Directive NIS2 : De quoi parle-t-on ?
Quelles mesures de sécurité mettre en oeuvre et plus spécifiquement les mesures de sécurité pour les sites et applications web
La directive NIS 2 (Network and Information Security) est une législation de l’Union européenne qui vise à renforcer la cybersécurité et la résilience des infrastructures critiques et des services numériques essentiels. La directive NIS 2 votée en novembre 2022, remplace et renforce la directive NIS 1 qui a été mise en place en 2016. La NIS 2 élargit le champ d’application, les exigences en matière de sécurité et les sanctions en cas de non-conformité. Elle doit entrer en vigueur dans les droits nationaux des 27 pays de l’Union d’ici septembre 2024 ( 21 mois après le vote au maximum).
L’assemblée nationale doit donc se prononcer d’ici cette date et L’ANSSI rédigera l’arrêté précisant les modalités techniques de sa mise en œuvre.
La directive NIS 2 introduit une notion importante en distinguant
- les organisations essentielles : soumises aux mêmes règles que NIS mais plus de secteurs sont concernés
- les organisations importantes : soumises à des règles plus légères qui restent à définir dans le détail.
Les secteurs concernés par la directive NIS 2
Pour les secteurs essentiels :
- Énergie : électricité, gaz et pétrole
- Transport : aérien, ferroviaire, routier et maritime
- Banque et finance
- Secteur de la santé
- Infrastructures numériques : fournisseurs de services d’hébergement, registres Internet, etc.
- Secteurs liés à : espace
- Services publics et administrations territoriales (la taille des collectivités reste à définir probablement régions ; départements ; grandes agglomérations)
Pour les secteurs importants :
- Postes
- Services numériques (moteurs de recherche, marketplace, réseaux sociaux)
- Gestion des déchets
- Eau potable et traitement des eaux usées
- Chimie
- Alimentaire
- Industries (matériels médicaux , électroniques, automobiles, machines)
- Recherche (hors enseignement)
En tout, on passe de près de 500 entreprises pour NIS1 à plusieurs milliers pour NIS2.
En cas de non-conformité à la directive NIS2, les entreprises et organisations concernées peuvent être soumises à des amendes importantes en fonction de leur statut. Les sanctions varient selon les États membres de l’UE.
- Pour les organisations essentielles : elles peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé
- Pour les organisations importantes : elles peuvent aller jusqu’à 7 millions d’euros ou 1,7 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé
- Les dirigeants peuvent être tenus pour légalement responsables en cas de manquement manifeste
- Pour les acteurs importants : mise en cause publique nominative
- Pour les essentiels : mise en cause publique nominative + suspension de leurs fonctions, dénonciation de certifications pour la société.
Quelles sont les mesures de sécurité à mettre en œuvre pour se conformer à la directive NIS2 ?
Tout d’abord, il faut définir le périmètre des systèmes d’informations dits essentiels ou importants. Ce sont les sociétés concernées qui définissent celui-ci et après un temps d’échange avec l’ANSSI le périmètre définitif est défini
Les mesures générales à mettre en oeuvre sont principalement issues des référentiels PDIS et PRIS de l’ ANSSI et sont les suivantes :
- Le management doit mettre en place un plan concernant la sécurité et connaître les risques pour la sécurité des réseaux et des systèmes d’information.
- Mise en place de politiques et procédures de sécurité : établir des règles claires et des processus pour assurer la sécurité des réseaux et des systèmes d’information.
- Sécurité physique et environnementale : protéger les infrastructures critiques contre les menaces physiques et environnementales, telles que les catastrophes naturelles ou les attaques terroristes.
- Gestion des accès : contrôler l’accès aux systèmes et aux données sensibles pour éviter les accès non autorisés et les fuites d’information.
- Protection contre les logiciels malveillants et les attaques informatiques : mettre en place des mesures pour détecter, prévenir et répondre aux menaces en ligne, telles que les virus, les logiciels espions et les attaques par déni de service.
- Les mesures de sécurité en interne doivent aussi s’appliquer aux fournisseurs utilisés (hébergeurs, solution Saas)
- Sensibilisation et formation : assurer une formation régulière et une sensibilisation du personnel aux questions de cybersécurité et aux meilleures pratiques en matière de sécurité de l’information.
- Gestion des incidents et des violations : mettre en place des processus pour détecter, signaler et gérer les incidents de sécurité et les violations de données dans les 72 heures
- Continuité des activités et reprise après sinistre : élaborer des plans pour assurer la continuité des activités et la reprise rapide des services en cas d’incident majeur ou de catastrophe.
Si on se focalise sur les mesures de sécurité spécifiquement pour les sites / applications web et API elles peuvent inclure les éléments suivants :
- Cryptage : Utilisez le protocole HTTPS pour garantir la confidentialité et l’intégrité des données échangées entre les utilisateurs et les sites Web ou les applications. Implémentez également un cryptage adéquat pour les données sensibles stockées.
- Gestion des accès : Mettez en place des systèmes d’authentification et d’autorisation robustes pour contrôler l’accès aux applications Web et aux API. Cela peut inclure l’authentification à deux facteurs (2FA) et la limitation des privilèges des utilisateurs en fonction du principe du moindre privilège.
- Protection contre les injections : Assurez-vous que les applications Web et les API sont protégées contre les attaques par injection, telles que l’injection SQL, en validant et en désinfectant correctement les entrées utilisateur et en utilisant des requêtes paramétrées ou des ORM (Object-Relational Mapping).
- Sécurité des sessions : Mettez en œuvre une gestion sécurisée des sessions pour les utilisateurs, notamment en générant des identifiants de session aléatoires, en expirant les sessions inactives et en utilisant des cookies sécurisés.
- Sécurité des fichiers et des téléchargements : Limitez les types de fichiers autorisés à être téléchargés ou uploadés sur votre site Web ou votre application, et assurez-vous que les fichiers téléchargés sont correctement analysés pour détecter les logiciels malveillants.
- Pare-feu pour applications Web (WAF) : Utilisez un pare-feu pour applications Web pour protéger les applications Web et les API contre les attaques courantes, comme les attaques par injection, le Cross-Site Scripting (XSS), et le Cross-Site Request Forgery (CSRF) ou les attaques Zero Day (attaques nouvelles utilisant de nouveaux exploits non connus)
- Mises à jour et correctifs de sécurité : Appliquez régulièrement les mises à jour et les correctifs de sécurité pour les systèmes d’exploitation, les serveurs Web, les bases de données et les autres composants logiciels pour protéger contre les vulnérabilités connues.
- Surveillance et journalisation : Mettez en place une surveillance et une journalisation adéquates pour détecter et réagir rapidement aux incidents de sécurité et aux tentatives d’attaque.
- Tests de sécurité : Effectuez régulièrement des tests de sécurité, tels que des tests d’intrusion et des revues de code, pour identifier et corriger les vulnérabilités dans les applications Web et les API.
- Formation et sensibilisation : Assurez-vous que les développeurs et les autres membres du personnel impliqués dans la création et la maintenance des sites Web, des applications et des API sont conscients des meilleures pratiques en matière de sécurité et des menaces courantes.
L’ANSSI définira dans le détail dans l’arrêté découlant de la loi et du décret qui seront promulgués d’ici septembre 2024, les mesures applicables aux entreprises essentielles et celles s’appliquant aux entreprises dites importantes. Toutefois on peut penser que le référentiel PDIS et PRIS continuera à s’appliquer aux organisations essentielles. On peut aussi penser qu’une version allégée s’appliquera aux organisations importantes.
Quels sont les apports de la solution OGO Security dans ce contexte ?
OGO Security propose une solution de protection des applications web, des sites web et des API contre les cyber attaques applicatives, en mode SaaS ou sur site (WAF).
Nous proposons une solution avec :
- Une mise en production en 15 minutes en mode SaaS via une simple redirection DNS
- L’expérience utilisateur est préservée via une latence inférieure à 5 ms
- Nous protégeons contre le Top 10 OWASP et surtout les failles Zero day grâce à notre modèle à base d’intelligence artificielle, et nos algorithmes d’analyses comportementales.
- Une protection Anti DDOS réseau et applicative incluses
- Aucune configuration de la solution. Celle-ci est pré-paramétrée avec les 250 paramètres de l’IA à l’activation héritant de la sécurité moyenne des sites de la plateforme.
- Aucune gestion avec un taux de faux positifs de 0,0001%
- Un service managé de votre cybersécurité si vous souhaitez une analyse proactive de vos sites.
- Un tableau de bord très visuel pour visualiser toutes vos attaques site par site
- La solution est 100 % française y compris l’intelligence artificielle, 100% conforme RGPD et labellisée FRANCE CYBER SÉCURITÉ.
