En entrant dans la gare d’une ville européenne (au-delà de la bulle immaculée et toujours sûre du Luxembourg), un pickpocket a tenté de voler mon téléphone professionnel dans mon manteau. En discutant avec ma mère, elle s’est demandée pourquoi j’avais mon téléphone dans ma poche et elle avait raison. Dans certains pays, il est impensable de sortir avec le téléphone à la main car on risque de mourir. Luxembourg : en dix ans de vie ici, je n’ai jamais été confronté à une telle situation. Soyons réalistes, nous considérons la sécurité comme allant de soi ici, et mon subconscient extrapole ce même comportement à tous les autres endroits où je vais (suis-je le seul ?).
POURQUOI NOUS ?
Bien que la réponse soit évidente pour les professionnels de la cybersécurité, elle peut être difficile à avaler lorsque, en tant que chef d’entreprise, nous pensons en termes de bénéfices et pas trop au rôle des technologies de l’information dans ce domaine. Comme nous n’avons pas subi de cyberattaque jusqu’à présent, nous ne pensons pas autant que nous le devrions à la sécurité « à l’extérieur ».
Cependant, les statistiques sur les cyberattaques parlent d’elles-mêmes et montrent que même les plus petites entreprises sont vulnérables aux attaques. Au Luxembourg, certaines entreprises ont déjà été touchées et, avec elles, certains de leurs clients, d’où la nécessité d’une loi visant à assurer la résilience des entreprises importantes et essentielles pour la société.
Les nouveaux secteurs ont été choisis en fonction de leur criticité pour l’économie et la société : Opérateurs d’intérêt essentiel pour les entités pour lesquelles une interruption potentielle des services aurait un impact presque apocalyptique sur la société. Entités importantes : les entités pour lesquelles une interruption potentielle des services n’aurait pas de conséquences sociétales ou économiques graves, mais qui constituent un terrain de jeu financier suprême pour les cybercriminels ; elles sont donc logiquement incluses dans la politique NIS2. Ce groupe d’entreprises sera soumis à un régime de surveillance réactif, dans le cadre duquel la surveillance est déclenchée par des indications d’incident. L’objectif est de garantir la résilience des chaînes d’approvisionnement critiques et d’éviter les pénuries en cas de cyberattaque.
Réfléchir au « secteur critique » en tant que société n’est pas toujours facile, car ce qui est « critique » pour le lecteur de cet article ne l’est peut-être pas pour moi, mais c’est là qu’intervient la loi pour établir certains paramètres concernant la « criticité ». Prenons le cas de l’insuline : une pénurie d’insuline n’affectera ni moi ni ma famille, mais peut-être mon voisin. Dans ce cas, par exemple, toute interruption ou compromission du processus de production du produit pharmaceutique pourrait avoir un impact sur la santé publique : Une cyberattaque mettant en péril l’intégrité des processus de développement et/ou de production des médicaments pourrait nuire à la qualité du produit distribué à la population. Il en va de même pour la distribution.Think about “critical sector” as a society, sometimes it is not so easy because what is “critical” for the reader of this article, perhaps is not for me, but here comes the law to establish some parameters about “criticality.” Take the case of insulin, a shortage on the insulin will not affect me or my family but maybe my neighbor. In that case for example, any interruption or compromise within the production process of the pharmaceutical could have an impact on public health: A cyber attack that puts the integrity of the drug development and/or production processes at risk, could damage the quality of the product that ended distributed in the population. Same for the distribution.
La collecte de données personnelles et médicales fait également de ce secteur et de nombreuses entreprises du secteur de la santé (cliniques, hôpitaux, laboratoires) des cibles très attrayantes pour les cybercriminels. Ces entreprises doivent donc se conformer au GDPR. Une violation de données pourrait entraîner de graves dommages pour la population, tels que l’usurpation d’identité, la fraude ou le chantage, sans parler des pertes importantes que ces entreprises pourraient subir (sur le plan financier et de la réputation). En outre, les responsabilités décrites dans le NIS 2 portent désormais un nom spécifique. Il ne suffit plus que l’entreprise « réponde » d’une négligence, les sanctions pour les directeurs d’entreprise peuvent être sévères si la négligence est démontrée dans la mise en œuvre et le suivi d’un SMSI.
L’UTILISATION DE LA FAMILLE ISO 27000 POUR APPLIQUER LA NIS2.
D’après notre expérience, la mise en place d’un SMSI dans le cadre de la norme ISO 270001 est idéale car elle permet, en une série d’étapes organisées et cohérentes, d’identifier.. :
Les processus critiques de l’entreprise : le cœur de l’entité. Qu’est-ce qui est important pour la société de votre entreprise ?- Les processus critiques de l’entreprise : le cœur de l’entité. Qu’est-ce qui est important pour la société de votre entreprise ?
Procéder à une évaluation des risques : recenser les risques et les menaces susceptibles de perturber ces processus critiques.- Procéder à une évaluation des risques : recenser les risques et les menaces susceptibles de perturber ces processus critiques.
Élaborer et mettre en œuvre une stratégie de cybersécurité : Sur la base de l’analyse des risques susmentionnée, une stratégie de sécurité axée sur les mesures requises par la NIS 2 est élaborée. Cette stratégie comprend des mesures techniques et organisationnelles visant à prévenir et à détecter les incidents liés aux technologies de l’information et à y répondre.- Élaborer et mettre en œuvre une stratégie de cybersécurité : Sur la base de l’analyse des risques susmentionnée, une stratégie de sécurité axée sur les mesures requises par la NIS 2 est élaborée. Cette stratégie comprend des mesures techniques et organisationnelles visant à prévenir et à détecter les incidents liés aux technologies de l’information et à y répondre.
Élaborer et déployer un plan d’intervention en cas d’incident : ce plan met en évidence les étapes à suivre en cas d’incident de cybersécurité ; il s’agit notamment de signaler les incidents, de limiter les dégâts et de rétablir les services.- Élaborer et déployer un plan d’intervention en cas d’incident : ce plan met en évidence les étapes à suivre en cas d’incident de cybersécurité ; il s’agit notamment de signaler les incidents, de limiter les dégâts et de rétablir les services.
Plan d’amélioration continue : pour garantir la résilience maximale de l’entreprise et faire en sorte que les exigences de la NIS 2 soient respectées à tout moment. Technologie, personnel et procédures de protection contre les risques et les menaces.- Plan d’amélioration continue : pour garantir la résilience maximale de l’entreprise et faire en sorte que les exigences de la NIS 2 soient respectées à tout moment. Technologie, personnel et procédures de protection contre les risques et les menaces.
Si la norme ISO 27001 inclut la gestion de la continuité des activités (BCM), elle ne définit pas de processus spécifique pour la mise en œuvre de la BCM. La norme ISO 22301 complète la norme ISO 27001 en incluant ce processus. En résumé, les normes ISO 27001 et ISO 22301 combinées facilitent la mise en œuvre d’un plan qui lie et harmonise le système de gestion de la sécurité de l’information avec un plan de continuité des activités.
Une précision : il faut dire que bien que cette formule facilite la conformité avec le NIS2, la même « recette » ne s’applique pas de la même manière à toutes les entités puisque les priorités d’une entité publique (services de continuité à la population) ne sont pas les mêmes que celles d’une entité privée (revenus et CB) ; même les priorités d’un service postal et de messagerie ne sont pas les mêmes que celles d’une distribution de produits alimentaires. Grâce à son expérience avec différents types d’entités dans les deux secteurs (public et privé), AdronH a appris à adapter avec succès le processus de mise en œuvre en fonction des exigences de chaque entité, y compris les plus petites.
Nous avons réussi à réunir des professionnels expérimentés dans le domaine et passionnés par leurs activités qui répondent efficacement aux besoins particuliers de chaque entité.