- 15 avril 2025
- | Source: Foodprocess
BREEMES - BM GRIP : Ensemble, nous informons nos clients
L'industrie relève de la directive européenne NIS2 sur la cybersécurité
La directive européenne NIS2 sur la cybersécurité entrera en vigueur cet automne après avoir été transposée en droit. Cette mise à jour de la directive sur la sécurité des réseaux et de l'information (NIS) comprend des règles plus strictes et s'applique à des secteurs plus critiques (essentiels) et plus importants, y compris l'industrie. « Vous devez non seulement cartographier vos propres vulnérabilités aux menaces de cybersécurité, mais aussi les risques les plus importants pour vos clients et la société. Vous devez vous attaquer d'abord à ces risques », déclare Sjoerd van de Meerendonk, directeur de BMGRIP, le spécialiste de la sécurité de l'information.
L'Union européenne a adopté le NIS2 dans le prolongement du NIS1, qui est en vigueur aux Pays-Bas depuis 2018 par le biais de la loi sur la sécurité des réseaux et des systèmes d'information (Wbni). La transposition néerlandaise de la NIS2 progresse actuellement avant sa mise en œuvre cet automne. L'objectif global reste le même : renforcer la cybersécurité et la résilience des services essentiels dans les États membres de l'UE. La NIS1 a identifié six secteurs essentiels pour atteindre cet objectif : l'énergie, les soins de santé, l'eau potable, les transports, les finances et l'infrastructure numérique. La NIS2 ajoute quatre autres secteurs essentiels : les pouvoirs publics, la gestion des TIC, les eaux usées et l'aérospatiale. Il est intéressant de noter que d'autres secteurs clés ont également été identifiés, notamment les fournisseurs numériques, l'industrie chimique, l'industrie alimentaire et l'industrie manufacturière. Dans l'ensemble, les règles sont les mêmes, la seule différence étant que le contrôle est moins strict, c'est-à-dire réactif plutôt que proactif dans le cas des secteurs essentiels. En outre, le NIS2 intègre des normes de sécurité plus strictes et des exigences plus sévères en matière de notification des incidents.
Tranquillité d'esprit, sécurité et contrôle
Depuis plus de 20 ans, BMGRIP se concentre sur le renforcement des organisations dans le domaine de la sécurité de l'information, de la protection de la vie privée et de la continuité des activités. Basée à Utrecht, l'entreprise emploie 40 professionnels et fait partie du groupe Kader depuis 2022. « Grâce à notre approche basée sur les risques, nous aidons à mettre en œuvre des mesures organisationnelles et à développer des politiques stratégiques qui s'alignent sur les objectifs de l'entreprise », explique le fondateur et directeur Sjoerd van de Meerendonk. « Notre mission est d'aider les organisations à se conformer aux lois et réglementations de manière efficace et efficiente, tout en renforçant leur position concurrentielle. C'est ainsi que nous offrons la tranquillité d'esprit, la sécurité et le contrôle ». BMGRIP soutient les organisations dans la réalisation d'analyses d'impact/de risque et dans la mise en œuvre de mesures de sécurité, en mettant à leur disposition des professionnels « as a service » sous la forme de (chief) information security officers, en proposant des solutions numériques pour les systèmes de gestion et en organisant des formations.
Impact physique
Selon M. Van de Meerendonk, l'inclusion de l'industrie est une évolution logique. « Dans le passé, la sécurité de l'information concernait principalement la bureautique parce qu'elle dépendait déjà traditionnellement des réseaux et du web. Aujourd'hui, on constate de plus en plus que les applications qui contrôlent la technologie opérationnelle (OT) dans l'industrie sont également liées aux réseaux et au web. L'avantage est que vous pouvez facilement échanger des données, surveiller les processus et créer des rapports, ce qui vous permet d'avoir un aperçu en temps réel des performances de vos systèmes. Cependant, l'inconvénient est que vos systèmes industriels sont désormais également vulnérables aux pirates informatiques. La différence avec la bureautique, c'est que non seulement des informations peuvent être divulguées et des systèmes immobilisés par des ransomwares, mais qu'il y a aussi un risque d'impact physique. S'il n'y a pas de production, il ne peut y avoir de livraison de produits au secteur alimentaire, par exemple.
« Les systèmes industriels sont désormais également vulnérables aux pirates informatiques. »
Les grandes organisations montrent la voie en matière de cybersécurité et, à un moment donné, elles commenceront inévitablement à imposer des exigences de sécurité à leurs partenaires et fournisseurs, souligne M. Van de Meerendonk. « Cela crée un effet boule de neige. Le NIS2 ne dicte pas la manière dont vous devez gérer votre chaîne, mais il s'agit plutôt d'un résultat logique des responsabilités. L'organisation au sommet de la chaîne devra d'abord définir le champ d'application : quels services et quelles livraisons sont essentiels à la production et doivent donc également être cybersécurisés ? Cela devra être spécifié dans un contrat ». Prenons l'exemple des pompes utilisées par une agence de l'eau pour drainer un polder. Si les commandes des stations de pompage sont piratées, les pompes cessent de fonctionner et le polder est inondé. L'agence de l'eau est responsable en dernier ressort du processus de base, à savoir veiller à ce que les habitants gardent les pieds au sec, et, par extension, de la cybersécurité de la chaîne concernée. Celle-ci comprend, par exemple, le fabricant des pompes, les fournisseurs de composants critiques pour ces pompes et le prestataire de services industriels qui s'occupe de la maintenance des pompes. Toutes ces parties doivent donc indirectement se conformer au NIS2 par le biais des exigences fixées par l'entité essentielle, à savoir l'agence de l'eau.
Une surveillance plus stricte
Inversement, les fournisseurs industriels peuvent vérifier si leurs clients sont considérés comme des infrastructures critiques, ajoute M. Van de Meerendonk. « Idéalement, ces clients auront déjà une idée à ce sujet, mais le fait est que de nombreuses entreprises ne s'en préoccupent pas encore ou ne disposent pas de la supervision nécessaire. Leurs partenaires et fournisseurs peuvent donc jouer un rôle utile. » D'autant plus que la chaîne ne s'arrête pas à la première ligne. Après tout, ce fabricant de pompes s'approvisionne en pièces critiques auprès de fournisseurs de deuxième ligne. « Et si une entreprise confie sa gestion informatique à un partenaire, par exemple, elle fait souvent appel à un autre centre de données. Il est donc essentiel de prêter attention à tous les éléments de la chaîne d'approvisionnement.
« Il est donc essentiel de prêter attention à tous les éléments de la chaîne d'approvisionnement. »
Si tout se passe bien, les entreprises industrielles travaillent depuis longtemps sur la cybersécurité pour leur propre bien, affirme M. Van de Meerendonk. « La législation a toujours des années de retard sur les développements réels. Le NIS2 constitue toutefois une incitation certaine. D'autant plus que l'on s'attend à ce qu'il intègre une supervision plus stricte que le NIS1. « Ces dernières années, je n'ai pas vu de contrôle efficace sous la forme d'instructions et d'amendes. Je fais un parallèle avec le GDPR (General Data Protection Regulation, ndlr). Avant son prédécesseur, la loi sur la protection des données personnelles, le régulateur n'avait pratiquement aucun pouvoir ; il pouvait peut-être imposer une amende de 500 euros. En cas de violation du GDPR, les amendes peuvent désormais atteindre 10 à 20 % du chiffre d'affaires. La supervision est plus efficace et je m'attends à ce qu'il en soit de même avec le NIS2. Toutefois, on ne sait pas encore qui sera le chien de garde aux Pays-Bas. Il faudra attendre quelques années avant qu'il ne soit désigné et pleinement opérationnel ».
Prendre des mesures axées sur les risques
La NIS2 stipule que les organisations doivent réglementer leur cybersécurité, mais ne dit presque rien sur la manière dont elles doivent le faire. « La loi ne peut pas être aussi spécifique pour imposer une méthode unique à tous les secteurs. Les pouvoirs publics fonctionnent différemment des entreprises commerciales, les télécommunications diffèrent de la logistique ou de l'industrie. Chaque secteur trouvera sa propre façon de traiter le problème, par exemple en combinant une bonne gestion des accès, une mise en œuvre redondante des systèmes, le cryptage des données, la séparation des réseaux, etc. La NIS2 indique clairement qu'il faut prendre des mesures techniques, opérationnelles et organisationnelles axées sur les risques pour parvenir à la cybersécurité. Il énumère également quelques mesures générales. Cependant, la responsabilité s'arrête là. Point final. Elle ne précise aucune mesure spécifique, et aucune n'est décrite de manière spécifique. Il faut donc s'en remettre à l'avis des experts et aux normes internationales dans ce domaine. Il s'agit notamment des meilleures pratiques sur la manière de sécuriser correctement un environnement IT ou OT et sur les mesures à prendre. Dans ce contexte, on peut penser à la norme ISO 27001 pour la sécurité de l'information et à la norme CEI 62443 pour la cybersécurité industrielle ». En fait, ces normes ne sont pas explicitement mentionnées dans le NIS2.
« Essayez de cartographier au moins deux choses : le champ d'application et les risques. »
Enfin, M. Van de Meerendonk a un message à l'intention des entreprises qui ne sont pas encore tout à fait au point. « Il est impossible de tout faire en une seule fois car, en général, on manque de temps, d'argent et d'outils. Essayez de prendre au moins deux mesures de base. Tout d'abord, délimitez le champ d'application : où êtes-vous susceptible de subir des cyberattaques dans le domaine industriel dans lequel vous opérez ? Cela semble évident, mais 8 entreprises sur 10 n'ont pas une vision claire des endroits où les choses peuvent mal tourner. Deuxièmement, identifiez, en vous concentrant sur les risques, les endroits où vous pouvez vous attendre à subir les pires dommages si une cyber-attaque se produit. Concentrez-vous sur les risques les plus élevés pour votre cybersécurité industrielle et abordez-les selon le cycle bien connu Planifier-Faire-Vérifier-Agir. Une fois que vous avez correctement atténué les premiers risques, concentrez-vous sur les suivants afin d'atteindre, étape par étape, un niveau de maturité de plus en plus élevé en matière de cybersécurité. Si vous procédez ainsi, vous serez immédiatement en position de force vis-à-vis de l'autorité de contrôle et des clients s'ils posent des questions ou si quelque chose se produit. Si vous pouvez démontrer que vous comprenez vos risques et que vous avez un plan sur la façon dont vous allez réduire vos risques de cybersécurité étape par étape, cela renforcera la confiance des clients et des autorités de surveillance.
Prévenir les dommages sociaux
Lorsqu'une entreprise est victime d'un piratage informatique et que les données de ses clients sont compromises, sa réputation en pâtit. Elles subissent également des dommages économiques si leurs systèmes sont mis hors service par des pirates. Cependant, M. Van de Meerendonk estime que l'impact externe d'une cyber-attaque est la chose la plus importante dont il faut être conscient. « Les entreprises doivent avant tout être motivées pour travailler sur la cybersécurité afin de prévenir les dommages causés à leurs clients et à la société dans son ensemble.
