Sécurité de la chaîne d'approvisionnement et NIS2 : ce que vous devez savoir

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc « BLOG » à l'intérieur. En dessous se trouve le texte blanc : "Sécurité de la chaîne d'approvisionnement et NIS2 : ce que vous devez savoir". Il y a un texte blanc en dessous qui dit « En savoir plus » avec une flèche orange clair pointant vers le bas.

Le plus Directive sur les systèmes d'information en réseau (NIS2) et son prédécesseur NIS se concentrent sur la gestion des risques pour les organisations. L'UE déclare que le NIS est le premier texte législatif à l'échelle de l'UE sur la cybersécurité ayant pour objectif de parvenir à un niveau commun élevé de cybersécurité dans tous les États membres. Le NIS2 aura un impact considérable, d'autant plus qu'il s'étend au NIS et inclut davantage d'industries, de nouvelles exigences de déclaration et des sanctions plus lourdes.

NIS2 modifiera particulièrement la manière dont les organisations abordent et gèrent la sécurité de la chaîne d’approvisionnement, dans le cadre d’une approche holistique de la cybersécurité dans les États membres de l’UE (et au-delà). En sécurisant chaque maillon de la chaîne d’approvisionnement, la directive favorisera un front de cybersécurité solide et unifié dans toute l’UE.

État actuel de la sécurité de la chaîne d’approvisionnement

Les ransomwares coûteront aux victimes environ 42 milliards de dollars américains en 2024, soit plus du double par rapport aux 20 milliards de dollars américains de 2021, les acteurs menaçants menant une attaque toutes les deux secondes (selon Cybersecurity Ventures).

Plus précisément, les attaques de ransomware par extorsion de données ont augmenté à un rythme annualisé de plus de 112 % dès 2023. Dans notre recherche, nous avons observé que les acteurs malveillants ont le plus attaqué les secteurs de la fabrication, des technologies de l'information et des services professionnels en 2023.

Tous les secteurs, y compris les secteurs critiques tels que l’énergie, la finance, la santé et les transports, s’intègrent davantage et deviennent dépendants de l’infrastructure numérique. Ceci est incroyablement efficace en matière de modernisation, mais expose également les faiblesses à des menaces en constante évolution. La pandémie de coronavirus a également exacerbé ce problème, les organisations se précipitant pour proposer des services numériques.

Au cours des dernières années, les auteurs de menaces sont devenus plus sophistiqués dans la conduite de la cybercriminalité. Ils améliorent leurs cyberattaques pour gagner en efficacité en passant à un modèle similaire aux chaînes d’approvisionnement modernes légitimes avec une spécialisation de niche. Ce modèle commercial « as a Service » (aaS) permet un accès plus facile et pratique à des outils avancés sans que chaque acteur malveillant n'ait besoin de maîtriser tous les aspects de la réalisation d'attaques.

Capture d'écran de la page d'inscription d'un hameçonnage en tant que fournisseur de services (LabHost). L'arrière-plan est bleu marine foncé avec du texte blanc en haut "Lab Host" avec un texte blanc plus petit en dessous "Ready to start spamming?" Il y a des boutons en dessous pour sélectionner votre emplacement en Amérique du Nord ou dans le monde, avec des options de paiement mensuel, trimestriel et annuel. Il y a des rectangles en dessous avec des descriptions à l'intérieur pour les options d'achat du plan standard ou du plan premium.
LabHost est un fournisseur de Phishing as a Service, avec une infrastructure à part entière, permettant aux utilisateurs d'héberger une page de phishing choisie et d'envoyer des spams à leurs victimes, où ils seront invités à se connecter au service usurpé.

À mesure que les auteurs de menaces établissent leur propre chaîne logistique d’attaques, les organisations doivent améliorer leur posture de sécurité pour renforcer de manière globale la chaîne logistique légitime.

NIS vs NIS2 : quelles sont les différences ?

Le NIS2 cherche à élargir la portée du NIS. Alors, quelles sont exactement les différences entre les deux réglementations ?

NIS

L'UE a publié la loi de conformité NIS en 2016, et elle est entrée en vigueur en 2018. Cette loi oblige les entités couvertes à établir des processus et des pratiques de base en matière d'hygiène de cybersécurité. Le NIS a classé les organisations comme suit :

  • "Essentiel" 
  • « Fournisseurs de services numériques »
  • ou « Non couvert » 

et assigné les exigences en conséquence. 

Les États membres devaient également veiller à ce que les entités couvertes par le NIS signalent de manière proactive les incidents à l'équipe de réponse aux incidents de sécurité informatique (CSIRT) de leurs pays respectifs afin de recevoir des conseils basés sur l'impact et la gravité de l'incident.

Cependant, cette SNI laissait place à l'interprétation, ce qui a ensuite conduit à des résultats de mise en œuvre différents selon les États membres.

NIS2

L'UE a publié le successeur du NIS, NIS2, en 2022, et la date limite pour que les États membres intègrent NIS2 dans leur législation nationale est 2024. 

Généralement, les exigences dans NIS2 sont plus spécifiques que dans NIS, et leur portée est plus grande.

Ce que NIS2 étend 

Industries couvertes par NIS2

NIS2 augmente les industries des « entités importantes », avec ces secteurs nouvellement inclus :

  • La gestion des déchets
  • Raffinage de ressources
  • Fournisseurs de services informatiques et de sécurité
  • Services postaux et de courrier
  • Entreprises de produits chimiques
  • Transformation alimentaire
  • Organismes de recherche
  • Réseaux sociaux et fournisseurs numériques
Il y a trois colonnes, celle de gauche montrant différents secteurs, celle du milieu montrant NIS et celle de droite montrant NIS2. NIS et NIS2 couvrent les secteurs de la santé, de l'énergie, des services financiers et des infrastructures numériques couverts par les deux réglementations, notamment la fabrication, la gestion des déchets, les services informatiques et les services de sécurité informatique, la production et la distribution alimentaires, la recherche, les services postaux et les réseaux sociaux et numériques. Les fournisseurs sont couverts uniquement par NIS2.
Industries couvertes par NIS vs NIS2
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

Toujours vérifier

Le NIS avait des mesures d'application et d'amendes limitées, tandis que le NIS2 fixe plusieurs mesures d'application, notamment des amendes, la responsabilité envers la direction, ainsi que des inspections et une supervision. 

Les amendes peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel total pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1.4 % du chiffre d'affaires annuel total pour les entités importantes. 

Cohérence et coopération 

Le NIS2 établit une base de référence pour les mesures de cybersécurité afin de garantir une cohérence globale entre les postures de cybersécurité des États membres. Cela comprend des mesures de gestion des risques et de reporting. 
De plus, de plus grandes collaborations sont mises en place comme le CyCLONE UE (Réseau européen des organisations de liaison cybernétique), examen par les pairs des cyberpolitiques et divulgation des vulnérabilités.

Ce que NIS2 fait pour la sécurité de la chaîne d'approvisionnement

Avec le NIS2, l'accent est davantage mis sur différents aspects de la cybersécurité, tels que la gestion de la continuité des activités, la réponse aux incidents et la sécurité de la chaîne d'approvisionnement. 

NIS2 nécessite globalement de renforcer la sécurité de la chaîne d’approvisionnement. Il oblige les organisations à :

  • Évaluer et comprendre les risques pertinents
  • Établir des relations avec des partenaires/prestataires/fournisseurs de services tiers à haut risque et les sensibiliser aux risques 
  • Mettre à jour les mesures de sécurité en permanence

L’article (2)(d) du NIS2 décrit les responsabilités des organisations pour assurer la sécurité de la chaîne d’approvisionnement. Il existe trois domaines généraux qui contribuent à améliorer la sécurité de la chaîne d’approvisionnement :

  1. Évaluation des risques au niveau de l’UE : Évaluer le niveau de risque d’une chaîne d’approvisionnement spécifique au niveau de l’UE.
  2. Évaluation nationale des risques : Les États membres peuvent étendre le champ d’application de la directive pour inclure des entités initialement extérieures à celle-ci.
  3. Évaluation des risques internes : Les entités couvertes doivent prendre en compte les vulnérabilités et les pratiques de cybersécurité de chaque fournisseur de services/fournisseur/fournisseur tiers.

Ces domaines travaillent ensemble pour créer un plan de protection complet et ont des implications différentes sur la sécurité de la chaîne d'approvisionnement.

Évaluation des risques et sécurité de la chaîne d’approvisionnement au niveau de l’UE

Les organisations doivent surveiller en permanence leurs efforts et les résultats correspondants pour rester en conformité et contribuer efficacement à la sécurité de la chaîne d’approvisionnement internationale. 

Il est important de noter que NIS2 prend en compte non seulement les exigences de l'article 21 (qui énumère les détails de l'évaluation coordonnée des risques), mais également les résultats. Cela signifie que même si une organisation respecte les exigences, si les résultats ne sont pas également conformes au NIS2, l'organisation peut être considérée comme non conforme et s'exposer à des sanctions financières.

De plus, même si une organisation donnée suit le NIS2, s’il existe un tiers à haut risque dans la chaîne d’approvisionnement, cela peut compromettre l’évaluation NIS2 de l’organisation donnée. Par conséquent, il est de la responsabilité des entités couvertes de garantir que les organisations tierces présentes dans leur chaîne d’approvisionnement, même si elles ne constituent pas elles-mêmes une entité couverte, améliorent leur posture de cybersécurité.

Évaluation nationale des risques et sécurité de la chaîne d’approvisionnement

Il existe divers pouvoirs des États membres qui leur permettent d'étendre le champ d'application du NIS2 dans le cadre de leur législation et d'appliquer la directive à :

  • Entités qui sont les seuls fournisseurs dans un État membre d'un service essentiel, défini comme nécessaire au maintien d'activités économiques/sociales critiques
  • Entités qui sont le fournisseur de services pour quelque chose qui, s'il est perturbé, peut nuire considérablement à la santé, à la sûreté ou à la sécurité publiques.
  • Entités qui fournissent des services pour quelque chose qui, en cas de perturbation, pourrait entraîner un risque systémique majeur, en particulier dans les secteurs ayant une implication transfrontalière. 
  • Entités critiques en raison de leur importance au niveau national/régional pour un certain secteur/service (ou pour des secteurs interdépendants au sein de la nation)

Bien que le NIS2 étend sa portée aux entités couvertes, certaines organisations ne sont pas incluses. Cependant, les pouvoirs de ces États membres définis ci-dessus pourraient se répercuter sur une entité jusqu’alors non couverte si l’une des conditions ci-dessus s’y applique.

Évaluation des risques internes et sécurité de la chaîne d’approvisionnement

Les entités couvertes devraient suivre la stratégie nationale de cybersécurité des États membres, en tenant également compte des pouvoirs du CSIRT pour éclairer leurs pratiques internes. 

Les entités couvertes doivent contrôler rigoureusement les partenaires/fournisseurs/vendeurs tiers et encourager ceux avec lesquels elles travaillent à atténuer leurs risques afin de renforcer la sécurité de l'ensemble de la chaîne d'approvisionnement.

Veuillez noter que ce blog n'est pas destiné à fournir des informations sur les exigences de base de NIS2 et ne remplace pas des conseils juridiques. Si vous êtes préoccupé par NIS2 ou si vous pensez que cela pourrait s'appliquer à votre organisation, nous vous encourageons à contacter un avocat qualifié.

Sécurité de la chaîne d’approvisionnement et Flare

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement et en permanence le Web clair et sombre et les canaux Telegram illicites pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité de votre chaîne d'approvisionnement.

With Flare Supply Chain Ransomware Exposure Monitoring, gain unique visibility and proactive security across your extended supply chain to efficiently mitigate threat exposures that exist within ransomware data leaks. Learn more by signing up for our essai gratuit.

Partagez cet article

Contenu similaire