/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
Ces dernières années, l'Union Européenne (UE) a considérablement renforcé ses régulations en matière de sécurité de l'information, cherchant ainsi à garantir la résilience numérique et à protéger les données des organisations. Les régulations les plus récentes et importantes dans ce domaine sont NIS 2 et DORA.
Une analyse comparative
La directive sécurité des réseaux et des systèmes d’Information (NIS 2), qui entrera en vigueur en octobre 2024, étend la couverture de la directive NIS d'origine. Elle exige que les secteurs critiques – tels que la santé, l'énergie, les transports, la finance et les infrastructures numériques – mettent en place des mesures de cybersécurité robustes. NIS 2 vise à atténuer les risques de cyberattaques et à renforcer la coopération entre les États membres de l'UE. Les principaux aspects de NIS 2 comprennent l'exigence de gestion des risques liés aux technologies de l'information et de la communication (TIC), des notifications d'incidents obligatoires, et la mise en œuvre de mesures préventives pour protéger les réseaux et les systèmes d'information.
Le règlement Digital Operational Resilience Act (DORA), prévu pour entrer en vigueur en janvier 2025, se concentre spécifiquement sur le secteur financier. DORA établit des exigences strictes en matière de gestion des risques liés aux TIC, couvrant les banques, les compagnies d'assurance, les sociétés d'investissement, les prestataires de services de paiement et d'autres institutions financières. DORA oblige ces institutions à mettre en place des mesures pour assurer leur résilience opérationnelle, à effectuer des tests périodiques de résilience, à signaler les incidents liés aux TIC et à maintenir des plans robustes de continuité d’activité.
Le tableau ci-dessous résume les principales différences entre NIS 2 et DORA :
|
|
NIS 2 |
DORA |
|
Date de création |
14 décembre 2022 |
16 janvier 2023 |
|
Entrée en vigueur |
17 octobre 2024 |
17 janvier 2025 |
|
Secteurs critiques couverts |
|
|
|
Objectifs principaux |
|
|
|
Sanctions en cas de non-conformité |
Les sanctions varient selon la législation nationale des États membres et peuvent inclure :
|
Les sanctions varient et peuvent inclure :
|
|
Autres dates importantes |
|
Délai pour les institutions afin de satisfaire aux exigences spécifiques : jusqu'à 18 mois après l'entrée en vigueur. |
Pourquoi se conformer ?
Ne pas se conformer à ces règlementations expose les institutions à des risques importants. Les entreprises peuvent ainsi faire face à des amendes conséquentes et à des sanctions légales, entraînant une perte de confiance de leurs clients et une baisse de leur activité.
De plus, l'exposition à des cyberattaques peut entrainer des violations de données sensibles ou personnelles, des pertes financières et des dommages irréparables à la réputation de l'entreprise.
Quels types de cyberattaques et menaces sont concernés ?
Les règlementations sur la sécurité de l'information NIS 2 et DORA visent à améliorer la résilience des organisations travaillant dans des secteurs sensibles de façon qu’elles et leurs employés soient mieux préparées pour éviter et gérer des risques de cybersécurité tels que:
- Malware : logiciels malveillants tels que les virus, vers, chevaux de Troie, logiciels espion (spywares), ou rançongiciels (ransomwares, qui chiffre les données et demande un paiement/rançon pour fournir la clé de déchiffrement).
- Phishing et spear phishing : envoi de courriels (e-mails) frauduleux, ciblés ou non, semblant provenir de sources de confiance afin d'obtenir des informations sensibles ou faire télécharger des logiciels malveillants.
- Attaques par déni de service (DoS) et déni de service distribué (DDoS) : rendre des services en ligne indisponibles en saturant les serveurs ou le réseau avec un important trafic.
- Vol de données d'authentification : obtention de données d'authentification pour accéder à des systèmes et des données sensibles.
- Exploitation de failles de sécurité : attaques exploitant des erreurs de configuration ou des configurations faibles dans les systèmes informatiques.
- Attaques zero-day et exploitation de vulnérabilités logicielles : attaques exploitant des vulnérabilités inconnues ou non corrigées dans un système ou un logiciel.
Autres règlementations pertinentes
Outre NIS 2 et DORA, d'autres règlementations européennes actuellement en place jouent un rôle crucial dans la sécurité de l'information, notamment :
- Règlement général sur la protection des données (RGPD)
En vigueur depuis 2018, il régule le traitement des données à caractère personnel et impose des sanctions sévères en cas de violations. - Trusted Information Security Assessment Exchange (TISAX)
Standard spécifique à l'industrie automobile, qui garantit la protection de la propriété intellectuelle et des données sensibles. - Règlement eIDAS
Établit des normes pour les services électroniques de confiance, y compris les signatures électroniques et l'authentification.
Une responsabilité partagée
Étant donnée la complexité et l'étendue de ces règlementations, il est fortement recommandé aux entreprises de recourir à des cabinets de conseil spécialisés, qui peuvent fournir l'expertise nécessaire pour assurer la conformité, aider à mettre en œuvre les bonnes pratiques et préparer les entreprises aux audits et aux incidents éventuels.
De plus, des cabinets de conseil – comme Alter Solutions – offrent un support continu, aidant les entreprises à s'adapter aux changements règlementaires et à rester concentrées sur leurs activités principales, tout en conservant un bon niveau sécurité et en étant conformes à la législation en vigueur.
En résumé, la conformité aux règlementations de sécurité de l'information en Europe n'est pas seulement une exigence légale, mais une pratique essentielle pour protéger les entreprises et maintenir la confiance sur le marché numérique.
