NIS2 : des directives plus strictes sur le chiffrement

Fin 2022, la nouvelle directive NIS2 a été adoptée par le Conseil européen et la période de mise en œuvre a commencé au début de cette année, au cours de laquelle cette directive doit être transposée dans la législation nationale.

Bien que cette loi ne devrait pas entrer en vigueur avant 2024, il est important que chaque organisation se prépare dès maintenant.

Que signifie exactement la directive NIS2 ?

NIS2 signifie Network and Information Systems Directive 2. Il s’agit d’une loi européenne qui établit des exigences en matière de cybersécurité et de gestion des risques pour certaines organisations opérant dans des secteurs essentiels et importants. NIS2 est une version mise à jour de la première directive NIS et comprend de nouveaux objectifs, une couverture complète et un accent plus fort sur la responsabilité de la gestion. Elle vise à renforcer la cybersécurité de l’Europe contre un paysage de menaces et de risques sans cesse croissant en améliorant la sécurité des réseaux et des systèmes d’information utilisés pour fournir des services essentiels. L’arrivée de la directive devrait contribuer à une plus grande harmonisation européenne et à un niveau plus élevé de cybersécurité parmi les entreprises et les organisations.

Concrètement, l’arrivée de la directive NIS2 signifie que les organisations doivent prendre (encore) plus de mesures pour porter leur cyber-résilience à un niveau supérieur.

La directive NIS2 s’applique également à un large éventail de secteurs, notamment l’énergie, les transports, les banques, les infrastructures des marchés financiers, les soins de santé, l’eau potable, les infrastructures numériques, les eaux usées, les services publics, l’espace et les services de gestion des TIC. Le point common être de tous ces secteurs est qu’ils sont importants pour l’économie et la société.

Devoir de signalement et devoir de diligence

Conformément à la directive, les organisations ont un devoir d’information et un devoir de diligence. Par exemple, la directive exige que les entités signalent les incidents qui perturbent considérablement la prestation du service essentiel à l’organisme de réglementation dans les 24 heures.

En ce qui concerne le devoir de diligence, les entités sont tenues d’effectuer elles-mêmes une analyse des risques. Sur cette base, elles peuvent prendre les mesures appropriées pour assurer autant que possible la continuité de leurs services et pour protéger les informations utilisées.

Avez-vous affaire avec une organisation qui propose des activités essentielles et importantes? Même dans ce cas, vous devrez être en conformité avec les mesures de sécurité générale.

Chiffrement et surveillance

Dans le cadre du devoir de diligence, un rôle spécifique est réservé à la sécurité et à la surveillance de la connectivité. Par exemple, NIS2 comprend des directives et des procédures spécifiques pour l’utilisation du chiffrement. Ce n’est pas tout à fait surprenant, car de nombreuses organisations prennent des mesures de sécurité très étendues pour sécuriser leur propre réseau, mais ne réalisent pas toujours que la connectivité –par exemple les lignes louées entre les emplacements qui échangent des données – pose également un risque potentiel pour la sécurité.

Si vous achetez une connectivité auprès d’un fournisseur de services télécoms, savez-vous, par exemple, par quels périphériques réseau transitent par vos données sur l’Internet public ? Par quels points de présence (PoP) votre trafic de données passe-t-il ? Des pirates peuvent-ils y avoir accés?

La solution consiste à crypter vos données. En transportant vos données avec un chiffrement post-quantique, vous pouvez être sûr que vos données sont en sécurité à tout moment. Pour assurer une sécurité maximale, Arcadiz n’offre pas de liens partagés, mais uniquement des connexions privées de bout en bout, où le chiffrement peut être appliqué à la couche 1 et à la couche 2.

Faible latence

Une question fréquemment posée est de savoir dans quelle mesure le chiffrement a un impact sur la latence et les performances. C’est là que l’expertise d’Arcadiz prend tout son sens. Nos spécialistes sont en mesure d’appliquer le chiffrement sans augmenter sensiblement la latence de votre réseau. Avec plus de 20 ans d’expérience, Arcadiz connaît tous les composants du réseau qui affectent la latence. L’optimisation de tous les éléments, même dans les systèmes existants qui ne peuvent pas (encore) être remplacés, est l’une de nos spécialités. Notre approche pragmatique contribue également à la maîtrise des coûts.

Intégrité des données

En plus de la sécurité et de la confidentialité, la fiabilité des données est également un aspect important. Les données peuvent être corrompues même en restant immobile. Pour éviter ce risque, il est important de conserver les données synchronisées à deux emplacements, de préférence suffisamment séparés géographiquement, avec un troisième emplacement en tant que sauvegarde.

À cet effet, Arcadiz propose son savoir-faire pour offrir une connectivité de haute qualité et sécurisée entre les sites concernés. Les connexions séparées sont également surveillées en permanence. Avec la solution Arcadiz Advanced Line Monitoring, les fibre optique sont surveillées 24h/24 et 7j/7. Tout changement dans la fibre optique est immédiatement visible. Qu’il s’agisse d’une rupture de fibre ou d’une intervention (non-) planifiée sur la fibre.

Mettre à niveau maintenant

Si vous voulez être sûr de rester conforme aux lois et réglementations à l’avenir, vous devez commencer à mettre à niveau votre connectivité dès maintenant. Vous souhaitez en savoir plus sur les possibilités ou vous adresser à l’un de nos spécialistes ? N’hésitez pas à nous contacter!

Sources de cet article :

• https://www.digitaltrustcenter.nl/wat-gaat-de-nis2-richtlijn-betekenen-voor-jouw-organisatie
• https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/welke-sectoren-en-organisaties-vallen-onder-de-nis2-richtlijn