| Une question ?

Article de référence | Réf : H5345 v1

Cyberrésilience et gestion de crise
NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne

Auteur(s) : Dany CORGIAT

Date de publication : 10 juil. 2024

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

L'objet de cet article est d’apporter des précisions sur la directive NIS2, les différences avec la norme ISO/IEC 27001 et surtout sur la nécessité de mettre en œuvre des activités proactives et réactives de cyberrésilience des systèmes d’information. Il est composé d’informations concrètes sur les avantages de cette directive et comment elle permettra de juguler des menaces induites par de nombreuses vulnérabilités. Cet article est conçu sur la base des exigences de la directive NIS2, celles de la norme ISO/IEC 27001. Il doit permettre de faire comprendre aux lecteurs leurs nombreuses implications dans les activités de cybersécurité de nos entreprises et institutions françaises.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

NIS2 and ISO/IEC 27001 - Towards a cyber resilience of the European Union

The purpose of this article is to clarify the NIS2 directive, the differences with the ISO/IEC 27001 standard and especially the need to implement proactive and reactive cyber resilience activities of information systems. It consists of concrete information on the benefits of this directive and how it will reduce threats induced by many vulnerabilities. This article is based on the requirements of the NIS2 directive, those of the ISO/IEC 27001 standard. It should help readers understand their many implications in the cyber security activities of our French companies and institutions.

Auteur(s)

  • Dany CORGIAT : Président de la société Alliance Cyber Technologies et intervenant auprès de grandes écoles et centres de formations professionnelles en cybersécurité, France.

INTRODUCTION

Les enjeux de pouvoir entre la Chine et les États-Unis, les menaces extérieures de guerres et de guerres électroniques liées au coup de force des Russes en Ukraine, les cyberattaques faites par des États belligérants exercent une influence significative sur notre volonté collective de renforcer notre cyberdéfense européenne.

La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « directive NIS2 » (qui complétera et améliorera la directive NIS), se veut être un réel progrès dans la manière dont nous gérons notre cybersécurité et notre cyberdéfense. Elle a donc été revue dans son ensemble afin d’harmoniser nos meilleures pratiques de sécurité, mais aussi, et surtout, afin d’accroître le niveau de maturité de la cyberrésilience de nos entités essentielles (EE) et importantes (EI). Cette directive considère que les EE sont des structures privées ou publiques de plus de 250 salariés avec un chiffre d’affaires supérieur à 50 millions d’euros. Ces structures doivent être présentes dans des secteurs catégorisés comme étant « hautement critiques ». Elle considère que les EI sont, elles, des structures privées ou publiques comprises entre 50 et 250 salariés réalisant un chiffre d’affaires entre 10 et 50 millions d’euros. Elles doivent être présentes dans des secteurs qui ne sont pas considérés comme « hautement critiques » pour notre pays, mais pouvant toutefois avoir un impact significatif sur notre économie.

Pour faire face à un ensemble de menaces liées à un usage intensif de technologies numériques de plus en plus intrusives, il convenait de mieux protéger nos actifs les plus stratégiques. Accroître nos exigences de sécurité et le périmètre d’évaluation des risques cyber est, plus que jamais, une réalité au niveau européen.

Dans cet article, la directive européenne NIS2 (Network and Information Security) sera le fil conducteur permettant de faire comprendre aux lecteurs à quel point il est nécessaire de se protéger d’un cyberespace, d’un Internet, parfois si hostile.

Nous verrons pourquoi NIS2 se focalise sur la capacité des États membres de l’Union européenne à assurer leur cyberrésilience qui est la capacité d’un individu, d’une organisation ou d’un système à résister, à s’adapter et à se rétablir rapidement lors d’un sinistre.

Nota :

un glossaire et un tableau des abréviations sont présentés en fin d’article.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

compagnies   |   Cyber security   |   cyber resilience   |   institutions

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5345

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

4. Cyberrésilience et gestion de crise

L’article 1 de la directive NIS2 indique : « La présente directive établit des mesures qui ont pour but d’obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur. À cette fin, la présente directive fixe des obligations qui imposent aux États membres d’adopter des stratégies nationales en matière de cybersécurité, de désigner ou de mettre en place des autorités compétentes, des autorités chargées de la gestion des cybercrises, des points de contact uniques en matière de cybersécurité (ci-après dénommés « points de contact uniques ») et des centres de réponse aux incidents de sécurité informatique (CSIRT) ».

Et, dans l’article 9, il est indiqué que : « Chaque État membre désigne ou établit une ou plusieurs autorités compétentes qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises. Les États membres veillent à ce que ces autorités disposent de ressources suffisantes pour s’acquitter, de manière effective et efficace, des tâches qui leur sont dévolues. Les États membres veillent à la cohérence avec les cadres nationaux existants pour la gestion générale des crises ».

Le rapport Cost of A Data breach d’IBM en 2023 est implacable : « Le coût moyen d’une fuite de données en 2023 était de 4,45 millions de dollars . Une valeur en augmentation de 15 %, en trois ans ».

Il ne fait aucun doute que la gestion des crises et la capacité des États membres à assurer leurs activités de cyberrésilience sont prioritaires afin de limiter des dégâts. Ces pays doivent instaurer des stratégies communes de cybersécurité afin de renforcer leurs aptitudes à prévenir, à résister et à rebondir afin d’annuler ou limiter une crise. Les dangers identifiés étant principalement liés à des cyberattaques, des abus caractérisés et illicites liés à l’exploitation de nos vulnérabilités. Nous pourrions prendre en exemple la fuite de données, l’usurpation d’identité, l’influence et la manipulation d’autrui par l’intermédiaire du cyberespace. À cela s’ajoutent des enjeux de...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Cyberrésilience et gestion de crise
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - TENEAU (G.) -   La résilience des organisations : Les fondamentaux.  -  Éditions l’Harmattan (2017).

  • (2) - MOREL (Chr.) -   Les décisions absurdes, I.  -  Éditions Gallimard (2014).

  • (3) - COMMISSION EUROPÉENNE -   Stratégie de cybersécurité de l’Union européenne : un cyberespace ouvert, sûr et sécurisé  -  (2013).

  • (4) - GAUDIAUT (Tr.) -   Les pays à l’origine du plus grand nombre de cyberattaques à visée politique.  -  Statista (2024).

  • (5) - CORGIAT (D.) -   Intelligence malveillante et cyberattaques.  -  Éditions l’Harmattan (Préface de Gilles Teneau) (2016).

DANS NOS BASES DOCUMENTAIRES

NORMES

  • Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences. - ISO/IEC 27001 - 2022

  • Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences. Amendement 1 : Actions relatives aux changements climatiques. - ISO/IEC 27001:2022/Amd 1 - 2024

  • Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information. - ISO/IEC 27002 - 2022

  • Sécurité de l’information, cybersécurité et protection de la vie privée – Préconisations pour la gestion des risques liés à la sécurité de l’information. - ISO/IEC 27005 - 2022

  • Technologies de l’information – Gestion des services. Partie 1 : Exigences du système de management des services. - ISO/IEC 20000-1 - 2018

  • Technologies de l’information – Gestion des services. Partie 1 : Exigences...

ANNEXES

  1. 1 Réglementation
    1. 2 Annuaire

      1 Réglementation

      (liste non exhaustive)

      Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2), JOUE L 333 du 27 décembre 2022.

      Traité sur le fonctionnement de l’Union européenne – Version consolidée du 26 octobre 2021.

      HAUT DE PAGE

      2 Annuaire

      Organismes – Fédérations – Associations (liste non exhaustive)

      ANSSI (Agence nationale de la sécurité des systèmes d’information) :

      https://cyber.gouv.fr/

      ENISA (European Union Agency for Cybersecurity) ou AESRI (Agence de l’Union européenne pour la cybersécurité) :

      https://www.enisa.europa.eu/media/enisa-en-francais

      Dispositif national d’assistance et prévention en sécurité numérique : https://www.cybermalveillance.gouv.fr/

      HAUT DE PAGE

      Cet article est réservé aux abonnés.
      Il vous reste 94% à découvrir.

      Pour explorer cet article
      Téléchargez l'extrait gratuit

      Vous êtes déjà abonné ?Connectez-vous !

      L'expertise technique et scientifique de référence

      La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
      + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
      De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

      Cet article fait partie de l’offre

      Sécurité des systèmes d'information

      (76 articles en ce moment)

      Cette offre vous donne accès à :

      Une base complète d’articles

      Actualisée et enrichie d’articles validés par nos comités scientifiques

      Des services

      Un ensemble d'outils exclusifs en complément des ressources

      Un Parcours Pratique

      Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

      Doc & Quiz

      Des articles interactifs avec des quiz, pour une lecture constructive

      ABONNEZ-VOUS

      SUR LE MÊME SUJET

      #MULTISECTEURS #SYSTÈME D'INFORMATION #SÉCURITÉ INFORMATIQUE #NORME

      DANS LES RESSOURCES DOCUMENTAIRES

      DANS L'ACTUALITÉ

      DANS LES LIVRES BLANCS

      DANS LES CONFÉRENCES EN LIGNE

      Inscription veille personnalisée