Passer au player
Passer au contenu principal
Passer au pied de page
Rechercher
Se connecter
Regarder en plein écran
Like
Commentaires
Favori
Partager
Ajouter à la playlist
Signaler
SMART TECH - NIS-2 : comment éviter les sanctions ?
B SMART
Suivre
08/10/2024
Mardi 8 octobre 2024, SMART TECH reçoit Pierre-Antoine Failly-Crawford (Responsable de l’équipe de réponse à incident, Varonis)
Catégorie
🗞
News
Transcription
Afficher la transcription complète de la vidéo
00:00
L'échéance s'approche et il va falloir prendre les bonnes mesures pour être conforme à cette nouvelle législation sur la cybersécurité.
00:12
Bonjour Pierre-Antoine Fahy-Croford.
00:14
Bonjour Delphine.
00:15
Vous êtes responsable de l'équipe réponse à incidents chez Varonis, entreprise de la cybersécurité.
00:20
Je fais un rapide rappel de cette directive NIS2 sur la sécurité des réseaux et des systèmes d'information.
00:26
C'est une législation qui vise à renforcer le niveau de cybersécurité en Europe des entreprises,
00:31
mais aussi de toutes les organisations administratives de l'ensemble des pays du membre de l'Union Européenne.
00:38
Alors le texte, on peut l'appliquer depuis déjà quelques temps,
00:41
mais la France, elle, doit vraiment modifier sa loi pour véritablement l'intégrer.
00:47
Et ça, ça doit se faire normalement d'ici au 17 octobre 2024.
00:51
On est donc à quelques jours.
00:53
Déjà, peut-être rappeler quelles sont les obligations qu'on trouve derrière NIS2.
00:57
Alors c'est un texte qui est excessivement grand, déjà, qui rassemble beaucoup de choses.
01:02
Les principales, les importantes, sont vraiment la gouvernance des risques de la cybersécurité dans les systèmes d'information
01:07
pour être sûr de garantir un niveau de résilience pour chaque société dans les États membres, la France particulièrement.
01:13
Mais il y a aussi une volonté principale avec NIS2 de vouloir être certain de bien gérer,
01:18
identifier les incidents de sécurité, déjà, et les remonter correctement avec un bon processus aux différents régulateurs,
01:24
donc l'Annecy, par exemple, ici.
01:26
Et c'est principalement les plus gros enjeux de NIS2 actuellement.
01:30
Et pourquoi c'est un gros enjeu ?
01:32
Parce qu'aujourd'hui, quelques grandes organisations étaient déjà préparées, en fait, à répondre à ces demandes législatives.
01:39
Mais là, c'est l'élargissement, en fait, du nombre d'organisations concernées.
01:43
Exact. On s'est rendu compte, en fait, que même avec NIS1, il y avait tout de même un accroissement des attaques,
01:48
surtout sur les collectivités, par exemple, le service public, mais aussi toutes les TPE et moyennes entreprises.
01:54
Et donc, on s'est rendu compte que, potentiellement, ce n'était pas assez effectif.
01:57
Et donc, ils ont élargi le nombre de sociétés.
01:59
Ils ont renommé, d'ailleurs, on ne parle plus d'opérateurs, mais plutôt d'entités, maintenant.
02:03
Donc, ils ont un peu unifié cette manière de dénommer les entités.
02:07
Et, effectivement, élargi le scope pour être certain que tout le monde soit responsable
02:11
et essaye d'implémenter une sécurité dans leur système d'information,
02:14
ce qui n'est pas toujours le cas quand on doit faire la différenciation entre l'opérationnel et la sécurité.
02:19
Et donc, comme le 17 octobre, c'est bientôt, est-ce que tout le monde est prêt ?
02:22
Absolument pas. Pour être tout à fait transparent,
02:25
toutes les sociétés ont déjà un minimum de maturité sécurité.
02:29
Donc, toutes ces sociétés-là auront une facilité, on va dire, de pouvoir implémenter NIS2 dans leur système d'information.
02:36
En revanche, on constate beaucoup trop aujourd'hui, on va dire, de non-volonté d'investir sur des outils de sécurité
02:43
parce qu'on privilégie l'aspect retour sur l'assissement opérationnel dans un premier temps.
02:47
Ce qu'il faut voir, c'est que là où le bas blesse particulièrement,
02:51
et on le voit d'ailleurs aujourd'hui dans toutes les nouvelles, on va dire, attaques qui arrivent,
02:57
c'est que les sites d'information ne sont plus simplement un site d'information qu'on contrôle dans nos locaux, etc.
03:03
C'est vraiment plusieurs parties prenantes, des sous-traitants, des fournisseurs de cloud, par exemple,
03:08
d'applicatifs ou carrément d'infrastructures à ce service.
03:11
Donc, en fait, les sites d'information ont vraiment évolué énormément et sont complexes aujourd'hui.
03:16
Et donc, essayer d'appliquer une gouvernance de la sécurité et des risques dans tous ces entrepôts, c'est ultra compliqué.
03:22
Et c'est là où NIS2 est intéressant puisque elles ont également impliqué les prestataires de cloud,
03:28
justement les fournisseurs de cloud et de services numériques également,
03:32
dans ces directives pour les forcer à se mettre en conformité à la sécurité
03:36
parce qu'on sait qu'aujourd'hui, une attaque sur un prestataire de cloud ou un prestataire de services
03:41
potentiellement ouvre la porte à un grand nombre de clients et c'est important.
03:44
Alors, la responsabilité personnelle des dirigeants peut être engagée en cas de manquement aux obligations.
03:51
Ça fait quand même réfléchir.
03:53
Est-ce que les patrons, les dirigeants ont pris la mesure de ce qui se passait ?
03:58
Ce qui est super intéressant, effectivement, c'est que chaque société qui doit implémenter NIS2
04:04
a l'obligation de reporter à l'ANSI un responsable de la sécurité,
04:08
donc un garant de l'implémentation de cette directive dans le système d'information.
04:13
S'il y a un manquement, c'est cette personne-là qui est effectivement responsable.
04:17
Du coup, ils sont obligés.
04:18
Et dans cette obligation, ce qui n'était pas le cas avec le RGPD par exemple,
04:22
dans cette réglementation-là, comme ils ne peuvent pas se dire « Ah non, je ne savais pas ».
04:26
Aujourd'hui, c'est tellement vaste, on pourra repartir sur peut-être l'implémentation,
04:30
mais c'est tellement vaste qu'un RSSI ou autre similaire a l'obligation d'être certain
04:37
de pouvoir garantir la sécurité dans le système d'information, garantir la sécurité de ses données.
04:42
C'est explicitement mentionné d'ailleurs.
04:44
Il faut une sécurité stricte sur l'accès aux données, surtout sensible.
04:48
Ensuite, toute la partie cryptographie, vraiment être certain qu'on est en état de l'art
04:52
avec toute la crypto, tous les protocoles qui existent aujourd'hui.
04:56
Et finalement, aussi avoir des plans de continuité d'activité,
04:59
à savoir se mettre dans le pire des scénarios possibles.
05:01
Il se passe un problème, qu'est-ce qu'on fait concrètement aujourd'hui ?
05:03
Est-ce que vous avez une élaboration ?
05:05
Comment on évite ? Mon sujet, c'était un peu comment éviter le coup de bâton, la sanction.
05:09
J'imagine que... Alors déjà, je ne sais pas si le 17 octobre,
05:12
véritablement, on va adapter le droit français pour appliquer cette directive,
05:17
parce que les échéances politiques ont été un peu chahutées.
05:20
Donc on verra déjà, et j'imagine qu'on aura un délai aussi pour s'y préparer.
05:26
Mais enfin, qu'est-ce qu'on doit mettre en place, selon vous, en priorité ?
05:30
Chez les sociétés, c'est un outillage.
05:33
Il faut être en capacité, au moins sur la partie protection des données,
05:36
qui est un pan vraiment majeur dans l'IS II, d'être en capacité d'identifier les risques.
05:41
Quel que soit l'endroit où se situe la donnée,
05:43
d'identifier où est ma donnée sensible, critique à ma société,
05:46
extrapoler les risques associés à cette donnée.
05:48
Donc est-ce qu'il y a un problème, potentiellement, à ces données ?
05:50
Remédier ça automatiquement et ensuite avoir,
05:53
et ça c'est un point vraiment prépondérant dans l'IS II,
05:56
avoir la capacité d'identifier, justement, toute l'activité qui arrive sur ces données
06:00
et surtout d'identifier, on va dire, une action anormale ou malveillante sur ces données.
06:05
Donc détecter des incidents de sécurité.
06:07
Je vous ai demandé juste une première chose à faire, ça fait déjà beaucoup.
06:10
Merci, merci Pierre-Antoine Fahy-Crofort.
06:14
Je rappelle que vous êtes le responsable de l'équipe Réponse à Incidents.
06:17
Chez Varonis. Merci beaucoup.
06:19
Merci Christine.
Recommandations
5:53
|
À suivre
SMART TECH - IA libre, que peut-on déjà essayer ?
B SMART
17/09/2024
18:21
SMART TECH - Fuite de données : comment arrêter l'hémorragie ?
B SMART
18/11/2024
28:19
SMART TECH - Emission du mardi 8 octobre
B SMART
08/10/2024
4:54
SMART TECH - Google sans Chrome, ça changerait quoi ?
B SMART
02/12/2024
5:23
SMART TECH - Entraînement des IA : qui doit payer quoi ?
B SMART
30/09/2024
4:57
SMART IMPACT - Smart Ideas du mercredi 2 octobre 2024
B SMART
02/10/2024
5:28
SMART IMPACT - Smart Ideas du jeudi 3 octobre 2024
B SMART
10/10/2024
12:29
SMART BOURSE - Trump : shutdown ou pas shutdown ?
B SMART
10/03/2025
4:54
SMART IMPACT - SMART IDEAS du vendredi 11 juillet 2025
B SMART
11/07/2025
5:09
SMART TECH - FairShare : telco, GAFA, qui doit payer ?
B SMART
12/11/2024
5:24
SMART TECH - Tech et vie privée, le pire est à venir ?
B SMART
23/09/2024
16:06
SMART TECH - TECH TALK du lundi 24 mars 2025
B SMART
24/03/2025
5:24
SMART TECH - Data Act, quels objectifs derrière ce nouveau règlement européen ?
B SMART
29/10/2024
17:05
SMART BOURSE - Tech / Nvidia : "Jensanity" !
B SMART
07/06/2024
8:03
SMART TECH - Et Demain ? du lundi 7 juin 2021
B SMART
07/06/2021
22:21
SMART TECH - Lancer une start-up d'IA, impossible ?!
B SMART
23/09/2024
6:12
SMART TECH - Un campus d'excellence sur la malvoyance
B SMART
03/12/2024
5:19
SMART IMPACT - Smart Ideas du lundi 18 novembre 2024
B SMART
18/11/2024
6:40
SMART TECH - Le RDV du droit : le grand déséquilibre face aux cyber-délinquants
B SMART
14/10/2024
4:52
SMART TECH - Les logiciels libres dans le monde militaire
B SMART
25/11/2024
4:31
SMART TECH - Libre : du nouveau dans la bureautique
B SMART
31/10/2024
7:45
SMART TECH - Le parfait chatbot, au théâtre
B SMART
08/11/2024
15:29
SMART BOURSE - Marchés globaux : enjeux de la rentrée
B SMART
09/09/2024
4:25
SMART TECH - Une nouvelle école dédiée à la cybersécurité
B SMART
07/10/2024
6:09
SMART TECH - 3 QUESTIONS À du lundi 17 mars 2025
B SMART
17/03/2025
