NIS2 : Comment se préparer à la directive européenne ?

L’union européenne et ses états membres ont adopté de nouvelles obligations en matière de cybersécurité : la directive NIS2. Spécifique à la Belgique, la Loi NIS2, a mis à jour le cadre juridique de la loi belge en matière de cybersécurité afin que les entreprises puissent faire face aux cyberattaques de plus en plus fréquentes et complexes. Il est donc important pour elles d’y voir une opportunité pour améliorer la défense de leurs données et limiter l’impact des incidents sur le long terme.

Partager cet article

De manière brève

La Loi NIS2 européenne a été transposée en Belgique le 26 avril 2024
L'objectif est de renforcer la cybersécurité, de gestion et de supervision d'entreprises
La loi s'applique à toute entité en fonction du côté critique du secteur et quelle que soit sa taille
La directive donne une liste de mesures de gestion des risques
Les grandes entreprises étant classées comme critiques seront plus strictement contrôlées

Faut-il s'en préoccuper aujourd'hui ?

Il n’est jamais trop tôt pour se prémunir face aux cyberattaques qui peuvent détruire des mois, voir des années de travail et même conduire à la destruction complète d’une entreprise avec de graves conséquences.

Sans compter que la directive a prévu des sanctions en cas de non-conformité suivant les obligations auxquelles la société devait souscrire.

Il est donc préférable d’anticiper les points essentiels à mettre en place et d’y répondre le plus tôt possible. Cela permettra également de structurer et moderniser les bonnes pratiques en matière de sécurité et qui apportera du bénéfice sur le long terme.

Si besoin, il est bénéfique pour une entreprise de demander des conseils à son informaticien afin de passer en revue les points cruciaux en la matière.

Comment s'y préparer ?

1/ Un audit

Il sera essentiel avec le protocole NIS2 de réaliser un audit de son parc informatique afin de savoir exactement quels appareils sont utilisés, où ils sont localisés et à quoi ils servent. Attention aussi à ne pas oublier de potentiellement inclure les IoT (objets connectés) mais également les appareils des collaborateurs. Par exemple, un téléphone portable d’un collaborateur connecté au WiFi tous les jours fait en quelque sorte partie du parc informatique et doit être connu dans le système.

On en profite également pour vérifier que les appareils, serveurs ou autres, soient mis à jour et protégés mais également qu’ils soient backupés correctement.

La documentation peut déjà exister au sein de votre entreprise et il suffira de la compléter ou alors il sera nécessaire de la construire entièrement avec votre informaticien.

2/ Comment on réagit en cas de problème ?

Il est important de réaliser un plan pour qu’en cas de problème on puisse réagir correctement en conséquence. Il est également important de revoir ce plan de façon régulière afin de savoir si la procédure ne doit pas subir quelques adaptations.

Les incidents significatifs doivent être notifiés en trois étapes :

Alerte précoce dans les 24 heures (si l’incident a une portée significative).
Notification d’incident complète dans les 72 heures comme dans le cadre du RGPD.
Rapport final dans le mois.

3/ L’extérieur

Il n’y a pas qu’une entreprise de façon interne sur lequel vous devez vous concentrer. Il est aussi important de ne pas négliger l’extérieur comme par exemple des fournisseurs et partenaires. Est-ce qu’ils ont aussi une politique sécurisée ou non ?

Car, en effet, si l’un d’eux subit une attaque, il n’est pas impossible alors que via cette faille, votre entreprise soit menacée à son tour via un acteur de confiance.

C’est encore plus flagrant avec des logiciels. Par exemple, un logiciel obsolète, sans mise à jour, sera plus vulnérable aux attaques. Il est donc important également de vérifier ce point et d’être conscient des faiblesses qui peuvent être exploitées.

Et les collaborateurs dans tout cela ?

Un collaborateur est une cible privilégiée dans certains types de cyberattaques, qu’elles soient plus basées sur le social ou la partie technique. Il est donc important que le collaborateur soit formé afin d’être le plus vigilant possible.

Une formation pour détecter des tentatives de phishing peut être un bon exercice afin d’exercer l’œil et la vigilance. Plus le collaborateur est entraîné, moins il a de chances de tomber dans le piège. De même, il est préférable de toujours poser une question en cas de doute, même si dans certains cas il n’y a pas de danger. La prévention vaut mieux que la guérison.

Limiter les erreurs humaines permet de protéger une entreprise de façon significative car c’est l’erreur humaine qui est la plus facile à exploiter et la moins coûteuse à mettre en place par les cyberattaquants.

Récaputulatif

Prendre connaissance de la loi NIS2 et savoir à quel degré d’exigence l’entreprise doit répondre.
Savoir comment réagir en cas d’incident, qu’il soit majeur ou non.
Former ses collaborateurs le plus possible afin qu’ils puissent identifier une menace potentielle car ils sont souvent en première ligne des cyberattaques.
Ne pas négliger les aspects extérieurs à l’entreprise sur lesquels on n’a pas forcément un contrôle direct.
Vous pouvez retrouver des informations relatives à la loi belge via ce lien.

S'inscrire à notre Newsletter

Recevez des notifications et restez informés !

Lire plus d'articles

Cybersécurité

Qu’est ce que le rançongiciel « Qilin » ?

Qilin est un rançongiciel qui encrypte vos données et vous demande une rançon en échange. Voici nos conseils

TechTurn 04/06/2025

Informatique

Fin du support de Windows 10 en approche

Le 14 octobre 2025 marquera la fin du support du système d’exploitation Windows 10. Cela signifie que Microsoft ne mettra plus à jour les logiciels, ne fournira plus d’assistance technique et ni de correctif de sécurité. Il est donc crucial pour les entreprises de faire le nécessaire pour passer à Windows 11.

TechTurn 25/02/2025

Google

Mises à jour de Google : récapitulatif de 2024

Cette année fut chargée en mises à jour des algorithmes de Google : 4 mises à jour du noyau et 3 mises à jour spam.

TechTurn 06/01/2025

Voulez-vous faire évoluer votre entreprise?

Choisissez une entreprise qui obtiendra des résultats et qui vous parlera avec des mots compréhensibles au lieu de vous noyer sous le vocabulaire compliqué !