d'un rapport détaillé au bout d'un mois. Compte tenu de leur criticité, les centres de données devraient investir dans des outils avancés de détection et de riposte et envisager la création d'un centre d'opérations de sécurité (SOC) pour gérer efficacement les incidents, s’ils n’en sont pas encore dotés. La préparation consiste à disposer de procédures structurées et d'un personnel formé et prêt à réagir rapidement en cas d'incident, 24 heures sur 24 et 7 jours sur 7. »

Y a-t-il des technologies ou des actions spécifiques que vous recommandez aux centres de données pour se préparer aux exigences du NIS2 ?

Arnaud Martin : « Les centres de données devraient investir dans de bons outils de détection et de riposte, tels que les Extended Detection and Response (XDR) et Network Detection and Response (NDR). Pour ce qui est de gérer leur SOC, les centres de données peuvent également envisager d'externaliser une partie de la réponse aux incidents, afin de bénéficier d'un regard extérieur, mais une partie seulement car il peut aussi être bénéfique de développer son propre savoir-faire. Des évaluations et des mises à jour régulières des mesures de cybersécurité sont essentielles pour respecter les exigences de la NIS2 dans la durée.

Conclusion

Le NIS2 représente une étape importante dans le renforcement de la cybersécurité au sein de l'Union européenne. Pour les centres de données, cette directive présente à la fois des défis et des opportunités. En respectant les exigences et en encourageant une culture de sécurité proactive, les centres de données peuvent se rendre plus résilients face aux cybermenaces et contribuer à un écosystème numérique plus sûr.

Veuillez noter que cet article ne remplace pas une formation approfondie sur ce sujet. Pour plus d'informations, les centres de données peuvent consulter des experts en cybersécurité ou se référer à la documentation officielle fournie par la Commission européenne.