Essai gratuit
Obtenez l'accès complet
Connexion

Sécurité de la chaîne d'approvisionnement et NIS2 : ce que vous devez savoir

Picture of Flare
Flare
  • Reading time: 6 min
Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc « BLOG » à l'intérieur. En dessous se trouve le texte blanc : "Sécurité de la chaîne d'approvisionnement et NIS2 : ce que vous devez savoir". Il y a un texte blanc en dessous qui dit « En savoir plus » avec une flèche orange clair pointant vers le bas.

La Directive sur les systèmes d'information en réseau (NIS2) et son prédécesseur NIS se concentrent sur la gestion des risques pour les organisations. L'UE déclare que le NIS est le premier texte législatif à l'échelle de l'UE sur la cybersécurité ayant pour objectif de parvenir à un niveau commun élevé de cybersécurité dans tous les États membres. Le NIS2 aura un impact considérable, d'autant plus qu'il s'étend au NIS et inclut davantage d'industries, de nouvelles exigences de déclaration et des sanctions plus lourdes.

NIS2 modifiera particulièrement la manière dont les organisations abordent et gèrent la sécurité de la chaîne d’approvisionnement, dans le cadre d’une approche holistique de la cybersécurité dans les États membres de l’UE (et au-delà). En sécurisant chaque maillon de la chaîne d’approvisionnement, la directive favorisera un front de cybersécurité solide et unifié dans toute l’UE.

État actuel de la sécurité de la chaîne d’approvisionnement

Les ransomwares coûteront aux victimes environ 42 milliards de dollars américains en 2024, soit plus du double par rapport aux 20 milliards de dollars américains de 2021, les acteurs menaçants menant une attaque toutes les deux secondes (selon Cybersecurity Ventures).

Plus précisément, les attaques de ransomware par extorsion de données ont augmenté à un rythme annualisé de plus de 112% dès 2023. Dans notre recherche, nous avons observé que les acteurs malveillants ont le plus attaqué les secteurs de la fabrication, des technologies de l'information et des services professionnels en 2023.

Tous les secteurs, y compris les secteurs critiques tels que l’énergie, la finance, la santé et les transports, s’intègrent davantage et deviennent dépendants de l’infrastructure numérique. Ceci est incroyablement efficace en matière de modernisation, mais expose également les faiblesses à des menaces en constante évolution. La pandémie de coronavirus a également exacerbé ce problème, les organisations se précipitant pour proposer des services numériques.

Au cours des dernières années, les auteurs de menaces sont devenus plus sophistiqués dans la conduite de la cybercriminalité. Ils améliorent leurs cyberattaques pour gagner en efficacité en passant à un modèle similaire aux chaînes d’approvisionnement modernes légitimes avec une spécialisation de niche. Ce modèle commercial « as a Service » (aaS) permet un accès plus facile et pratique à des outils avancés sans que chaque acteur malveillant n'ait besoin de maîtriser tous les aspects de la réalisation d'attaques.

Capture d'écran de la page d'inscription d'un hameçonnage en tant que fournisseur de services (LabHost). L'arrière-plan est bleu marine foncé avec du texte blanc en haut "Lab Host" avec un texte blanc plus petit en dessous "Ready to start spamming?" Il y a des boutons en dessous pour sélectionner votre emplacement en Amérique du Nord ou dans le monde, avec des options de paiement mensuel, trimestriel et annuel. Il y a des rectangles en dessous avec des descriptions à l'intérieur pour les options d'achat du plan standard ou du plan premium.
LabHost est un fournisseur de Phishing as a Service, avec une infrastructure à part entière, permettant aux utilisateurs d'héberger une page de phishing choisie et d'envoyer des spams à leurs victimes, où ils seront invités à se connecter au service usurpé.

À mesure que les auteurs de menaces établissent leur propre chaîne logistique d’attaques, les organisations doivent améliorer leur posture de sécurité pour renforcer de manière globale la chaîne logistique légitime.

NIS vs NIS2 : quelles sont les différences ?

Le NIS2 cherche à élargir la portée du NIS. Alors, quelles sont exactement les différences entre les deux réglementations ?

NIS

L'UE a publié la loi de conformité NIS en 2016, et elle est entrée en vigueur en 2018. Cette loi oblige les entités couvertes à établir des processus et des pratiques de base en matière d'hygiène de cybersécurité. Le NIS a classé les organisations comme suit :

  • "Essentiel" 
  • « Fournisseurs de services numériques »
  • ou « Non couvert » 

et assigné les exigences en conséquence. 

Les États membres devaient également veiller à ce que les entités couvertes par le NIS signalent de manière proactive les incidents à l'équipe de réponse aux incidents de sécurité informatique (CSIRT) de leurs pays respectifs afin de recevoir des conseils basés sur l'impact et la gravité de l'incident.

Cependant, cette SNI laissait place à l'interprétation, ce qui a ensuite conduit à des résultats de mise en œuvre différents selon les États membres.

NIS2

L'UE a publié le successeur du NIS, NIS2, en 2022, et la date limite pour que les États membres intègrent NIS2 dans leur législation nationale est 2024. 

Généralement, les exigences dans NIS2 sont plus spécifiques que dans NIS, et leur portée est plus grande.

Ce que NIS2 étend 

Industries couvertes par NIS2

NIS2 augmente les industries des « entités importantes », avec ces secteurs nouvellement inclus :

  • La gestion des déchets
  • Fabrication
  • Fournisseurs de services informatiques et de sécurité
  • Services postaux et de courrier
  • Entreprises de produits chimiques
  • Transformation alimentaire
  • Organismes de recherche
  • Réseaux sociaux et fournisseurs numériques
Il y a trois colonnes, celle de gauche montrant différents secteurs, celle du milieu montrant NIS et celle de droite montrant NIS2. NIS et NIS2 couvrent les secteurs de la santé, de l'énergie, des services financiers et des infrastructures numériques couverts par les deux réglementations, notamment la fabrication, la gestion des déchets, les services informatiques et les services de sécurité informatique, la production et la distribution alimentaires, la recherche, les services postaux et les réseaux sociaux et numériques. Les fournisseurs sont couverts uniquement par NIS2.
Industries couvertes par NIS vs NIS2
Toujours vérifier

Le NIS avait des mesures d'application et d'amendes limitées, tandis que le NIS2 fixe plusieurs mesures d'application, notamment des amendes, la responsabilité envers la direction, ainsi que des inspections et une supervision. 

Les amendes peuvent aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel total pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1.4 % du chiffre d'affaires annuel total pour les entités importantes. 

Cohérence et coopération 

Le NIS2 établit une base de référence pour les mesures de cybersécurité afin de garantir une cohérence globale entre les postures de cybersécurité des États membres. Cela comprend des mesures de gestion des risques et de reporting. 
De plus, de plus grandes collaborations sont mises en place comme le CyCLONE UE (Réseau européen des organisations de liaison cybernétique), examen par les pairs des cyberpolitiques et divulgation des vulnérabilités.

Ce que NIS2 fait pour la sécurité de la chaîne d'approvisionnement

Avec le NIS2, l'accent est davantage mis sur différents aspects de la cybersécurité, tels que la gestion de la continuité des activités, la réponse aux incidents et la sécurité de la chaîne d'approvisionnement. 

NIS2 nécessite globalement de renforcer la sécurité de la chaîne d’approvisionnement. Il oblige les organisations à :

  • Évaluer et comprendre les risques pertinents
  • Établir des relations avec des partenaires/prestataires/fournisseurs de services tiers à haut risque et les sensibiliser aux risques 
  • Mettre à jour les mesures de sécurité en permanence

L’article (2)(d) du NIS2 décrit les responsabilités des organisations pour assurer la sécurité de la chaîne d’approvisionnement. Il existe trois domaines généraux qui contribuent à améliorer la sécurité de la chaîne d’approvisionnement :

  1. Évaluation des risques au niveau de l’UE : Évaluer le niveau de risque d’une chaîne d’approvisionnement spécifique au niveau de l’UE.
  2. Évaluation nationale des risques : Les États membres peuvent étendre le champ d’application de la directive pour inclure des entités initialement extérieures à celle-ci.
  3. Évaluation des risques internes : Les entités couvertes doivent prendre en compte les vulnérabilités et les pratiques de cybersécurité de chaque fournisseur de services/fournisseur/fournisseur tiers.

