Présentation
EnglishRÉSUMÉ
L'objet de cet article est d’apporter des précisions sur la directive NIS2, les différences avec la norme ISO/IEC 27001 et surtout sur la nécessité de mettre en œuvre des activités proactives et réactives de cyberrésilience des systèmes d’information. Il est composé d’informations concrètes sur les avantages de cette directive et comment elle permettra de juguler des menaces induites par de nombreuses vulnérabilités. Cet article est conçu sur la base des exigences de la directive NIS2, celles de la norme ISO/IEC 27001. Il doit permettre de faire comprendre aux lecteurs leurs nombreuses implications dans les activités de cybersécurité de nos entreprises et institutions françaises.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Dany CORGIAT : Président de la société Alliance Cyber Technologies et intervenant auprès de grandes écoles et centres de formations professionnelles en cybersécurité, France.
INTRODUCTION
Les enjeux de pouvoir entre la Chine et les États-Unis, les menaces extérieures de guerres et de guerres électroniques liées au coup de force des Russes en Ukraine, les cyberattaques faites par des États belligérants exercent une influence significative sur notre volonté collective de renforcer notre cyberdéfense européenne.
La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « directive NIS2 » (qui complétera et améliorera la directive NIS), se veut être un réel progrès dans la manière dont nous gérons notre cybersécurité et notre cyberdéfense. Elle a donc été revue dans son ensemble afin d’harmoniser nos meilleures pratiques de sécurité, mais aussi, et surtout, afin d’accroître le niveau de maturité de la cyberrésilience de nos entités essentielles (EE) et importantes (EI). Cette directive considère que les EE sont des structures privées ou publiques de plus de 250 salariés avec un chiffre d’affaires supérieur à 50 millions d’euros. Ces structures doivent être présentes dans des secteurs catégorisés comme étant « hautement critiques ». Elle considère que les EI sont, elles, des structures privées ou publiques comprises entre 50 et 250 salariés réalisant un chiffre d’affaires entre 10 et 50 millions d’euros. Elles doivent être présentes dans des secteurs qui ne sont pas considérés comme « hautement critiques » pour notre pays, mais pouvant toutefois avoir un impact significatif sur notre économie.
Pour faire face à un ensemble de menaces liées à un usage intensif de technologies numériques de plus en plus intrusives, il convenait de mieux protéger nos actifs les plus stratégiques. Accroître nos exigences de sécurité et le périmètre d’évaluation des risques cyber est, plus que jamais, une réalité au niveau européen.
Dans cet article, la directive européenne NIS2 (Network and Information Security) sera le fil conducteur permettant de faire comprendre aux lecteurs à quel point il est nécessaire de se protéger d’un cyberespace, d’un Internet, parfois si hostile.
Nous verrons pourquoi NIS2 se focalise sur la capacité des États membres de l’Union européenne à assurer leur cyberrésilience qui est la capacité d’un individu, d’une organisation ou d’un système à résister, à s’adapter et à se rétablir rapidement lors d’un sinistre.
un glossaire et un tableau des abréviations sont présentés en fin d’article.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Sécurité des SI : organisation dans l'entreprise et législation > NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne > Complexité des systèmes informatiques et de cyberdéfense
Accueil > Ressources documentaires > Énergies > Métier : ingénieur territorial > Gestion et valorisation des déchets > NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne > Complexité des systèmes informatiques et de cyberdéfense
Accueil > Ressources documentaires > Environnement - Sécurité > Environnement > Gestion et valorisation des déchets > NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne > Complexité des systèmes informatiques et de cyberdéfense
Cet article fait partie de l’offre
Technologies de l'eau
(110 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
1. Complexité des systèmes informatiques et de cyberdéfense
Dans l’article publié sur leur site Internet, le 13 mars 2024, l’organisme qui a pour mission d’assister les entreprises, les institutions, les particuliers et les associations lors de cybermalveillances, « cyber.malveillance.gouv.fr », a lancé une nouvelle alerte : « France Travail (anciennement Pôle emploi) a été victime d’une attaque informatique entre le 06 février et le 05 mars 2024 qui a conduit à l’exfiltration de données personnelles… ». Nous pourrions croire qu’il est aisé de nous protéger de ce genre de cybercrimes, mais pourtant, dans la réalité, l’actualité nous prouve souvent l’inverse. Nos patrimoines informationnels sont vulnérables, car ils sont complexes et exposés à de nombreuses formes de malveillances. Dans la pratique, pour réaliser des opérations et des traitements informatiques, il faut obligatoirement que nous combinions de nombreux éléments complètement imbriqués et compliqués à sécuriser. Cette complexité de « mise en sécurité » de nos patrimoines informationnels dépend, dans les grandes lignes :
-
de la taille, la volumétrie, du système d’information, dans son intégralité ;
-
de l’architecture technique de ce système d’information ;
-
des liens possibles entre des technologies, des applications et des bases de données avec un « cyberespace » qui n’est pas un « réseau de confiance » ;
-
de nombreux processus qui permettent la gestion de ce système d’information, mais aussi ceux permettant de faire fonctionner des services de supports ;
-
de contrats et d’engagements de niveau de service avec des partenaires, des fournisseurs, des clients ;
-
de technologies de sécurité qui assurent l’intégrité, la confidentialité, la disponibilité des échanges d’informations ainsi que la collecte de « traces » (logs).
Cette complexité impose une réelle adaptation de nos processus, de nos technologies et de nos activités humaines au cyberenvironnement dans lequel nous évoluons. Elle impose une évaluation immédiate des scénarios d’attaques et une évaluation de tous les risques liés à l’usage de ces technologies. La matrice Mitre Atta&ck® peut aider à la prise de décisions puisque...
Cet article fait partie de l’offre
Technologies de l'eau
(110 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Complexité des systèmes informatiques et de cyberdéfense
BIBLIOGRAPHIE
-
(1) - TENEAU (G.) - La résilience des organisations : Les fondamentaux. - Éditions l’Harmattan (2017).
-
(2) - MOREL (Chr.) - Les décisions absurdes, I. - Éditions Gallimard (2014).
-
(3) - COMMISSION EUROPÉENNE - Stratégie de cybersécurité de l’Union européenne : un cyberespace ouvert, sûr et sécurisé - (2013).
-
(4) - GAUDIAUT (Tr.) - Les pays à l’origine du plus grand nombre de cyberattaques à visée politique. - Statista (2024).
-
(5) - CORGIAT (D.) - Intelligence malveillante et cyberattaques. - Éditions l’Harmattan (Préface de Gilles Teneau) (2016).
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences. - ISO/IEC 27001 - 2022
-
Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences. Amendement 1 : Actions relatives aux changements climatiques. - ISO/IEC 27001:2022/Amd 1 - 2024
-
Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information. - ISO/IEC 27002 - 2022
-
Sécurité de l’information, cybersécurité et protection de la vie privée – Préconisations pour la gestion des risques liés à la sécurité de l’information. - ISO/IEC 27005 - 2022
-
Technologies de l’information – Gestion des services. Partie 1 : Exigences du système de management des services. - ISO/IEC 20000-1 - 2018
-
Technologies de l’information – Gestion des services. Partie 1 : Exigences...
ANNEXES
(liste non exhaustive)
Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2), JOUE L 333 du 27 décembre 2022.
Traité sur le fonctionnement de l’Union européenne – Version consolidée du 26 octobre 2021.
HAUT DE PAGEOrganismes – Fédérations – Associations (liste non exhaustive)
ANSSI (Agence nationale de la sécurité des systèmes d’information) :
ENISA (European Union Agency for Cybersecurity) ou AESRI (Agence de l’Union européenne pour la cybersécurité) :
https://www.enisa.europa.eu/media/enisa-en-francais
Dispositif national d’assistance et prévention en sécurité numérique : https://www.cybermalveillance.gouv.fr/
HAUT DE PAGECet article fait partie de l’offre
Technologies de l'eau
(110 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive