Devenue exécutoire en octobre 2024, la Directive européenne NIS 2 vise à renforcer la protection des infrastructures critiques face aux cyberattaques.
Avec un champ d'application étendu et des exigences renforcées par rapport à la Directive NIS de 2016, elle impose aux entreprises une mise en conformité rigoureuse pour protéger leurs systèmes d'information critiques, incluant les appareils mobiles et les services fournis via des applications.
Son objectif ? Garantir la continuité des services essentiels tout en responsabilisant les entreprises face aux risques numériques.
À quelles organisations s’applique la Directive NIS 2 ?
Gaël Prado, Consultant senior en réglementation chez Orange Cyberdefense explique : « Le texte NIS 2 opère un véritable changement en termes de volumétrie. En France, par exemple, environ 300 OSE étaient désignés sous l’égide de NIS 1, mais avec les nouvelles règles de NIS 2, ce nombre pourrait atteindre environ 20 000 entreprises, en prenant les chiffres de l'INSEE et sans prendre en compte les collectivités territoriales qui pourraient s’y ajouter. »
NIS 2 encadre un large éventail d’entités considérées essentielles ou importantes. Cela inclut des organisations des secteurs hautement critiques suivants :
- Administrations publiques
- Eau potable
- Eaux usées
- Énergies • Espace
- Gestion des services Technologies de l’Information et de la Communication (interentreprises)
- Infrastructures des marchés financiers
- Infrastructures numériques
- Santé
- Secteur bancaire
- Transports
- Fabrication, production et distribution de produits chimiques
- Fournisseurs numériques
- Gestion des déchets
- Industrie manufacturière
- Production, transformation et distribution de denrées alimentaires
- Recherche
- Services postaux et d’expédition
La Directive NIS 2 s'applique à toutes les entreprises des secteurs mentionnés ci-dessus exerçant des activités ou fournissant des services au sein de l'Union européenne. Cela inclut aussi bien les entreprises établies en Europe que celles situées à l'étranger, dès lors qu'elles proposent des services aux citoyens européens et opèrent dans les secteurs concernés.
Les services mobiles désormais dans le champ d’application
L'une des avancées majeures de cette nouvelle version de la directive est qu'elle souligne l'importance de ne pas exclure la sécurisation des services proposés via des applications mobiles lorsqu'il est question de services en ligne. En effet, en préambule, la Directive NIS2 déclare partir du principe que « Les services d’informatique en nuage devraient couvrir les services numériques qui permettent la gestion sur demande et l’accès large à distance […], y compris ceux fournis sur les téléphones mobiles, les tablettes, les ordinateurs portables et les postes de travail ».
Cette inclusion explicite des services mobiles témoigne d'une prise en compte des réalités actuelles, où les appareils mobiles jouent un rôle central dans les usages numériques professionnels et personnels. Avec la généralisation des applications mobiles dans les processus métiers et les échanges sensibles, les smartphones et tablettes sont devenus d’importants vecteurs de risques. En intégrant ces dispositifs dans le champ d’application de la directive, le Parlement Européen impose aux organisations de considérer les terminaux mobiles comme une composante essentielle de leur stratégie de cybersécurité globale.
Article 21 : L’approche « tous risques »
L’article 21 de la Directive NIS 2 présente les mesures de gestion des risques en matière de cybersécurité. La nécessité de gérer les risques liés aux partenaires et sous-traitants est un point clé de ce texte de loi, qui met l’accent sur la notion de responsabilité partagée relative à la cybersécurité. En effet, il demande aux entités visées de considérer les vulnérabilités de leurs fournisseurs et prestataires, la qualité de leurs produits, leurs pratiques de cybersécurité et leurs procédures de développement sécurisé.
Pour se mettre en conformité, les entreprises doivent désormais adopter une approche proactive et globale de la cybersécurité. Cela implique d’évaluer régulièrement les risques, de détecter les vulnérabilités et de prendre des mesures préventives, telles que la réalisation régulière d’audits de sécurité, de tests d’intrusion ou encore la formation des collaborateurs. En cas d’incident de sécurité, elles doivent signaler l’attaque aux autorités locales compétentes dans les 24 heures et fournir un rapport complet dans les 72 heures, afin de permettre une coordination rapide des réponses.
Comment Pradeo vous permet d’être conforme à la Directive NIS 2 ?
Pour répondre aux exigences de NIS 2, Pradeo offre aux organisations des solutions permettant de sécuriser leurs mobiles et applications, particulièrement ciblés par les cyberattaquants dans les secteurs sensibles.
Sécurisation des applications
La boite à outils de sécurité des applications de Pradeo permet de protéger l'ensemble du cycle de vie des applications. Elle inclut une solution d’analyse du code source (SAST), qui permet d’auditer le code des applications web et mobiles afin de détecter les vulnérabilités et de les corriger dans une démarche pédagogique de développement sécurisé (ce service est également proposé en mode managé). Le shielding renforce la sécurité des applications mobile en les protégeant des manipulations malveillantes, tandis que le Runtime Application Self-Protection (RASP) offre une défense en temps réel contre toute tentative d'intrusion.
En outre, notre solution historique d'audit de conformité permet de contrôler la sécurité des applications mobiles développées en externe ou s’appuyant sur des bibliothèque externes, afin de valider leur sécurité avant mise sur le marché.
Protection des smartphones et tablettes
La solution de Mobile Threat Defense de Pradeo (MTD) protège contre les attaques visant les appareils mobiles en identifiant, analysant et bloquant les cybermenaces en temps réel. Pradeo assure en toute autonomie une protection proactive des appareils mobiles afin de protéger les données sensibles et les communications professionnelles, y compris dans des contextes à haut risque.
La Directive NIS 2 représente un tournant essentiel pour les entreprises européennes en matière de cybersécurité. Elle offre non seulement un cadre pour renforcer les défenses numériques, mais aussi une occasion de repenser la gestion des risques au sein des organisations.
« Les exigences prévues par la Directive européenne invitent de nombreuses entités à construire une solide feuille de route pour déployer et renforcer leurs moyens de cyberdéfense, avec pour objectifs un fonctionnement structurel plus sûr, davantage de confiance vis-à-vis de leurs parties prenantes et une meilleure compétitivité pour les entreprises. » — Vincent Strubel, Directeur Général de l'ANSSI
Vous souhaitez en savoir plus sur la manière dont Pradeo peut vous aider ? Contactez-nous dès aujourd'hui pour une évaluation personnalisée.
