SMART TECH - NIS-2 : comment éviter les sanctions ? - Vidéo Dailymotion

Passer au player Passer au contenu principal Passer au pied de page

08/10/2024

Mardi 8 octobre 2024, SMART TECH reçoit Pierre-Antoine Failly-Crawford (Responsable de l’équipe de réponse à incident, Varonis)

Catégorie

Transcription

Afficher la transcription complète de la vidéo

00:00L'échéance s'approche et il va falloir prendre les bonnes mesures pour être conforme à cette nouvelle législation sur la cybersécurité.

00:12Bonjour Pierre-Antoine Fahy-Croford.

00:14Bonjour Delphine.

00:15Vous êtes responsable de l'équipe réponse à incidents chez Varonis, entreprise de la cybersécurité.

00:20Je fais un rapide rappel de cette directive NIS2 sur la sécurité des réseaux et des systèmes d'information.

00:26C'est une législation qui vise à renforcer le niveau de cybersécurité en Europe des entreprises,

00:31mais aussi de toutes les organisations administratives de l'ensemble des pays du membre de l'Union Européenne.

00:38Alors le texte, on peut l'appliquer depuis déjà quelques temps,

00:41mais la France, elle, doit vraiment modifier sa loi pour véritablement l'intégrer.

00:47Et ça, ça doit se faire normalement d'ici au 17 octobre 2024.

00:51On est donc à quelques jours.

00:53Déjà, peut-être rappeler quelles sont les obligations qu'on trouve derrière NIS2.

00:57Alors c'est un texte qui est excessivement grand, déjà, qui rassemble beaucoup de choses.

01:02Les principales, les importantes, sont vraiment la gouvernance des risques de la cybersécurité dans les systèmes d'information

01:07pour être sûr de garantir un niveau de résilience pour chaque société dans les États membres, la France particulièrement.

01:13Mais il y a aussi une volonté principale avec NIS2 de vouloir être certain de bien gérer,

01:18identifier les incidents de sécurité, déjà, et les remonter correctement avec un bon processus aux différents régulateurs,

01:24donc l'Annecy, par exemple, ici.

01:26Et c'est principalement les plus gros enjeux de NIS2 actuellement.

01:30Et pourquoi c'est un gros enjeu ?

01:32Parce qu'aujourd'hui, quelques grandes organisations étaient déjà préparées, en fait, à répondre à ces demandes législatives.

01:39Mais là, c'est l'élargissement, en fait, du nombre d'organisations concernées.

01:43Exact. On s'est rendu compte, en fait, que même avec NIS1, il y avait tout de même un accroissement des attaques,

01:48surtout sur les collectivités, par exemple, le service public, mais aussi toutes les TPE et moyennes entreprises.

01:54Et donc, on s'est rendu compte que, potentiellement, ce n'était pas assez effectif.

01:57Et donc, ils ont élargi le nombre de sociétés.

01:59Ils ont renommé, d'ailleurs, on ne parle plus d'opérateurs, mais plutôt d'entités, maintenant.

02:03Donc, ils ont un peu unifié cette manière de dénommer les entités.

02:07Et, effectivement, élargi le scope pour être certain que tout le monde soit responsable

02:11et essaye d'implémenter une sécurité dans leur système d'information,

02:14ce qui n'est pas toujours le cas quand on doit faire la différenciation entre l'opérationnel et la sécurité.

02:19Et donc, comme le 17 octobre, c'est bientôt, est-ce que tout le monde est prêt ?

02:22Absolument pas. Pour être tout à fait transparent,

02:25toutes les sociétés ont déjà un minimum de maturité sécurité.

02:29Donc, toutes ces sociétés-là auront une facilité, on va dire, de pouvoir implémenter NIS2 dans leur système d'information.

02:36En revanche, on constate beaucoup trop aujourd'hui, on va dire, de non-volonté d'investir sur des outils de sécurité

02:43parce qu'on privilégie l'aspect retour sur l'assissement opérationnel dans un premier temps.

02:47Ce qu'il faut voir, c'est que là où le bas blesse particulièrement,

02:51et on le voit d'ailleurs aujourd'hui dans toutes les nouvelles, on va dire, attaques qui arrivent,

02:57c'est que les sites d'information ne sont plus simplement un site d'information qu'on contrôle dans nos locaux, etc.

03:03C'est vraiment plusieurs parties prenantes, des sous-traitants, des fournisseurs de cloud, par exemple,

03:08d'applicatifs ou carrément d'infrastructures à ce service.

03:11Donc, en fait, les sites d'information ont vraiment évolué énormément et sont complexes aujourd'hui.

03:16Et donc, essayer d'appliquer une gouvernance de la sécurité et des risques dans tous ces entrepôts, c'est ultra compliqué.

03:22Et c'est là où NIS2 est intéressant puisque elles ont également impliqué les prestataires de cloud,

03:28justement les fournisseurs de cloud et de services numériques également,

03:32dans ces directives pour les forcer à se mettre en conformité à la sécurité

03:36parce qu'on sait qu'aujourd'hui, une attaque sur un prestataire de cloud ou un prestataire de services

03:41potentiellement ouvre la porte à un grand nombre de clients et c'est important.

03:44Alors, la responsabilité personnelle des dirigeants peut être engagée en cas de manquement aux obligations.

03:51Ça fait quand même réfléchir.

03:53Est-ce que les patrons, les dirigeants ont pris la mesure de ce qui se passait ?

03:58Ce qui est super intéressant, effectivement, c'est que chaque société qui doit implémenter NIS2

04:04a l'obligation de reporter à l'ANSI un responsable de la sécurité,

04:08donc un garant de l'implémentation de cette directive dans le système d'information.

04:13S'il y a un manquement, c'est cette personne-là qui est effectivement responsable.

04:17Du coup, ils sont obligés.

04:18Et dans cette obligation, ce qui n'était pas le cas avec le RGPD par exemple,

04:22dans cette réglementation-là, comme ils ne peuvent pas se dire « Ah non, je ne savais pas ».

04:26Aujourd'hui, c'est tellement vaste, on pourra repartir sur peut-être l'implémentation,

04:30mais c'est tellement vaste qu'un RSSI ou autre similaire a l'obligation d'être certain

04:37de pouvoir garantir la sécurité dans le système d'information, garantir la sécurité de ses données.

04:42C'est explicitement mentionné d'ailleurs.

04:44Il faut une sécurité stricte sur l'accès aux données, surtout sensible.

04:48Ensuite, toute la partie cryptographie, vraiment être certain qu'on est en état de l'art

04:52avec toute la crypto, tous les protocoles qui existent aujourd'hui.

04:56Et finalement, aussi avoir des plans de continuité d'activité,

04:59à savoir se mettre dans le pire des scénarios possibles.

05:01Il se passe un problème, qu'est-ce qu'on fait concrètement aujourd'hui ?

05:03Est-ce que vous avez une élaboration ?

05:05Comment on évite ? Mon sujet, c'était un peu comment éviter le coup de bâton, la sanction.

05:09J'imagine que... Alors déjà, je ne sais pas si le 17 octobre,

05:12véritablement, on va adapter le droit français pour appliquer cette directive,

05:17parce que les échéances politiques ont été un peu chahutées.

05:20Donc on verra déjà, et j'imagine qu'on aura un délai aussi pour s'y préparer.

05:26Mais enfin, qu'est-ce qu'on doit mettre en place, selon vous, en priorité ?

05:30Chez les sociétés, c'est un outillage.

05:33Il faut être en capacité, au moins sur la partie protection des données,

05:36qui est un pan vraiment majeur dans l'IS II, d'être en capacité d'identifier les risques.

05:41Quel que soit l'endroit où se situe la donnée,

05:43d'identifier où est ma donnée sensible, critique à ma société,

05:46extrapoler les risques associés à cette donnée.

05:48Donc est-ce qu'il y a un problème, potentiellement, à ces données ?

05:50Remédier ça automatiquement et ensuite avoir,

05:53et ça c'est un point vraiment prépondérant dans l'IS II,

05:56avoir la capacité d'identifier, justement, toute l'activité qui arrive sur ces données

06:00et surtout d'identifier, on va dire, une action anormale ou malveillante sur ces données.

06:05Donc détecter des incidents de sécurité.

06:07Je vous ai demandé juste une première chose à faire, ça fait déjà beaucoup.

06:10Merci, merci Pierre-Antoine Fahy-Crofort.

06:14Je rappelle que vous êtes le responsable de l'équipe Réponse à Incidents.

06:17Chez Varonis. Merci beaucoup.

06:19Merci Christine.

Recommandations

0:29

À suivre

Crash du Boeing 787 d'Air India: l'inspection des interrupteurs d'alimentation en carburant n'a révélé aucune anomalie du matériel

aujourd’hui

0:42

La plus grosse météorite de Mars vendue aux enchères à 5,3 millions de dollars

aujourd’hui

5:53

SMART TECH - IA libre, que peut-on déjà essayer ?

17/09/2024

18:21

SMART TECH - Fuite de données : comment arrêter l'hémorragie ?

18/11/2024

28:19

SMART TECH - Emission du mardi 8 octobre

08/10/2024

4:54

SMART TECH - Google sans Chrome, ça changerait quoi ?

02/12/2024

4:57

SMART IMPACT - Smart Ideas du mercredi 2 octobre 2024

02/10/2024

5:23

SMART TECH - Entraînement des IA : qui doit payer quoi ?

30/09/2024

12:29

SMART BOURSE - Trump : shutdown ou pas shutdown ?

10/03/2025

5:28

SMART IMPACT - Smart Ideas du jeudi 3 octobre 2024

10/10/2024

5:09

SMART TECH - FairShare : telco, GAFA, qui doit payer ?

12/11/2024

4:54

SMART IMPACT - SMART IDEAS du vendredi 11 juillet 2025

il y a 6 jours

5:24

SMART TECH - Tech et vie privée, le pire est à venir ?

23/09/2024

16:06

SMART TECH - TECH TALK du lundi 24 mars 2025

24/03/2025

8:03

SMART TECH - Et Demain ? du lundi 7 juin 2021

07/06/2021

5:24

SMART TECH - Data Act, quels objectifs derrière ce nouveau règlement européen ?

29/10/2024

6:40

SMART TECH - Le RDV du droit : le grand déséquilibre face aux cyber-délinquants

14/10/2024

6:12

SMART TECH - Un campus d'excellence sur la malvoyance

03/12/2024

5:19

SMART IMPACT - Smart Ideas du lundi 18 novembre 2024

18/11/2024

17:05

SMART BOURSE - Tech / Nvidia : "Jensanity" !

07/06/2024

22:21

SMART TECH - Lancer une start-up d'IA, impossible ?!

23/09/2024

4:52

SMART TECH - Les logiciels libres dans le monde militaire

25/11/2024

4:31

SMART TECH - Libre : du nouveau dans la bureautique

31/10/2024

7:45

SMART TECH - Le parfait chatbot, au théâtre

08/11/2024

4:25

SMART TECH - Une nouvelle école dédiée à la cybersécurité

07/10/2024