Cybersécurité : l’horloge tourne pour la nouvelle directive NIS2

Si la nouvelle législation NIS2 est susceptible d’entraîner des approches différentes d’un pays à l’autre en matière de conformité, certaines mesures communes pourraient permettre de répondre aux différentes exigences.

Expert - Fabrice de Vésian, Sales Manager chez Yubico

La nouvelle législation NIS2 vise à améliorer la cybersécurité interne tout en promouvant la coopération entre les entreprises et au sein de l’UE, dont les Etats membres ont jusqu’au 17 octobre 2024 pour se conformer. Comme la précédente, la directive NIS2 ne précise pas explicitement les changements technologiques qui doivent être mis en place. Au contraire, elle expose plutôt des idées et des concepts abstraits visant à optimiser la sécurité. Il est évident que NIS2 va affecter de nombreuses organisations qui opèrent dans l’UE. Cependant, l’impact que cette norme va avoir sur les entreprises n’est pas clair.

Tout d’abord, il est important de noter qu’il est impossible de définir une approche uniforme de la conformité à la directive, en raison des différences de situations et des exigences techniques entre les Etats membres. Par conséquent, la responsabilité d’initier les changements nécessaires revient à chaque entreprise. Néanmoins, nous sommes convaincus que deux pratiques de base peuvent favoriser une plus grande cyber résilience.

Les mots de passe ne suffisent plus à garantir une protection des utilisateurs face aux techniques sophistiquées exploitées par les hackers. La première étape, et la plus importante, consiste donc à mettre en place une authentification multi-facteur (MFA) résistante au phishing. De plus, il est nécessaire d’assurer une protection des données critiques et de recourir au chiffrement chaque fois que cela est possible. Ainsi, même si un cybercriminel parvient à accéder au réseau d’une entreprise, il est peu probable que les données soient exfiltrées sans être en possession d’une clé privée.

En outre, l’intégration de ces mesures dans les infrastructures existantes est primordiale ici afin d’améliorer la cyber résilience. Remplacer un flux d’authentification basé sur les mots de passe par un flux solide et résistant au phishing est donc primordial. En ce qui concerne le chiffrement, les clés de sécurité sont recommandées pour garantir un stockage sécurisé.

Bien que la directive NIS2 puisse représenter un réel challenge, tout investissement dans la cyber résilience est une valeur ajoutée, et les chances de prévenir toute tentative d’attaque et les conséquences susceptibles d’en résulter plus grandes. L’authentification matérielle peut donc aider les organisations à relever les défis en matière de cybersécurité, bien au-delà de la nécessité de se conformer à la norme NIS2. Comme pour de nombreuses réglementations, si elle est perçue comme étant une contrainte par les entreprises, elle n’en reste pas moins une opportunité de mieux sécuriser leurs ressources et leurs données, des enjeux majeurs pour garantir la pérennité de leur activité.