État des lieux en vue d’une conformité NIS2 : retour d’expérience sur un prestataire

avatar

5 min read

Avec l’entrée en vigueur de la directive européenne NIS2, les entités importantes sont confrontées à des exigences renforcées en matière de cybersécurité, incluant une attention particulière à leur supply chain. Cela implique que leurs prestataires, bien que non directement soumis à la directive, doivent également aligner leurs pratiques pour garantir la continuité et la sécurité des services critiques.

Récemment, nous avons accompagné un prestataire qui fournit un outil sous forme de SaaS d’une entité importante dans un état des lieux de sa gestion cybersécurité. Voici ce qui est ressorti de ce diagnostic et pourquoi ces points sont cruciaux pour répondre aux attentes de NIS2.

Il est important de noter qu’à ce jour (23 décembre 2024), la directive NIS2 n’a pas encore été transposée en droit français. Cela n’empêche toutefois pas les entités de commencer à se préparer dès maintenant, car la directive introduit de nombreux changements significatifs pour les entreprises. En s’appuyant sur le texte européen actuel, il est possible d’entamer des travaux qui pourront être ajustés et complétés ultérieurement, une fois la transposition finalisée et ses exigences spécifiques clarifiées.

État des lieux : constats principaux

Lors de cet audit, plusieurs lacunes majeures ont été identifiées, directement liées aux exigences de continuité et de sécurité imposées par la directive NIS2 :

A. Absence de PSSI (Politique de Sécurité des Systèmes d’Information)

Voici ce qu’il devrait y avoir dans une PSSI :

  1. Définition des objectifs de sécurité : Protéger la confidentialité, l’intégrité, et la disponibilité des systèmes et données.
  2. Identification des rôles et des responsabilités : Attribuer les responsabilités en matière de cybersécurité, notamment pour les dirigeants, le RSSI, et les utilisateurs.
  3. Règles de gestion des accès : Mise en place du principe du moindre privilège, avec des processus pour l’attribution, la révocation et l’utilisation des identifiants.
  4. Exigences pour la protection des données : Décrire les mesures comme le chiffrement, les sauvegardes, et la gestion de la durée de conservation des données.
  5. Directives sur les mises à jour et la maintenance : S’assurer que tous les systèmes critiques sont régulièrement mis à jour et sécurisés.
  6. Programme de sensibilisation des employés : Former continuellement les équipes aux menaces et bonnes pratiques en cybersécurité.
  7. Gestion des fournisseurs et sous-traitants : Exiger des garanties de sécurité et intégrer des clauses de cybersécurité dans les contrats.
  8. Mécanismes de suivi et d’amélioration continue : Superviser les systèmes, effectuer des audits, et mettre à jour la PSSI pour suivre les évolutions des menaces et des réglementations.

B. Pas de PRA/PCA (Plan de Reprise et de Continuité d’Activité)

Le PCA (Plan de Continuité d’Activité) sert à garantir qu’un service minimal puisse être maintenu en cas d’incident majeur. Il assure la continuité des opérations critiques pour limiter les impacts sur les clients et partenaires.

Un PCA efficace devrait contenir :

  • Une identification des activités critiques et des services essentiels à maintenir.
  • Des solutions temporaires, comme des infrastructures de secours ou des processus alternatifs.
  • Un plan de communication de crise pour informer rapidement les parties prenantes.
  • Des procédures pour maintenir un service minimal jusqu’à la reprise complète des activités.
  • Un calendrier de tests réguliers pour vérifier l’efficacité des solutions mises en place.

Le PRA (Plan de Reprise d’Activité), complémentaire au PCA, sert à restaurer l’intégralité des services et des opérations après un incident.

Un PRA efficace devrait contenir :

  • Une cartographie des actifs critiques, incluant les systèmes, données et infrastructures.
  • Des procédures de sauvegarde et restauration des données pour limiter les pertes.
  • Une définition des priorités pour la reprise des activités dans un ordre optimal.
  • Un plan détaillé des étapes nécessaires pour revenir à un état opérationnel normal.
  • Une analyse des dépendances internes et externes pour coordonner la reprise.

En combinant un PCA et un PRA, l’entreprise peut réduire considérablement les interruptions de service et minimiser les risques pour ses clients.

C. Pas de gestion des incidents

L’absence d’un processus structuré pour gérer les incidents empêche l’entreprise de répondre efficacement aux crises, ce qui amplifie les impacts sur ses clients. Lorsqu’un incident survient, il est crucial d’informer rapidement les clients, d’analyser les causes pour éviter leur répétition, et de mettre en place un mode dégradé des services. Ce dernier, souvent basé sur un Plan de Continuité d’Activité (PCA), permet de maintenir un service minimal, limitant ainsi les interruptions et leurs conséquences.

Quelques éléments clés d’un processus de gestion des incidents bien structuré incluent :

  • Une communication claire et transparente avec les clients impactés.
  • La mise en place d’un mode dégradé pour maintenir les opérations critiques en coordination avec le PCA afin de garantir une continuité de service.
  • La documentation systématique des incidents pour les analyser et en tirer des leçons.

Pour finir

La gestion des incidents ne doit pas être négligée, surtout lorsque vous fournissez des services à vos clients. Ces derniers comptent sur vous pour assurer la continuité de leurs activités. C’est d’ailleurs là tout l’intérêt d’opter pour des solutions sous forme de SaaS : déléguer la partie maintient en condition opérationnelle des applicatifs qui sont souvent critiques pour leur propre fonctionnement. Une gestion efficace des incidents, combinée à un PCA, garantit que vos clients peuvent continuer à travailler même en cas de crise de votre côté, améliorant ainsi leur confiance dans vos produits tout en assurant une continuité commerciale.

Sommaire