Tour d’horizon de la réglementation cybersécurité en 2023

En 2023, face à l’évolution constante de la cybermenace, de nouvelles réglementations en matière de cybersécurité ont émergé, touchant divers secteurs allant des PME aux entreprises cotées et aux institutions européennes. Les entreprises, quelles que soient leur taille et la nature de leurs activités, sont encouragées à repenser proactivement leurs stratégies de cybersécurité, au-delà des simples réglementations. Cette transformation ne s’arrête pas aux réglementations imposées, mais souligne l’importance d’une adaptation continue à l’environnement cybernétique en mutation.

NS Security vous invite à faire le tour de la nouvelle réglementation cybersécurité en 2023

La directive NIS 2

Votée le 10 novembre 2022, la directive NIS 2 est un texte européen destiné à renforcer la cybersécurité du marché européen. Elle succède à la directive NIS 1 de 2016, qui avait pour but d’accroître la sécurité cyber des acteurs majeurs de dix secteurs d’activité, les obligeant notamment à déclarer leurs incidents de sécurité à l’ANSSI.

Concrètement, la directive NIS 2 apporte :

  • Une ambition renouvelée
    Cette directive se base sur les acquis de NIS 1 et étend son périmètre d’action, visant une protection accrue face à des cybermenaces toujours plus sophistiquées.
  • Une dimension stratégique à la menace cyber
    La directive NIS 2 permettra à des milliers d’entités de l’Union européenne de renforcer leur sécurité numérique. Elle favorisera également une coopération interétatique accrue en matière de gestion de crises cyber.
  • Un périmètre élargi
    NIS 2 concernera des milliers d’entités de plus de dix-huit secteurs d’activité, englobant des administrations de toutes tailles, des PME et des grands groupes. Elle intégrera également les acteurs de la chaîne d’approvisionnement, dont les administrations centrales et certaines collectivités territoriales.
  • Des obligations proportionnelles aux entreprises et organisations
    La directive NIS 2 introduit une distinction entre « entités essentielles » et « entités importantes », offrant ainsi des exigences adaptées à leur niveau de criticité.
  • Un régime de sanctions renforcé
    Le régime de sanctions sera amplifié, s’alignant sur des mécanismes similaires à ceux du RGPD.

La directive NIS 2 sera applicable en France au deuxième semestre 2024, avec certaines exigences d’application directe et d’autres soumises à des délais de mise en conformité.
En qualité d’organisme régulateur, l’ANSSI se positionne également comme un accompagnateur. Cette posture demeurera avec NIS 2, où l’agence continuera d’accompagner les entités concernées dans leurs démarches de mise en conformité.
Pour se préparer à la mise en œuvre de la directive NIS 2, l’ANSSI recommande aux entités concernées de prendre des mesures dès maintenant. Pour les TPE/PME qui seront concernées par la directive, l’ANSSI propose son Guide des TPE/PME (à consulter sur le site de l’ANSII) comme base de préparation. L’ANSSI communique régulièrement sur le sujet et organise des rencontres avec les entités concernées.

Les règles de cybersécurité des institutions, organes et organismes de l’UE

En juin 2023, la Commission européenne saluait l’accord politique sur une proposition de règlement destinée à améliorer la cybersécurité au sein des institutions, organes et organismes de l’UE. Voici une synthèse des nouvelles règles de conduite :

  1. Un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité sera instauré pour toutes les entités de l’UE.
  2. Un Conseil interinstitutionnel de cybersécurité sera créé pour superviser la mise en œuvre du cadre.
  3. L’équipe d’intervention en cas d’urgence informatique (CERT-UE) verra son mandat élargi. Elle fonctionnera comme une plateforme d’échange d’informations sur les menaces, de renseignement, de coordination en cas d’incident, et comme organe consultatif central. Elle sera renommée « Service de cybersécurité pour les institutions, organes et organismes de l’Union », bien que l’abréviation CERT-UE soit conservée.
  4. Mise en place d’un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité :
    • Réalisation régulière d’évaluations de la maturité en matière de cybersécurité
    • Adoption de mesures pour faire face aux risques identifiés
    • Élaboration d’un plan d’amélioration de la cybersécurité
    • Partage rapide des informations relatives aux incidents avec la CERT-UE.

Une fois adopté formellement par le Parlement européen et le Conseil, le nouveau règlement entrera en vigueur. Les entités de l’UE devront alors respecter ces obligations selon les délais fixés dans le texte. Ce règlement vise à renforcer la cybersécurité au sein de l’administration de l’UE et à mieux préparer l’UE face aux futurs défis de cybersécurité.

Une charte cyber

À l’occasion du Cybermoi/s 2023 (en octobre) Cybermalveillance.gouv.fr a lancé une « CharteCyber », un ensemble de directives en huit points visant à renforcer la cybersécurité au sein des entreprises. Plus de 80 entreprises et collectivités ont déjà signé ce texte. L’objectif principal est d’encourager les PME, qui sont de plus en plus ciblées par les cyberattaques, à adopter massivement cette charte. Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr, souligne que cette initiative vise à faire reconnaître la cybersécurité comme un enjeu sociétal majeur.

Les engagements de la CharteCyber comprennent :

  1. Faire de la cybersécurité une priorité stratégique adaptée à son activité.
  2. Désigner un « référent cybersécurité » pour gérer le sujet en interne.
  3. Sensibiliser tous les collaborateurs aux risques cyber.
  4. Former les collaborateurs aux bonnes pratiques de cybersécurité.
  5. Prévoir des plans de secours contre les cyberattaques et vérifier régulièrement leur pertinence.
  6. Évaluer périodiquement le niveau d’exposition aux risques cyber.
  7. Faire appel à des prestataires de cybersécurité compétents.
  8. Promouvoir la cybersécurité auprès de toutes ses parties prenantes.

Plusieurs entités majeures, allant des institutions publiques aux grandes entreprises, ont déjà signé cette charte. Cybermalveillance.gouv.fr invite toutes les organisations à rejoindre cette initiative pour une meilleure protection contre les cybermenaces.

De nouvelles règles pour les entreprises cotées

La Securities and Exchange Commission (SEC), l’entité de régulation boursière américaine, a introduit de nouvelles directives relatives aux cyberattaques. Désormais, les entreprises cotées sont tenues d’annoncer publiquement tout incident majeur de sécurité informatique survenu, et ce, dans un délai de quatre jours après leur détection. Ces nouvelles dispositions entreront en vigueur dès le mois de décembre. En plus de cette obligation, les sociétés devront fournir annuellement des informations détaillées sur leurs stratégies et gestions des risques en matière de cybersécurité. Elles devront aussi présenter leurs méthodes d’évaluation des risques ainsi que les menaces potentielles ou incidents passés.

L’objectif principal de la SEC, selon son président Gary Gensler, est de protéger les investisseurs en assurant la transparence des entreprises, au même titre que la déclaration d’un incident physique majeur. Néanmoins, certaines exceptions permettent de différer cette déclaration si elle présente un risque pour la sécurité nationale ou publique, sous réserve d’une notification écrite à la SEC. Toutefois, ces directives sont sujettes à controverses parmi les entreprises, qui estiment le délai de quatre jours irréaliste et potentiellement avantageux pour les cybercriminels.

Au-delà des règles et des lois sur la cybersécurité…

Face à la menace cyber croissante, les entreprises sont exhortées à adopter une démarche proactive, bien au-delà des lois, règles et réglementations existantes.

Elles doivent réévaluer régulièrement leurs stratégies en fonction de l’évolution du paysage des menaces. Il est bien évidemment essentiel que toute entreprise, quelle que soit sa taille ou la nature de son activité, réévalue ses concepts de sécurité, en mettant l’accent sur des domaines jusqu’alors négligés.

La sécurité des logiciels open source nécessite une vigilance particulière pour éviter qu’ils ne deviennent des points d’attaque. Avec l’essor des services cloud, les entreprises doivent renforcer leur surveillance pour prévenir les erreurs de configuration et veiller notamment à la sécurité des API cloud.

L’investissement dans la formation est également important pour pallier le manque de spécialistes, notamment face à l’adoption croissante des technologies 5G et de l’IA.

Par ailleurs, il est important d’assurer la sécurité des systèmes OT pour éviter que des attaques ne migrent des réseaux IT vers ces systèmes.

Dans le même ordre d’idée, étant donné que les fournisseurs de services managés sont de plus en plus exploités comme vecteurs d’attaque, une surveillance accrue s’impose.

Les entreprises sont également invitées à scanner régulièrement leurs systèmes pour détecter les vulnérabilités et assurer l’application des correctifs et mises à jour nécessaires. Les Software Bills of Materials (SBOMs) peuvent tout à fait contribuer à ce processus.

En outre, garantir la sécurité des environnements cloud, particulièrement avec l’adoption croissante d’environnements hybrides et multicloud, est devenu incontournable.

Pour les PME, il est conseillé d’utiliser des solutions de sécurité SaaS et d’envisager l’adoption de Managed Security Services afin d’accéder à des solutions de pointe sans investissements lourds en ressources internes.

En somme, une démarche volontaire et dynamique en matière de cybersécurité est plus que jamais nécessaire pour les entreprises !