Les directives de sécurité NIS2 et DORA de l'UE : Ce que vous devez savoir

Les secteurs de la finance et des services essentiels ont été les principales cibles des ransomwares en 2022.

Les organisations de ces secteurs sont soumises à une pression énorme. Elles doivent se transformer et se numériser pour accroître leur efficacité, et ce rapidement tout en maintenant la disponibilité et la sécurité.

Dans le même temps, les auteurs de ransomwares ciblent intentionnellement les opérateurs financiers et les opérateurs de services essentiels. Ils savent que ces secteurs ne peuvent se permettre aucun temps d'arrêt et qu'ils offrent donc les meilleures chances de payer une rançon.

L'année dernière, nous avons assisté à d'innombrables incidents de cybersécurité dans les secteurs de la banque et des services financiers, ainsi que dans les secteurs des services essentiels tels que l'énergie, l'eau et les transports. Ces attaques ont causé d'énormes pertes financières et risquent de porter gravement atteinte à l'économie, à l'infrastructure sous-jacente et à la sécurité des consommateurs.

Pourquoi les services financiers et les services essentiels ont-ils besoin d'une cyber-résilience ?

Chaque année, un nouveau mot à la mode dans le monde des affaires occupe le devant de la scène.

Cette année ? La résilience. Et pour cause.

Au cours des douze derniers mois, la façon dont les entreprises gèrent les cyberrisques a considérablement évolué. Les cyberattaques ont évolué, passant du simple vol de données à l'impact sur la disponibilité de l'entreprise. Le coût moyen d'une violation de données s'élevant désormais à 4,35 millions de dollars, il ne suffit plus de répondre aux attaques, il faut y survivre.

Découvrez pourquoi la résilience est la priorité absolue du secteur bancaire en matière de sécurité.

Le problème est exacerbé par le manque de confiance des chefs d'entreprise dans la résilience de leur organisation en cas d'attaque. Selon une étude récente de l'Enterprise Strategy Group, seuls 19% des chefs d'entreprise estiment que leur organisation est prête à faire face à l'impact d'une cyberattaque. Et plus de la moitié pensent qu'une attaque aurait des conséquences catastrophiques pour l'entreprise.

Découvrez comment la segmentation zéro confiance d'Illumio assure la cyber-résilience ici.

La réponse de l'Union européenne à la cyber-résilience - NIS2 et DORA

Afin de renforcer la résilience et les capacités de réponse aux incidents dans toute l'Europe, l'Union européenne (UE) a récemment approuvé des mises à jour de la directive sur les réseaux et les systèmes d'information (NIS) pour les services essentiels, appelée NIS2, qui devrait entrer en vigueur dans les prochaines années.

Bien qu'il ne fasse plus partie de l'UE, le Royaume-Uni a adopté la directive NIS et a confirmé qu'il procéderait également à des mises à jour. Cette mise à jour renforcera la directive existante afin de garantir la protection des services essentiels et numériques du Royaume-Uni contre des cyberattaques de plus en plus sophistiquées et fréquentes.

En outre, l'UE a créé la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) qui vise à garantir que les organisations de services bancaires et financiers peuvent résister, répondre et se remettre des incidents de sécurité.

Après la publication des directives, les organisations disposent d'une période de mise en œuvre de 24 mois. Mais des changements proactifs sont toujours préférables à des exercices d'évacuation réactifs. Les chefs d'entreprise recommandent de commencer dès maintenant à se mettre en conformité.

Qu'est-ce que le NIS2 ?

Le principal objectif de la nouvelle directive NIS2 est d'améliorer le partage des connaissances et de renforcer la réaction des services essentiels après une violation, notamment dans les domaines de l'énergie, des transports, de la banque et des soins de santé. Il s'agit d'une évolution de la directive NIS originale qui décrivait des mesures juridiques pour la sécurité des réseaux et des systèmes d'information.

Accédez au projet de directive NIS2 ici.

Pourquoi le NIS2 est-il important pour les services essentiels ?

L'objectif de cette directive est d'améliorer la résilience et les capacités de réaction aux incidents des secteurs public et privé ainsi que de l'UE dans son ensemble.

Mais c'est aussi le signe d'une tendance plus large - l'acceptation du fait que des violations se produiront. Si la directive contribue à la protection des actifs informatiques critiques, elle impose également aux prestataires de services essentiels un nouveau défi en matière de conformité.

Qu'est-ce que DORA ?

Alors que la directive NIS2 englobe les organisations de services bancaires et financiers, DORA s'adresse spécifiquement au secteur financier.

La future directive DORA vise à garantir que les entreprises puissent résister, réagir et se remettre des violations. Le secteur bancaire soutient l'économie mondiale et, en l'absence de mesures de cybersécurité solides, les violations peuvent rapidement devenir catastrophiques. La loi DORA exige des banques qu'elles renforcent leur cyber-résilience, qu'elles protègent les données de leurs clients et qu'elles assurent la continuité de leurs activités en cas de violation de la sécurité.

La loi DORA, qui devrait entrer en vigueur au début de 2023 et être applicable à partir de 2025, changera la donne pour le secteur des services financiers.

Accédez à la directive DORA ici.

L'importance de DORA pour les services bancaires et financiers

Depuis de nombreuses années, le secteur s'efforce d'établir un lien entre les résultats commerciaux et les résultats en matière de sécurité. Non seulement DORA améliore la résilience des organisations financières, mais elle rendra plus explicite le lien entre les capacités de sécurité et la résilience opérationnelle.

Les entreprises du champ d'application doivent être en mesure de gérer et de traiter les risques rapidement. En fait, la section II du chapitre II de la loi DORA exige que les organisations développent un cadre de gestion des risques approprié pour traiter les risques de sécurité de manière rapide, efficace et complète, et pour garantir un niveau élevé de résilience opérationnelle numérique.

Mais ce n'est pas une mince affaire - et les organisations doivent commencer à poser les bases dès maintenant, sous peine de prendre du retard.

3 façons dont Illumio Zero Trust Segmentation peut aider à atteindre la conformité NIS2 et DORA

Que doivent faire immédiatement les organisations pour renforcer leur résilience et se conformer aux normes NIS2 et DORA ? Commencez par la segmentation zéro confiance (ZTS).

1. Obtenez une visibilité sur la communication des applications et des charges de travail

Dans un premier temps, il est important d'effectuer une analyse de l'écart entre les initiatives et les risques actuels de votre organisation en matière de sécurité et les exigences de NIS2 et de DORA.

Un outil important dans ce processus est la cartographie des dépendances des applications offerte par la plateforme Illumio ZTS. Bénéficiez d'une visibilité rapide et facile à comprendre sur le trafic et la communication des applications et des charges de travail sur l'ensemble de la surface d'attaque hybride. Par exemple, voyez quels sont les serveurs qui communiquent avec les actifs critiques de l'entreprise ou quelles sont les applications qui ont des lignes ouvertes vers Internet, ce qui permet à des acteurs malveillants d'accéder facilement au réseau de votre organisation.

Cette visibilité permet à votre équipe de sécurité de donner la priorité au travail de mise en conformité avec les normes NIS2 et DORA. Ils peuvent voir où l'organisation est déjà conforme et où de meilleurs contrôles de sécurité doivent être mis en place.

2. Définir une politique de segmentation souple et granulaire

Après avoir obtenu une visibilité sur votre réseau hybride, vous êtes prêt à donner la priorité à la mise en place d'une politique de sécurité informée qui augmente votre cyber-résilience et vous aide à atteindre la conformité NIS2 et DORA.

Illumio ZTS vous permet de définir automatiquement des politiques de segmentation souples et granulaires qui contrôlent la communication entre les charges de travail et les appareils. Elle n'autorise que ce qui est nécessaire et souhaité. Par exemple, vous pouvez restreindre les communications entre serveurs et applications, entre développeurs et développeurs, ou entre services informatiques et services techniques.

La définition d'une politique de segmentation est une étape essentielle dans la construction d'une architecture de confiance zéro - un modèle de sécurité implicite dans les directives NIS2 et DORA.

3. Isoler les actifs de manière proactive ou contenir la propagation de la brèche de manière réactive

La segmentation de votre réseau avec Illumio ZTS offre une sécurité à la fois proactive et réactive contre les brèches inévitables, atteignant ainsi l'objectif principal de résilience aux attaques des directives NIS2 et DORA.

Isolez de manière proactive les actifs de grande valeur afin de limiter l'accès aux seuls éléments critiques et nécessaires. Vous avez ainsi l'assurance que les ransomwares ou autres violations ne peuvent pas se propager à ces actifs, interrompre les activités et provoquer des dommages catastrophiques.

Lors d'une attaque active, arrêtez de manière réactive la propagation d'une brèche et limitez-la à une petite partie de votre réseau en quelques minutes. En fait, une récente émulation de cyberattaque de Bishop Fox a révélé qu'Illumio ZTS peut arrêter la propagation d'une brèche en moins de 10 minutes. C'est quatre fois plus rapide que les solutions de détection et de réponse aux points d'extrémité (EDR) seules.

• ‍Lisezplus sur la façon dont Illumio s'aligne sur les exigences du NIS2.
• Téléchargez notre livre électronique gratuit, Strategies for DORA Compliance: Key Role of Zero Trust Segmentation.