Ces domaines travaillent ensemble pour créer un plan de protection complet et ont des implications différentes sur la sécurité de la chaîne d'approvisionnement.

Évaluation des risques et sécurité de la chaîne d’approvisionnement au niveau de l’UE

Les organisations doivent surveiller en permanence leurs efforts et les résultats correspondants pour rester en conformité et contribuer efficacement à la sécurité de la chaîne d’approvisionnement internationale. 

Il est important de noter que NIS2 prend en compte non seulement les exigences de l'article 21 (qui énumère les détails de l'évaluation coordonnée des risques), mais également les résultats. Cela signifie que même si une organisation respecte les exigences, si les résultats ne sont pas également conformes au NIS2, l'organisation peut être considérée comme non conforme et s'exposer à des sanctions financières.

De plus, même si une organisation donnée suit le NIS2, s’il existe un tiers à haut risque dans la chaîne d’approvisionnement, cela peut compromettre l’évaluation NIS2 de l’organisation donnée. Par conséquent, il est de la responsabilité des entités couvertes de garantir que les organisations tierces présentes dans leur chaîne d’approvisionnement, même si elles ne constituent pas elles-mêmes une entité couverte, améliorent leur posture de cybersécurité.

Évaluation nationale des risques et sécurité de la chaîne d’approvisionnement

Il existe divers pouvoirs des États membres qui leur permettent d'étendre le champ d'application du NIS2 dans le cadre de leur législation et d'appliquer la directive à :

  • Entités qui sont les seuls fournisseurs dans un État membre d'un service essentiel, défini comme nécessaire au maintien d'activités économiques/sociales critiques
  • Entités qui sont le fournisseur de services pour quelque chose qui, s'il est perturbé, peut nuire considérablement à la santé, à la sûreté ou à la sécurité publiques.
  • Entités qui fournissent des services pour quelque chose qui, en cas de perturbation, pourrait entraîner un risque systémique majeur, en particulier dans les secteurs ayant une implication transfrontalière. 
  • Entités critiques en raison de leur importance au niveau national/régional pour un certain secteur/service (ou pour des secteurs interdépendants au sein de la nation)

Bien que le NIS2 étend sa portée aux entités couvertes, certaines organisations ne sont pas incluses. Cependant, les pouvoirs de ces États membres définis ci-dessus pourraient se répercuter sur une entité jusqu’alors non couverte si l’une des conditions ci-dessus s’y applique.

Évaluation des risques internes et sécurité de la chaîne d’approvisionnement

Les entités couvertes devraient suivre la stratégie nationale de cybersécurité des États membres, en tenant également compte des pouvoirs du CSIRT pour éclairer leurs pratiques internes. 

Les entités couvertes doivent contrôler rigoureusement les partenaires/fournisseurs/vendeurs tiers et encourager ceux avec lesquels elles travaillent à atténuer leurs risques afin de renforcer la sécurité de l'ensemble de la chaîne d'approvisionnement.

Veuillez noter que ce blog n'est pas destiné à fournir des informations sur les exigences de base de NIS2 et ne remplace pas des conseils juridiques. Si vous êtes préoccupé par NIS2 ou si vous pensez que cela pourrait s'appliquer à votre organisation, nous vous encourageons à contacter un avocat qualifié.

Sécurité de la chaîne d’approvisionnement et Flare

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement et en permanence le Web clair et sombre et les canaux Telegram illicites pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité de votre chaîne d'approvisionnement.

With Flare Supply Chain Ransomware Exposure Monitoring, gain unique visibility and proactive security across your extended supply chain to efficiently mitigate threat exposures that exist within ransomware data leaks. Learn more by signing up for our essai gratuit.

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion