Directive NIS2, obligations mais aussi opportunités pour les entreprises

Directive NIS2 : Stefano Alei, architecte de la transformation de Zscalerapprofondit quelques aspects à partir desquels partir pour une nouvelle approche à la fois tactique et stratégique de la sécurité.

Tous les RSSI et dirigeants européens devraient désormais être conscients de l’expiration de la directive NIS2 le 17 octobre 2024. Les États membres de l’Union européenne devaient adopter et publier les mesures nécessaires pour se conformer à la directive avant le 18 octobre 2024. La Belgique, la France, l’Allemagne et L’Italie a déjà émis les décrets transposant la directive, même si certains en sont encore à la phase préliminaire. La bonne nouvelle est que les choses avancent avant la date limite.

Dans l’UE, il existe différents niveaux d’avancement, la directive NIS2

Nous sommes tous conscients que l’objectif de NIS2 est d’élargir le champ d’application et de renforcer les exigences. sécurité dans tous les pays de l’UE. En plus d’augmenter le niveau de protection de base, harmoniser le partage des communications et assurer la conformité réglementaire. Et cela non seulement à travers des amendes pour ceux qui ne le respecteraient pas, mais aussi avec de potentielles conséquences juridiques pour la direction. Nous constatons actuellement différents niveaux de progrès au sein de l’Union européenne en termes d’adoption, de compréhension et de financement pour la conformité. Cependant, la plupart des responsables des efforts de conformité à NIS2 sont confiant sur le résultat final de l’augmentation de la sécurité de votre entreprise.

L’objectif de conformité va de pair avec une évolution technologique

La directive pourrait donner une impulsion susceptible de générer un potentiel changement de mentalité dans l’approche globale de la sécurité et de ses résultats. Les entreprises devraient-elles détecter des lacunes dans leur infrastructure de sécurité, les points suivants peuvent s’avérer utiles pour un examen de la posture de sécurité. Nous abordons ci-dessous deux aspects comme base d’une nouvelle approche à la fois tactique et stratégique de la sécurité. Tout d’abord, il convient d’expliquer pourquoi la plateforme Zscaler Zero Trust Exchange est adaptée pour aider les entreprises à atteindre rapidement leur objectif de conformité. Deuxièmement, parce qu’il dispose d’un potentiel supplémentaire en tant que moteur de développement permettant de faire un bond en avant.

Directive NIS2

La plateforme Zscaler adresse aux exigences de NIS2. En fait, il est écrit dans la directive (préambule 89) que : « Les entités essentielles et importantes devraient adopter un large éventail de hygiène l’informatique de base, comme les principes Zero Trust, les mises à jour logicielles, la configuration des appareils, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, organisez et sensibilisez la formation de votre personnel aux cybermenaces, au phishing ou aux techniques d’ingénierie sociale ».

Les nombreux enjeux critiques d’une technologie désormais dépassée

Force est de constater que le cadre Zero Trust est placé au premier plan, alors que le document ne fait aucune référence aux VPN (Virtual Private Networks). Il est de notoriété publique que cette technologie historique, qui offre depuis de nombreuses années un service efficace aux utilisateurs, est aujourd’hui devenue un point critique en termes de sécurité. Le dernier rapport sur les risques VPN ThreatLabz 2024 de Zscaler met en évidence les dangers en utilisant une technologie obsolète. 92 % des personnes interrogées craignent que des tiers puissent servir de portes dérobées potentielles vers leurs réseaux via l’accès VPN.

Directive NIS2, pour les entreprises non seulement des obligations mais aussi des opportunités

La gestion par des tiers est un élément crucial dans le cadre de la directive NIS2, car l’ensemble de la chaîne de valeur doit être protégé par toutes les parties prenantes impliquées. Pour cette raison, NIS2 exige la validation de l’ensemble de la chaîne d’approvisionnement avant son adoption et impose une diligence raisonnable pour atténuer les risques associés. Dans le rapport NIS2 & Beyond: Risk, Reward & Regulatory Readiness d’avril 2024 de Zscaler, nous avons constaté que plus de 95 % des entreprises ont commencé mise en œuvre Solutions Zero Trust ou, du moins, a prévu de le faire.

La centralité de la formation interne

Pour se conformer à NIS2, les entreprises ont non seulement besoin de technologies innovantes, mais aussi d’améliorer les leurs. procédure et former sa main-d’œuvre. C’est une question de « personnes, de processus et de technologies ». La plateforme Zero Trust Exchange (ZTE) de Zscaler répond largement à la plupart des spécifications techniques requises par l’article 21 de la directive. De plus, Zscaler est en mesure de proposer des indications et des bonnes pratiques relatives aux procédures à adopter, en s’appuyant sur l’expérience de son équipe Customer Success.

Une approche globale des risques

L’un des défis L’exigence la plus courante à laquelle les entreprises sont confrontées est l’exigence de la directive NIS2. Selon lequel : « les mesures doivent s’appuyer sur une approche globale des risques, visant à protéger les réseaux et les systèmes d’information ». Ceci est complexe à réaliser avec une seule technologie, ce qui peut impliquer la gestion d’une multitude de fournisseurs et une complexité croissante. La plateforme ZTE offre une solution completcapable de fournir tous les outils nécessaires pour protéger, simplifier et transformer l’entreprise.

Les fonctionnalités activées

Les fonctionnalités peuvent être activées progressivement, au fur et à mesure que l’entreprise est prête à les adopter, simplement en activant les licences correspondantes. Par exemple, vous pouvez sécuriser le trafic Internet/SaaS, garantir un accès sécurisé aux applications privées, surveiller les appareils, les réseaux et les applications, ainsi que mettre en œuvre la protection des données, le CASB et la journalisation. Ensuite, vous pourriez envisager d’adopter une solution de réseau Zero Trust ou des fonctionnalités innovantes de gestion des risques et de protection des identités, avec des fonctionnalités supplémentaires disponibles si nécessaire.

Accompagner la transformation numérique

La plate-forme ZTE de Zscaler peut aider les clients à atteindre leur objectif de sécurité, mais elle ne se contente pas de protéger l’infrastructure, elle la simplifie également. Les environnements complexes sont généralement difficile à gérer, assez coûteux, difficile en cas de dépannage et nécessitant des délais plus longs pour la sortie de nouveaux services. L’objectif ultime du Zero Trust Exchange de Zscaler est maximiser la valeur apportée aux entreprises et soutenir la transformation numérique en activant les ressources critiques. Ceux-ci permettent à l’entreprise (personnes, applications, appareils/objets et données) de fonctionner de la manière la plus efficace, évolutive et sécurisée possible. Tout en éliminant la complexité informatique traditionnelle, en fournissant la visibilité et les outils dont l’entreprise a besoin pour prendre des décisions en temps opportun, en minimisant les risques commerciaux et en maximisant les profits dans le processus.

Directive NIS2

Zero Trust Exchange élimine la surface d’attaque en rendant les applications invisibles sur Internet. De plus, comme le trafic n’interagit pas directement avec le réseau, il empêché toute possibilité de mouvement latéral. En fin de compte, cette approche réduit considérablement le risque pour l’entreprise d’être victime de ransomwares et d’autres cybermenaces. Ainsi que la perte de données, à la fois accidentelle et intentionnelle.