A partir de 2025, une nouvelle directive de cybersécurité (NIS 2) entrera en vigueur. Applicable en France et en Europe, ce texte promet un durcissement des obligations pour les entreprises avec de nouvelles exigences pour la protection des données et la mise en conformité. Une des nouveautés avec la réglementation NIS 2 (SRI 2 - Sécurité des Réseaux et des systèmes d’Information en français) est l’élargissement du périmètre de son application incluant ainsi plusieurs milliers d’organisations et une estimation de 160.000 institutions en Europe. Face à la recrudescence de la cybercriminalité, cette nouvelle application de la réglementation vise à renforcer la protection des systèmes d’information, des réseaux informatiques et des données.
Les entités essentielles (avec un chiffre d’affaires de plus de 50 millions d’euros et un effectif de plus de 250 personnes) et les entités importantes (avec un chiffre d’affaires de plus de 10 millions d’euros et un effectif de plus de 50 personnes) des secteurs critiques et hautement critiques (voir tableau ci-dessous) seront maintenant concernés par ces réglementations visant à renforcer la cybersécurité.
| Secteur hautement critique | Secteur critique |
|---|---|
|
|
Alors que le premier act législatif de la directive se concentrait sur les points suivants :
- L’amélioration des capacités à l’échelle nationale pour la cybersécurité
- Le renforcement des échanges au sein de l’Union Européenne
- L’instauration d’obligations de gestion des risques et de notification des incidents pour les opérateurs de services essentiels et les fournisseurs de service numérique traitant des données.
Le programme du deuxième act de la directive européenne NIS 2 dévoile de nouveaux challenges pour les entreprises et notamment les lignes directrices suivantes :
- Adopter une approche d’analyse et de gestion des risques (Article 20 – Gouvernance et formation)
- Assurer la continuité des activités et la sécurité de la chaîne d’approvisionnement
- Garantir la sécurité dans la mise en place, le développement et la maintenance des réseaux et systèmes d’information (Article 21 – Mesure de gestion des risques)
- Déclarer les incidents susceptibles de causer des dommages opérationnels ou financiers importants dans un délai de 24 heures (Article 23 - Notification des incidents)
Si les entreprises sont impactées par cette nouvelle réglementation liée au numérique, c’est aussi le cas des fournisseurs, les obligeant ainsi à garantir la sécurité et la maintenance des produits mais également à déclarer les incidents susceptibles de causer des dommages opérationnels.
D’après le baromètre mondial de la sécurité électronique pour 2024, les entreprises investissent à 51% afin de s’équiper pour identifier les menaces et détecter les évènements pour une meilleure mise en conformité. Face à la recrudescence des menaces et à l’évolution rapide des normes en termes de sécurisation des réseaux, elles sont également 85% à souhaiter anticiper et prévenir les menaces afin de s’en prémunir. La vidéosurveillance se place en 2ème position des investissements qui augmenteront au cours des 18 prochains mois pour les entreprises interrogées soit un pourcentage de 55% derrière le contrôle d’accès (source : securitas technology baromètre).
Les serveurs de temps sont essentiels afin de sécuriser les données informatiques et se conformer aux nouvelles exigences européennes à travers 3 enjeux majeurs :
Quelles solutions pour une réduction de la surface d’attaque ?
L’installation d’une source locale fiable est recommandée pour ne pas dépendre de ressources externes et élimine les risques associés à la récupération de l’heure sur Internet. Le serveur de temps Bodet sécurise les réseaux à l’aide des fonctionnalités suivantes :
- Cloisonnement physique par ajout de carte réseau modulaire
- Cloisonnement logique suivant le standard 802.1Q (VLAN)
- Filtrage réseau suivant le standard 802.1X
- Contrôle du trafic au moyen d’un pare-feu embarqué
Quelle sécurisation pour un système de journalisation ?
Au sein d’un réseau informatique, chaque événement doit être enregistré, en particulier pour garantir la traçabilité de l’information, l’antériorité des fichiers, l’accès aux données, et parfois même constituer une preuve juridique. La journalisation est une brique indispensable pour la mise à niveau de la sécurité d’un système d’information. Un serveur de temps Bodet assure l’horodatage de l’ensemble des équipements numériques en distribuant une information temporelle authentifiée par clé symétrique répondant aux exigences de mise en conformité de la nouvelle réglementation NIS 2.
Comment protéger l’administration des systèmes d’information ?
L’administration des systèmes d'information est un vecteur d’attaque régulièrement utilisé par la cybercriminalité pour compromettre le fonctionnement et la sécurité d’une infrastructure et de ses données. Les serveurs de temps Bodet répondent à cette problématique en proposant les services suivants :
- Interface web accessible en HTTPS
- Authentification utilisateur chiffrée et cryptée en LDAPS ou RADIUS
- Supervision chiffrée et cryptée par syslog ou SNMPv3
Plus spécifiquement, la directive cybersécurité NIS 2 revient sur 2 problématiques rencontrées aujourd’hui : la sécurité de l’architecture et la journalisation du système d’information pour une meilleure protection des données.
Un serveur de temps joue un rôle important dans la réponse à ces enjeux :
- Une journalisation de l’ensemble du réseau informatique ainsi que son analyse et une corrélation : ici le serveur de temps jouera un rôle clé pour synchroniser l’ensemble des équipements sur le réseau et pouvoir ainsi analyser les journaux.
- La sécurité de l’architecture : le serveur de temps se montrera indispensable pour se couper des sources NTP externes.
Aujourd’hui, les acteurs de la cybersécurité répondent présents afin d’accompagner les entreprises dans leur transformation et dans la mise en conformité dans le cadre de cette nouvelle réglementation. En apportant de réelles solutions et de nouvelles applications, les entités et les institutions s’affranchissent de sanctions qui peuvent coûter cher allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel pour la non mise en conformité des infrastructures numériques. Si l’horizon 2025 pour la mise en place de l’act 2 de la loi NIS semble loin, la limite pour la transposition est aujourd’hui fixée à Octobre 2024, un enjeu crucial qui devient donc urgent pour les entreprises européennes essentielles et importantes. Ces nouvelles réglementations s’imposent pour les états de l’Union Européenne afin de proposer un niveau de cybersécurité renforcée et ainsi assurer une sécurisation des données, l’enjeu financier de demain.
Bodet Time accompagne les entreprises dans leur mise en conformité face à la directive NIS 2 notamment grâce au serveur de temps Netsilon. Pour en savoir plus sur les serveurs de temps Bodet et ses applications, rendez-vous sur notre page dédiée.
