ISGroup Conseil en Cybersécurité

Quelles sont les exigences en matière de sécurité physique pour les systèmes de réseau et d’information ?

Les sources se concentrent principalement sur la cybersécurité et ne fournissent pas de détails explicites sur les exigences de sécurité physique pour les systèmes de réseau et d’information.

Cependant, elles offrent quelques pistes qui concernent indirectement la sécurité physique :

L’importance d’une approche multi-risques

  • Prendre en compte l’environnement physique : La Directive NIS2 promeut une approche multi-risques de la cybersécurité, qui prend en considération des risques allant au-delà des menaces numériques. Cette approche souligne l’importance de la sécurité physique :
    • Article 21, paragraphe 2 : Définit les mesures pour la gestion du risque informatique.
    • Communication de la Commission : Précise que ces mesures « doivent protéger non seulement les réseaux et les systèmes d’information de l’entité, mais aussi l’environnement physique de ces systèmes contre des événements tels que le sabotage, le vol, les incendies, les inondations, les problèmes de télécommunication ou les coupures de courant, ou contre tout accès physique non autorisé susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées, ou des services offerts par les réseaux et les systèmes d’information ou accessibles via ceux-ci. »

[Callforaction-NIS2]

Exigences et considérations spécifiques

  • Sites sécurisés pour les CSIRT : La Directive exige que les équipes de réponse aux incidents de sécurité informatique (CSIRT) soient situées dans des installations sécurisées :
    • Article 11, paragraphe 1(b) : Établit que « les locaux et les systèmes informatiques qui soutiennent les CSIRT doivent être situés sur des sites sécurisés ». Cela suggère que la sécurité physique est fondamentale pour garantir la cybersécurité. Pour approfondir les obligations liées aux CSIRT, voir également l’obligation de désignation du référent CSIRT pour les sujets NIS.
  • Sécurité des centres de données : Bien qu’elle n’aborde pas directement la sécurité physique, l’inclusion des fournisseurs de centres de données parmi les entités essentielles ou importantes implique la nécessité d’adopter des mesures de sécurité robustes, qui comprennent probablement aussi des sauvegardes physiques.
  • Principes généraux de confidentialité et de gestion du risque : Les sources soulignent l’importance de protéger la confidentialité des informations et d’adopter une approche fondée sur le risque pour la sécurité. Ces principes s’étendent également à la sécurité physique, impliquant la nécessité de protéger les ressources physiques et les structures qui, si elles étaient compromises, pourraient compromettre les systèmes d’information ou les données.

Inférences et bonnes pratiques

Bien qu’elles ne soient pas expressément exigées, les organisations soumises à la Directive NIS2 devraient envisager la mise en œuvre de mesures de sécurité physique conformes aux principes plus larges de la Directive. Ceux qui évaluent leur niveau de conformité peuvent trouver utile le parcours d’adaptation à la NIS2 proposé par ISGroup, qui inclut également la vérification des mesures de protection de l’environnement physique. Exemples de telles mesures :

  • Contrôle des accès aux installations : Mettre en œuvre des systèmes de contrôle d’accès pour limiter l’entrée physique dans les zones sensibles où se trouvent des équipements de réseau ou des données.
  • Contrôles environnementaux : Protéger contre les menaces environnementales, telles que les incendies, les inondations et les coupures de courant, par des mesures telles que des systèmes anti-incendie, des planchers surélevés dans les centres de données et des générateurs de courant de secours.
  • Personnel de sécurité physique : Employer du personnel de sécurité pour dissuader les accès non autorisés, surveiller les systèmes de surveillance et répondre aux incidents de sécurité.
  • Élimination sécurisée des ressources TIC : Mettre en œuvre des procédures pour garantir l’élimination ou la destruction sécurisée des équipements TIC, évitant l’exposition possible de données sensibles.

Note importante : Il est fondamental de se rappeler que ces inférences et exemples sont basés sur l’interprétation des principes et des exigences générales de la Directive NIS2. Les organisations devraient mener leurs propres évaluations des risques et consulter des experts en cybersécurité pour déterminer les mesures de sécurité physique les plus appropriées en fonction de leurs besoins spécifiques. Le texte officiel de la Directive NIS2 reste la référence normative primaire pour toute vérification.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *