Archives des Cybersécurité | nuMeta

Tout ce que vous devez savoir sur la directive NIS 2 pour renforcer la cybersécurité de votre entreprise

Laurent Savage — Mon, 04 Dec 2023 17:54:41 +0000

La cybersécurité est devenue une préoccupation majeure pour les entreprises. Ainsi, avec la montée en puissance des acteurs malveillants et les attaques de plus en plus sophistiquées, il est essentiel de mettre en place des mesures de protection solides pour prévenir les incidents de sécurité. C’est dans cette optique que la directive NIS 2 a été introduite. Dans cet article, nous allons examiner ce que la directive NIS 2 implique pour votre entreprise et comment vous pouvez vous préparer à ses exigences.

Qu’est-ce que la directive NIS 2 ?

La directive NIS 2, qui fait suite à la directive NIS 1, marque un changement significatif dans le paysage de la cybersécurité à la fois au niveau national et européen. Cette nouvelle directive vise à étendre les objectifs et le champ d’application de la directive précédente afin de renforcer la protection des entreprises contre les cybermenaces. Elle encourage également une coopération plus étroite entre les États membres de l’Union européenne en matière de gestion des crises cyber.

Les principaux changements apportés par la directive NIS 2

1. Élargissement du périmètre d’application

L’un des principaux changements introduits par la directive NIS 2 est l’élargissement de son champ d’application.

Les secteurs d’activités concernés sont regroupés dans 2 annexes

Annexe 1	Annexe 2
Energie Transports Secteur bancaire Infrastructures des marchés financiers Santé Eau potable Eaux usées Infrastructure numérique Gestion des services TIC Administration publique Espace	Services postaux et d’expédition Gestion des déchets Fabrication, production et distribution de produits chimiques Production, transformation et distribution de denrées alimentaires Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro Fabrication de produits informatiques, électroniques et optiques Fabrication de produits électriques Fabrication de machines et équipements Construction de véhicules automobiles, remorques et semi-remorques Fabrication d’autres matériels de transport Fournisseurs numériques Recherche

Annexe 1

Annexe 2

Energie
Transports
Secteur bancaire
Infrastructures des marchés financiers
Santé
Eau potable
Eaux usées
Infrastructure numérique
Gestion des services TIC
Administration publique
Espace

Services postaux et d’expédition
Gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution de denrées alimentaires
Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro
Fabrication de produits informatiques, électroniques et optiques
Fabrication de produits électriques
Fabrication de machines et équipements
Construction de véhicules automobiles, remorques et semi-remorques
Fabrication d’autres matériels de transport
Fournisseurs numériques
Recherche

Si votre entreprise ou que vous êtes fournisseur ou prestataire d’une entreprise dont le secteur d’activité principale est dans ces annexes, vous serez certainement concernés par NIS 2 également.

2. Renforcement des exigences de sécurité

La directive NIS 2 met l’accent sur la gestion des risques et les mesures de sécurité à mettre en place pour protéger les systèmes d’information des entreprises. Elle exige que les entreprises adoptent une approche proactive pour évaluer et atténuer les risques potentiels. De plus, la directive énonce une liste d’éléments de sécurité essentiels que les entreprises doivent prendre en compte.

3. Collaboration et partage d’informations

La directive NIS 2 encourage une collaboration plus étroite entre les États membres de l’UE en matière de cybersécurité. Elle prévoit la création d’un réseau européen d’organisations de liaison en cas de cybercrise (EU CyCLONe) afin de faciliter le partage d’informations et la coordination de la gestion des crises.

4. Obligation de signalement des incidents de sécurité

La directive NIS 2 impose aux entreprises de signaler les incidents de sécurité majeurs à leurs équipes de réponse aux incidents de sécurité informatique (CSIRT) ou aux autorités compétentes dans les 24 heures suivant leur découverte. Les entreprises doivent également fournir des rapports détaillés sur les incidents, y compris une analyse de leur ampleur et de leurs conséquences.

5. Contrôles et sanctions

La directive NIS 2 prévoit des mécanismes de contrôle stricts pour s’assurer que les entreprises respectent ses exigences. Les États membres de l’UE auront le droit d’effectuer des inspections, des évaluations de sécurité et de demander des données et des documents. En cas de non-conformité, les entreprises peuvent faire l’objet de sanctions financières pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires mondial total.

Suis-je concerné ?

La directive NIS 2 introduit 2 types d’entités :

Les entités essentielles (EE) : elles réalisent des activités présentes dans l’annexe 1 et sont de taille intermédiaire ou grande
Les entités importantes (EI) : tout autre entité de l’annexe 1 et 2, de taille moyenne ou plus qui n’est pas une EE.

Cette segmentation correspond à la règle de base. Cette règle est accompagnée de règles secondaires et d’exceptions (en cours de transposition en droit français)

Si votre entreprise est une EE ou une EI, vous êtes concernés

Taille de l’entité	Nombre d’employés	CA (M€)	Bilan annuel (M€)	Annexe 1	Annexe 2
Intermédiaire et grande	nb>= 250	CA >= 50	Bilan >= 43	ENTITES ESSENTIELLES	ENTITES IMPORTANTES
Moyenne	50 >= nb >=250	10>= CA > 50	10 >= Bilan >= 43	ENTITES IMPORTANTES	ENTITES IMPORTANTES
Micro et petite	nb < 50	CA < 10	Bilan < 10	Non concernées	Non concernées

Résumé des situations des entités

Comment se préparer à la directive NIS 2 ?

La mise en conformité peut sembler complexe, mais il existe des mesures que votre entreprise peut prendre pour se préparer efficacement. Voici quelques étapes clés à suivre en attendant la transposition complète en droit français :

1. Évaluation des risques

Commencez par évaluer les risques auxquels votre entreprise est exposée en matière de cybersécurité. Identifiez les vulnérabilités potentielles et les menaces spécifiques à votre secteur d’activité. Cela vous aidera à déterminer les mesures de sécurité appropriées à mettre en place.

2. Mise en place de mesures de sécurité

Sur la base de votre évaluation des risques, mettez en place des mesures de sécurité appropriées pour protéger vos systèmes d’information. Cela peut inclure l’utilisation de pare-feu, de logiciels antivirus, de systèmes de détection des intrusions et de cryptage des données.

3. Formation et sensibilisation

Assurez-vous que vos employés sont formés aux bonnes pratiques en matière de cybersécurité. Sensibilisez-les aux risques potentiels et aux mesures de sécurité à prendre. Encouragez-les également à signaler tout incident de sécurité suspect.

4. Plan de réponse aux incidents

Élaborez un plan de réponse aux incidents qui détaille les mesures à prendre en cas d’incident de sécurité. Cela comprend la désignation d’une équipe de réponse aux incidents et la mise en place d’un processus de signalement et de gestion des incidents.

5. Collaborer avec d’autres entreprises et les autorités compétentes

NIS 2 encourage la collaboration entre les entreprises et les autorités compétentes en matière de cybersécurité et à participer à des initiatives de partage d’informations et de bonnes pratiques pour renforcer la sécurité de votre entreprise.

En conclusion,

La directive NIS 2 représente une avancée majeure dans le domaine de la cybersécurité en Europe. En se conformant à ses exigences, les entreprises peuvent renforcer leur niveau de protection contre les cybermenaces et contribuer à la création d’un environnement numérique sûr et résilient.

Prochaine échéance : 17/10/2024 au plus tard pour la transcription en droit français.

Pour aller plus loin : le site du l’ANSSI https://cyber.gouv.fr/la-directive-nis-2

Image de Freepik

L’article Tout ce que vous devez savoir sur la directive NIS 2 pour renforcer la cybersécurité de votre entreprise est apparu en premier sur nuMeta.

[#Sauvegardes] Ne perdez pas vos #données ! #CyberResponsable

Laurent Savage — Mon, 23 Oct 2023 13:08:32 +0000

Pour éviter le pire, faites des sauvegardes régulièrement ! Identifiez les données que vous estimez importantes et réalisez des sauvegardes régulières de l’ensemble de vos appareils.

Pensez aux copies sur un support externe (clé USB, DVD ou disque dur externe) ou sur le Cloud.

Pour en savoir plus et adopter les #cyber réflexes, RDV sur Cybermalveillance.gouv.fr

Retrouvez tous les conseils illustrés #CyberResponsable sur : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/cybermois-action-citoyenne-cyberresponsable

#Cybermois #Cybersécurité

L’article [#Sauvegardes] Ne perdez pas vos #données ! #CyberResponsable est apparu en premier sur nuMeta.

🔬L’Analyse de Risque : un élément essentiel pour adapter son niveau de Sécurité Cyber⚔

Laurent Savage — Fri, 13 Oct 2023 13:05:07 +0000

La sécurité cyber est devenue l’une des préoccupations majeures pour toutes les organisations. Les cybermenaces évoluent constamment, devenant de plus en plus sophistiquées et ciblées. C’est pourquoi les entreprises doivent impérativement intégrer une démarche d’analyse de risque dans leur stratégie de sécurité.

Comprendre l’Analyse de Risque
L’analyse de risque est un processus qui vise à identifier, évaluer et hiérarchiser les risques potentiels auxquels une organisation est exposée. Elle repose sur l’identification des actifs, des menaces possibles, des vulnérabilités et des impacts en cas d’incident. Cette approche permet de prendre des décisions éclairées pour mettre en place des mesures de sécurité appropriées.

Identifier les Menaces et les Vulnérabilités
L’analyse de risque commence par l’identification des menaces auxquelles une organisation est exposée. Ces menaces peuvent provenir d’acteurs externes tels que les hackers, mais aussi d’erreurs humaines ou de défaillances techniques. En parallèle, il est crucial d’identifier les vulnérabilités potentielles dans le système d’information.

Évaluer l’Impact et la Probabilité
Une fois les menaces et les vulnérabilités identifiées, il est essentiel d’évaluer l’impact potentiel de chaque menace sur les activités de l’organisation, ainsi que la probabilité que ces menaces se concrétisent. Cette évaluation permet de hiérarchiser les risques en fonction de leur gravité et de l’urgence d’agir.

Adaptation du Niveau de Sécurité
L’analyse de risque permet de définir le niveau de sécurité cyber nécessaire pour réduire les risques à un niveau acceptable pour l’organisation. Ce niveau de sécurité doit être adapté en fonction des résultats de l’analyse, en mettant en place des mesures proportionnées aux risques identifiés. Ces mesures peuvent inclure la mise en place d’outils, de politiques de sécurité, de formations pour le personnel, etc.

Adaptabilité et Évolution
L’environnement cyber évolue rapidement, avec de nouvelles menaces qui émergent constamment. L’analyse de risque doit donc être un processus continu et adaptable, permettant à l’entreprise de réévaluer régulièrement les risques et d’ajuster son niveau de sécurité en conséquence. Cette adaptabilité garantit que l’organisation reste résiliente face aux menaces émergentes.

En conclusion, l’analyse de risque est :
un pilier essentiel dans la stratégie de sécurité cyber
une vision claire des menaces et des vulnérabilités, permettant ainsi d’adapter le niveau de sécurité
une approche proactive et itérative pour protéger les actifs et les données de l’organisation

Cette analyse de risque doit être intégrée dans la gestion globale de la sécurité.

Vous voulez en discuter ? Envoyez moi un message à contact@numeta.fr

Image de Inkong Boutchalern

L’article 🔬L’Analyse de Risque : un élément essentiel pour adapter son niveau de Sécurité Cyber⚔ est apparu en premier sur nuMeta.

🛡 Comment élaborer une politique de Cybersécurité solide : équilibrer les aspects techniques et organisationnels 🤔

Laurent Savage — Wed, 27 Sep 2023 08:19:29 +0000

Cette problématique de constitution d’une politique de Cybersécurité, je la retrouve régulièrement dans mes différentes interventions.

Mettre en place des outils techniques, quelle que soit leur efficacité, ne suffit plus.

Voici quelques éléments de réflexion ci-dessous.

Vous voulez en discuter directement : je suis joignable à contact@numeta.fr
#PSSI #Cybersécurité #SécuritéInformatique #PolitiqueDeSécurité

Linkedin-PSSI Télécharger

L’article 🛡 Comment élaborer une politique de Cybersécurité solide : équilibrer les aspects techniques et organisationnels 🤔 est apparu en premier sur nuMeta.

🐟 Êtes-vous un poisson et risquez-vous l’hameçonnage ? 🎣

Laurent Savage — Mon, 22 May 2023 08:48:00 +0000

Selon #Cybermalveillance.gouv.fr, l’hameçonnage est la première menace #Cyber en 2022. Cette menace arrive en première position dans toutes les catégories de publics (particulier, entreprises et associations, collectivités et administrations).

L’#hameçonnage (ou phishing en anglais) est une escroquerie visant à vous subtiliser des informations personnelles. Ces informations peuvent être des coordonnées bancaires, des identifiants/mots de passe à de connexions (compte bancaire, mail, plateforme de commerce en ligne,…), en fait, tout ce qui permet de vous extorquer de l’argent directement ou indirectement. C’est également une manière de faire de l’intelligence sociale professionnelle afin de mettre en œuvre des fraudes de plus grande ampleur comme la fraude au président ou la falsification de coordonnées bancaires fournisseur.

Le canal principal de cette menace est le mail mais elle se développe de plus en plus par SMS.

Il est loin le temps où vous receviez un mail avec des fautes de français tous les 3 mots, et la détection de cette tentative était simple. Aujourd’hui, c’est très bien réalisé avec parfois des copies des éléments officiels (logo, police de caractère, coordonnées, ….)

Comment s’en protéger ?

2 axes complémentaires sont à mettre en œuvre :

– des outils (anti-spam, antivirus à jour, navigateur intégrant un anti-phishing) qui filtrent une grande partie des tentatives d’escroquerie

– de la formation et de la sensibilisation.

Rien ne remplacera, pour l’instant, le bon sens et la vigilance des collaborateurs de l’entreprise dans ce type de situation. Un entraînement régulier est nécessaire afin de maintenir un niveau de vigilance et de sécurité vis-à-vis de ce type de menace.

Voici en lien le rapport d’activité 2022 de Cybermalveillance.gouv.fr https://lnkd.in/eDQsnzuH

Vous souhaitez échanger sur ce sujet ? Contactez-moi par mail à contact@numeta.fr

« Designed by stories / Freepik »

L’article 🐟 Êtes-vous un poisson et risquez-vous l’hameçonnage ? 🎣 est apparu en premier sur nuMeta.

Au secours, j’ai trop de mots de passe, mon écran est rempli de post-it 😱

Laurent Savage — Tue, 28 Mar 2023 09:11:00 +0000

Cela vous fait peut-être sourire, mais la multiplication des outils ou logiciels engendre un nombre de mots de passe à retenir de plus en plus important.

Et cela se passe dans votre vie professionnelle (même si la mise en place d’un #SSO est possible), mais aussi dans votre vie personnelle.

A cela, s’ajoute la complexité croissante exigée de ces mots de passe.

Bref, il est loin le temps où 123456 ou KIKI (le nom de votre chien) étaient suffisants.

Blague à part, pour les personnes qui ne sont pas à l’aise avec l’informatique, cela devient vite un enfer.

2 solutions possibles :
Ecrire ses mots de passe sur un carnet enfermé à double tour dans un tiroir
Utiliser un gestionnaire de mots de passe

Je ne vous recommande bien évidemment pas la première solution, car en cas de vol ou de perte du carnet, ceux sont vos vies professionnelles et / ou personnelles qui sont exposées.

Je suis plutôt partisan de la seconde.

Un gestionnaire de mot de passe vous permet :
De les stocker de façon sécurisée
De les générer facilement en fonction de vos besoins
De n’avoir qu’un seul mot de passe à retenir… Celui du coffre-fort

A la question : « Cela doit coûter cher de mettre cela en place ?», je réponds « pas forcément ».
Cela dépend de votre besoin.
Certains sont gratuits et certifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)

Vous trouverez en lien un article de France Num pour aller plus loin, n’hésitez pas à le parcourir.
https://lnkd.in/e2HrVVcm

#cybersecurite #sensibilisation #password #coffrefort

L’article Au secours, j’ai trop de mots de passe, mon écran est rempli de post-it 😱 est apparu en premier sur nuMeta.