NIS 2 et DORA : les solutions CLM au service de la conformité

NIS 2 : sécurité et résilience IT des entités essentielles et importantes

La directive NIS 2 (Network and Information Systems, version 2) a pour objectif principal d’améliorer la résilience et la sécurité des réseaux et systèmes d’information critiques, essentiels ou importants dans l’Union européenne.

En France, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui est chargée de la transposer en droit national. À compter du 18 octobre 2024 au plus tard, NIS 2 s’appliquera à des milliers d’entités dans plus de 18 secteurs, répartis en deux catégories :

• Les « entités essentielles » : énergie, transport, banque, infrastructures des marchés financiers, santé, gestion de l’eau potable et des eaux usées, infrastructures numériques et administrations publiques.
• Les « entités importantes » : services postaux et d’expédition, gestion des déchets, fabrication (agroalimentaire, chimie, médicaments, équipements médicaux critiques…), marketplaces, moteurs de recherche, plateformes de réseaux sociaux…

Toutes les entreprises de ces secteurs comptant un effectif de 50 employés ou plus, ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros, sont concernées. Cependant, quelques exceptions pourront être prévues par chaque État membre.

Il est à noter que :

• Ces deux nouvelles catégories remplacent celles prévues par NIS 1, à savoir les opérateurs de services essentiels (OSE) et les fournisseurs de service numérique (FSN).
• Les opérateurs d’importance vitale (OIV) ne sont pas concernés par NIS 2 tant ils bénéficient déjà d’une surveillance et d’une réglementation avancées.

Règlement DORA : sécurité et résilience IT de la finance et des assurances

Le règlement européen DORA (Digital Operational Resilience Act) vise de son côté à renforcer la résilience opérationnelle informatique des entreprises du secteur de la finance et des assurances : établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance… Il comprend un volet sur la gestion des risques liés aux tiers, notamment les prestataires informatiques avec lesquels les organismes financiers contractualisent. Sa portée va donc bien au-delà des seules entreprises de ces secteurs.

Le règlement DORA est entré en vigueur le 16 janvier 2023 et sera applicable dans les différents États membres au plus tard le 17 janvier 2025.

NIS 2 et DORA : améliorer la sécurité des systèmes informatiques

Dans le détail, les deux réglementations ont pour objectif d’améliorer la sécurité et la résilience des systèmes et des réseaux informatiques en Europe dans des secteurs considérés comme essentiels pour l’économie et la société européenne.

Elles imposent des exigences accrues en matière de mesures de sécurité pour les entités concernées, et notamment :

• La mise en place de politiques d’audit et de contrôle réguliers des risques pesant sur les systèmes d’information afin d’identifier leurs éventuelles faiblesses, défaillances ou lacunes, et de mettre rapidement en place des mesures correctives.
• La production de rapports réguliers sur les actifs informatiques, les audits de sécurité, les incidents cyber survenus, les actions entreprises pour y remédier, etc.
• L’établissement de plans de reprise après incident (PRA) ou de continuité d’activité (PCA) en cas d’incident.
• L’application de politiques et de mesures de protection des secrets cryptographiques.
• La mise en place de politiques, procédures et contrôles pour l’identification et le contrôle des accès des utilisateurs.
• Le déploiement de solutions d’authentification à plusieurs facteurs.
• Le suivi, la détection et la notification des activités anormales et des incidents de sécurité aux autorités compétentes.
• La mise en œuvre de politiques d’amélioration continue des pratiques de cybersécurité.

Par ailleurs, NIS 2 et DORA encouragent la coopération entre les États membres de l’UE pour la gestion des risques de cybersécurité et la réponse aux incidents, les menaces numériques étant, par nature, transfrontalières.

Enfin, les organisations qui ne respecteront pas les exigences de ces deux réglementations s’exposent à des amendes conséquentes, pouvant atteindre 10 millions d’euros.

Solutions CLM : une réponse aux obligations de ces réglementations

Les solutions de gestion des certificats numériques (CLM), telles que BerryCert, facilitent la mise en conformité aux exigences et aux mesures techniques de protection définies par ces deux réglementations, participant ainsi de la sécurisation et de la résilience des systèmes d’information des organisations européennes.

Quelques exemples :

• Gestion des risques avec l’identification des « assets » : cartographie, inventaire cryptographique et scoring des certificats numériques ;
• Supervision, rapports d’audit et notification des incidents majeurs, opérationnels et de sécurité, auprès des autorités ou des services de renseignement (nombre de certificats émis, pour quel domaine, etc.) ;
• Gouvernance centralisée : gestion des certificats de leur émission à leur expiration, révocation des certificats expirés ou compromis, émission de nouveaux certificats, identification des certificats non conformes à la politique de sécurité des entreprises…

Par ailleurs, les solutions CLM jouent un rôle clé en cas d’attaque car elles permettent la révocation centralisée des certificats compromis. Enfin, elles accélèrent la récupération après sinistre et la reconstruction du SI grâce aux données d’inventaire ou encore à la régénération automatique des certificats internes ou externes.