ISGroup Conseil en Cybersécurité

Exigences pour garantir la sécurité des systèmes TIC tout au long du cycle de vie, de l’acquisition à l’élimination

La directive NIS2, bien qu’elle ne définisse pas explicitement une approche structurée du cycle de vie des systèmes TIC, de la création à la mise hors service, fournit des lignes directrices et des exigences qui couvrent les principales phases liées à la sécurité, de l’acquisition et du développement à la gestion continue et à l’élimination.

[Callforaction-NIS2]

Acquisition et développement

  • Sécurité de la chaîne d’approvisionnement : La directive souligne l’importance de prendre en compte les risques liés à la cybersécurité au sein des chaînes d’approvisionnement.
    • Article 21, Paragraphe 2(d) : Exige des entités essentielles et importantes qu’elles mettent en œuvre des mesures de gestion des risques incluant la « sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs ou prestataires de services directs. »
    • Article 21, Paragraphe 3 : Précise que, lors de l’évaluation de l’adéquation des mesures de sécurité de la chaîne d’approvisionnement, les entités doivent tenir compte « des vulnérabilités spécifiques de chaque fournisseur ou prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisé. »
    • Article 22 : Permet la réalisation d’évaluations coordonnées des risques pour la sécurité des chaînes d’approvisionnement critiques au niveau de l’UE, influençant potentiellement la sélection et la gestion des fournisseurs TIC.
  • Pratiques de développement sécurisé : La directive met en évidence l’importance de prendre en compte la sécurité lors du développement des systèmes TIC, y compris pour ceux développés en interne.
    • Article 21, Paragraphe 2(e) : Liste la « sécurité dans l’acquisition, le développement et la maintenance des systèmes de réseau et d’information, y compris la gestion et la divulgation des vulnérabilités » comme élément clé des mesures de gestion des risques cyber exigées.
    • Article 21, Paragraphe 3 : Comme indiqué ci-dessus, ce paragraphe souligne l’importance de prendre en compte les « procédures de développement sécurisé » des fournisseurs dans l’évaluation des risques de la chaîne d’approvisionnement.
  • Utilisation de produits et services certifiés : Bien que cela ne soit pas obligatoire dans tous les cas, la directive NIS2 encourage et, dans certaines situations, peut exiger l’utilisation de produits, services et processus TIC certifiés.
    • Article 24, Paragraphe 1 : Établit que les États membres « peuvent exiger » des entités essentielles et importantes qu’elles utilisent des produits, services et processus TIC certifiés selon les régimes européens de certification de cybersécurité institués par le Règlement (UE) 2019/881.
    • Article 24, Paragraphe 2 : Confère à la Commission le pouvoir d’adopter des actes délégués pour spécifier quelles catégories d’entités essentielles et importantes « sont tenues » d’utiliser des solutions certifiées ou d’obtenir une certification.

Gestion continue

  • Gestion du risque cyber : L’article 21 constitue la pierre angulaire de l’approche de la directive NIS2 en matière de gestion continue de la sécurité TIC, imposant une approche basée sur le risque. Pour les organisations qui doivent structurer ou vérifier leur posture par rapport à ces obligations, le parcours de conformité à la directive NIS2 offre un support opérationnel, de l’analyse des écarts jusqu’à l’implémentation des mesures requises.
    • Article 21, Paragraphe 1 : Exige des entités essentielles et importantes qu’elles mettent en œuvre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des systèmes de réseau et d’information utilisés par ces entités dans leurs opérations ou pour la fourniture de leurs services, afin de prévenir ou de minimiser l’impact des incidents sur les destinataires de leurs services et sur d’autres services. »
    • Article 21, Paragraphe 2 : Fournit une liste détaillée de 10 éléments clés que ces mesures doivent inclure. Ces éléments couvrent divers aspects du cycle de vie du système TIC, tels que l’analyse des risques, la gestion des incidents, la continuité opérationnelle, la sécurité de la chaîne d’approvisionnement, la gestion des vulnérabilités, l’utilisation de la cryptographie, la sécurité des ressources humaines, le contrôle des accès et la gestion des actifs.
  • Gestion des incidents : La directive NIS2 établit un processus complet pour la gestion des incidents.
    • Article 23 : Exige des entités essentielles et importantes qu’elles signalent les incidents significatifs à leur CSIRT ou à l’autorité nationale compétente.
  • Gestion et divulgation des vulnérabilités : La directive reconnaît l’importance de traiter proactivement les vulnérabilités.
    • Article 12 : Établit un cadre pour la divulgation coordonnée des vulnérabilités, encourageant le signalement de celles-ci aux fabricants et aux fournisseurs de services et facilitant des pratiques de divulgation responsables.
    • Article 12, Paragraphe 2 : Prévoit la création d’une base de données européenne des vulnérabilités gérée par l’ENISA. Cette base de données sert d’archive centrale pour les vulnérabilités publiquement connues dans les produits et services TIC.
  • Formation et sensibilisation : La directive NIS2 reconnaît l’importance de l’élément humain dans la cybersécurité.
    • Article 20 : Exige des États membres qu’ils garantissent que les membres des organes de direction des entités essentielles et importantes reçoivent une formation pour améliorer leur compréhension des risques et des pratiques de gestion de la cybersécurité. La directive encourage également une formation similaire pour les employés.

Élimination

La directive NIS2 n’aborde pas explicitement l’élimination sécurisée des systèmes TIC. Cependant, certaines dispositions concernent la sécurité des données et la confidentialité, des aspects qui devraient être pris en compte lors de la mise hors service :

  • Considérations sur la protection des données : Bien que non traité directement dans la NIS2, l’élimination des systèmes TIC doit être conforme aux réglementations pertinentes sur la protection des données, telles que le RGPD. Cela inclut la garantie de l’effacement ou de la destruction sécurisée des données sensibles.
  • Exigences de confidentialité : L’article 23, paragraphe 7, autorise la divulgation publique des incidents, mais souligne que cela doit se faire « en consultation avec l’entité concernée » et en tenant compte de « la confidentialité des informations fournies. » Bien que cela se réfère au signalement des incidents, ce principe de confidentialité devrait s’étendre aux données et aux informations présentes sur les systèmes TIC lors de leur élimination.

Comment appliquer les exigences NIS2 tout au long du cycle de vie TIC

Bien que ce ne soit pas l’objectif principal de la directive, la NIS2 aborde des aspects clés de la sécurité des systèmes TIC tout au long du cycle de vie. La directive met l’accent sur :

  • Des pratiques d’acquisition et de développement sécurisées.
  • La gestion continue des risques, la gestion des incidents et des vulnérabilités.
  • L’importance de la protection des données et de la confidentialité, même lors de l’élimination.

Les organisations devraient interpréter et mettre en œuvre les exigences de la directive en considérant l’ensemble du cycle de vie des systèmes TIC. Pour approfondir quel est l’objectif principal de la directive NIS2 et comment il se traduit en obligations concrètes, il est utile de partir du cadre général avant d’entrer dans les détails techniques par phase individuelle.

Questions fréquentes

  • La NIS2 oblige-t-elle à suivre une procédure spécifique pour l’élimination des systèmes TIC ?
  • Non, la directive NIS2 ne réglemente pas explicitement l’élimination. Cependant, les dispositions sur la confidentialité des informations et sur la gestion des risques imposent indirectement de traiter la mise hors service avec la même attention que celle réservée aux autres phases du cycle de vie. Le RGPD reste la référence principale pour l’effacement sécurisé des données.
  • La certification des produits TIC est-elle obligatoire pour tous les sujets NIS2 ?
  • Pas de manière généralisée. L’article 24 prévoit que les États membres puissent exiger l’utilisation de produits certifiés selon les régimes européens de certification de cybersécurité, et que la Commission puisse rendre la certification obligatoire pour des catégories spécifiques d’entités. Jusqu’à l’adoption de tels actes délégués, la certification reste recommandée mais n’est pas universellement imposée.
  • Comment évaluer la sécurité des fournisseurs TIC conformément à l’article 21 ?
  • L’article 21, paragraphe 3, exige de prendre en compte les vulnérabilités spécifiques de chaque fournisseur, la qualité globale de ses pratiques de cybersécurité et les procédures de développement sécurisé adoptées. En pratique, cela se traduit par une évaluation du risque de la chaîne d’approvisionnement qui devrait être documentée et mise à jour périodiquement.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *