D’ici le 17 octobre 2024, la Belgique devra transposer la directive européenne NIS 2 dans la législation nationale. La NIS 2 contient toutes sortes de règles et de dispositions relatives à la cybersécurité des entreprises et de nombreuses organisations sont concernées. Disposez-vous déjà des bons profils pour vous conformer aux règles et aux obligations ?

Il est plus important que jamais de disposer de cette expertise. La première version (NIS 1 de 2016) avait une portée limitée et visait principalement les grandes entreprises de secteurs critiques. La NIS 2 va beaucoup plus loin : même les entreprises qui ne sont pas directement concernées par la directive ont tout intérêt à la prendre au sérieux. Vous devrez peut-être attirer de nouveaux talents, pile au même moment que bien d’autres organisations.

En effet, la probabilité que vous soyez confronté à la NIS 2 est très élevée. Les organisations de plus de 50 travailleurs dans le secteur de l’énergie, du transport, de la logistique, mais aussi de la gestion des infrastructures ICT sont directement concernées. Si vous passez entre les mailles du filet, n’oubliez pas que les entreprises qui ne peuvent pas y échapper devront demander des garanties à leurs fournisseurs. Si vous travaillez avec des entreprises soumises à la NIS 2, vous serez donc vous aussi obligé de vous y soumettre, indirectement.

Qui comprend les risques ?

La NIS 2 est loin d’être révolutionnaire. En résumé, l’Europe veut obliger les gouvernements et les entreprises à adopter les bonnes pratiques connues et attestées. Pour autant, ces pratiques sont neuves pour bon nombre d’entreprises. La directive ne se base pas sur un jargon ou des spécifications techniques, mais elle repose sur le risque : à vous d’identifier les risques, de prendre les mesures nécessaires en vue de les limiter et de mettre en place une stratégie en cas de problème.

Si cela n’a rien d’insurmontable à première vue, pour vous y conformer, vous avez besoin de compétences spécifiques. Tout commence par l’analyse des risques. La personne qui s’en charge doit connaître à la perfection l’infrastructure IT et vos activités opérationnelles. Il ne suffit pas de mettre en place un pare-feu et un antivirus et de proclamer que tous les risques numériques sont couverts. Vous devez être conscient de la vulnérabilité de vos processus opérationnels et savoir comment vous protéger. Puisqu’un pare-feu ne bloquera pas un e-mail de phishing efficace, qu’allez-vous faire pour trouver une solution ? Et que ferez-vous si un pirate informatique exploite une nouvelle faille pour s’introduire dans votre réseau et attendre le bon moment pour agir ?

Seules les personnes avec une connaissance élargie de votre entreprise et de votre secteur pourront répondre à ces questions. Certaines entreprises ont probablement déjà les personnes compétentes en interne, mais d’autres sont à la traîne, leurs activités étant complètement déconnectées de l’IT, depuis bien avant la NIS 2. Pourtant, tout ceci n’a rien de neuf : avec la NIS 2, l’UE souhaite obliger les entreprises européennes à se protéger contre les menaces actuelles et existantes.

Wanted : expert technique

Après l’analyse des risques, vous pouvez passer à l’étape suivante. Pour se conformer à la NIS 2, il est indispensable de couvrir les risques en améliorant votre protection. Bien souvent, le personnel IT ne dispose toutefois pas des connaissances et de l’expérience requises pour l’analyse forensique des logs, par exemple.

Pour ceux qui n’y connaissent rien, tout cela n’est « que de l’informatique ». Pourtant, ces activités demandent des aptitudes, mais aussi une attitude bien différente. Alors qu’un ingénieur système doit construire et implémenter une solution le plus rapidement possible, un ingénieur sécurité s’interrogera d’abord sur la sécurité d’une telle technologie ou installation. Vous avez besoin de personnes qui ne se contentent pas de maîtriser une technologie sur le bout des doigts, mais qui connaissent aussi les dangers associés.

Formation, recrutement ou sous-traitance ?

Plusieurs pistes s’offrent à vous. La première étape essentielle est l’intégration de l’IT dans vos activités, si ce n’est pas encore fait. Vous devez ensuite examiner minutieusement les compétences que vous avez en interne pour savoir ce qu’il vous manque. Dans certains cas, vous pourrez vous contenter de former vos talents IT actuels.

Mais si ce n’est pas possible, la sous-traitance peut être une bonne solution. Vous avez besoin d’un security operations center (SOC) pour votre entreprise afin que des experts de la sécurité surveillent votre infrastructure et votre réseau en continu ? Cette opération ne sera rentable que pour les entreprises d’une certaine ampleur. Sans parler du recrutement dans un contexte de pénurie.

3, 2, 1… go!

Pour vous conformer à la NIS 2, vous devrez attirer les bonnes personnes. N’attendez pas la dernière minute ! Le 17 octobre est la date limite de transposition dans la législation belge. Malgré les périodes de transition prévues, le temps est donc compté. Pour respecter les échéances à venir, ne tardez pas. Commencez par l’analyse des risques et confiez-la aux personnes adéquates. À partir de celle-ci, vous pouvez vous demander ce que vous devez protéger, comment et avec qui.

Vous cherchez un génie technique qui connait le secteur comme sa poche ? Ou un analyste de la sécurité qui fait trembler les pirates informatiques dans le monde entier ? CHRLY est là pour vous.