NIS 2, le règlement qui va changer la gouvernance cyber
A la Une
Dans un contexte politique incertain, la loi de transposition de NIS 2 pourrait prendre du retard. Mais les entreprises concernées n'ont pas le luxe d'attendre : la directive devra être appliquée tôt ou tard et leur préparation doit commencer dès maintenant.
Les derniers chiffres en la matière n'étaient pas très rassurants : la majorité des entreprises européennes n'avaient pas de budget dédié à la mise en conformité à cette nouvelle réglementation, d'après une étude commandée par la société Veeam en octobre 2024. Espérons que la situation a changé depuis. Car ce texte marque un "changement de paradigme" en matière de sécurité informatique, explique l'Agence nationale de la sécurité des systèmes d'information (Anssi).
L'objectif de cette directive européenne est ambitieux : élever le niveau global de cybersécurité au sein de l'Union européenne en imposant des obligations de sécurité harmonisées et plus strictes. Dans ce cadre, le périmètre des acteurs concernés est considérablement élargi, passant de 300 opérateurs d'importance vitale (OIV)/opérateurs de services essentiels (OSE) régulés à plus de 15 000 entités dans 18 secteurs différents.
Chaque entité régulée devra fournir certaines informations à l'Anssi, mettre en place des mesures de gestion des risques adaptées, et déclarer ses incidents de sécurité. En cas de manquement, des sanctions financières - jusqu'à 2% du chiffre d'affaires mondial - pourront être imposées. Pour aider les entités à comprendre les nouvelles obligations et à se mettre en conformité, l'Anssi a lancé un outil dédié "MonEspaceNIS2". Il offre deux services : savoir si une entité relève de la règlementation et de se préenregistrer en ligne.
L'essentiel à savoir
Entre besoin de souveraineté et appel à la déregulation, le cloud européen joue son avenir. A la Rencontre des Entrepreneurs de France, dirigeants et responsables politiques ont débattu de l'avenir du cloud. Tous appellent à renforcer la souveraineté numérique, dans un contexte de guerre commerciale avec les Etats-Unis, principale terre des hyperscalers, mais réclament en même temps une simplification des règles pour libérer l'innovation.
Règlement Chat Control : Les messageries bientôt sous surveillance européenne ? Le projet de règlement visant à lutter contre la pédocriminalité en ligne, baptisé "Chat Control" par ses opposants, entre dans une nouvelle phase. Une réunion fixée au 12 septembre prochain devrait permettre de finaliser une proposition de compromis avant le vote prévu au Conseil de l'UE en octobre. Ce texte est vivement critiqué pour ses implications dans la vie privée car il ouvre la voie à une surveillance de masse des communications.
Le signal GPS de l'avion d'Ursula von der Leyen brouillé, la Russie pointée du doigt. A l'occasion d'un déplacement en Bulgarie, l'aéronef qui transportait la présidente de la Commission européenne a subi une perturbation au moment de son atterrissage. Si la cause de ce brouillage n'est pas certaine à ce stade, les soupçons se tournent vers Moscou, qui multiplie les actions de ce type récemment.
Salt Typhoon : Trois entreprises chinoises accusées par une coalition internationale. Une coalition internationale regroupant plusieurs agences de cybersécurité et de renseignement accuse trois entreprises chinoises d'avoir mené une vaste campagne d'espionnage, pour le compte de Pékin. Plus de 80 pays et 600 entreprises auraient été visés, via des compromissions massives de réseaux télécoms.
CrowdStrike rachète la start-up Onum pour améliorer la détection des menaces. L'entreprise américaine met la main sur la start-up espagnole Onum, spécialisée dans la gestion et l'orchestration des données de télémétrie. L'opération vise à améliorer son SIEM de nouvelle génération, un outil utilisé par les centres de cybersécurité pour collecter et analyser les événements de sécurité afin de détecter plus rapidement les menaces.
L'agglomération de Poitiers victime d'une cyberattaque, certains services en ligne bloqués. La ville de Poitiers, le Grand Poitiers composé de 40 communes, et le Centre communal d'action sociale sont victimes d'une panne informatique provoquée par une attaque informatique. Depuis, certains services en ligne sont inaccessibles.
Alerte cyber : La fuite de données de la semaine
La fuite de données de TransUnion touche plus de 4,4 millions d’Américains. L'une des principales agences d'évaluation du crédit aux Etats-Unis a confirmé qu'un incident informatique, survenu le 28 juillet et détecté deux jours plus tard, a exposé les données personnelles d'environ 4,46 millions de personnes. Il s'agit d'un incident survenu via une application tierce utilisée dans ses opérations de support aux consommateurs, sans atteinte à sa base de données de crédit, a indiqué la société.
Les informations touchées sont hautement sensibles : noms, dates de naissance, numéros de sécurité sociale non masqués, numéros de téléphone, voire des échanges de support client. TransUnion assure avoir rapidement colmaté la brèche et propose aux victimes deux ans de surveillance de crédit et de protection contre le vol d'identité.
La levée de fonds de la semaine
Cato Networks lève 50 millions de dollars supplémentaires pour acquérir Aim Security. La pépite israélienne met la main sur une jeune pousse spécialisée dans la sécurisation des usages liés à l'intelligence artificielle. En parallèle, elle a annoncé une extension de sa levée de fonds en série G avec un investissement supplémentaire de 50 millions de dollars injectés par Acrew Capital. Le montant total de l'opération atteint désormais 409 millions de dollars.
Cato Networks souhaite ainsi renforcer sa plateforme SASE (Security Access Service Edge) avec les capacités avancées d'Aim Security dans la sécurisation des usages de l'IA.
Le focus réglementaire et conformité
Un administrateur réseau condamné pour accès abusif. Dans un arrêt rendu le 2 septembre, la chambre criminelle de la Cour de cassation a confirmé la condamnation d'un administrateur réseau qui lisait en cachette les emails de son dirigeant. Même si ses fonctions lui donnaient un accès technique aux messageries, la justice rappelle que consulter des messages à des fins personnelles est un délit au sens du code pénal.
Le coin opérationnel
L'Anssi fait des recommandations sur la supervision de sécurité. L'Agence publie un nouveau guide qui définit les grands principes de la supervision de sécurité, une capacité essentielle pour détecter les incidents rapidement et y répondre efficacement. L'idée sous-jacente : la supervision ne se résume pas à une question d'outils, il s'agit d'un effort organisationnel et financier à long terme.
Le document met l'accent sur plusieurs points : la nécessité de connaître finement son système d'information, de s'appuyer sur des pratiques d'hygiène informatique ainsi que d'investir dans des moyens adaptés. Il insiste également sur l'importance d'une construction progressive avec un démarrage sur un périmètre limité afin de valider la chaîne de supervision pour monter en maturité au fil du temps.
NIS 2, le règlement qui va changer la gouvernance cyber
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
