Article

Le Guide de mise en œuvre pour les ETI

Ismail Boudebbane
By:
Le Guide de mise en œuvre pour les ETI 
Comment répondre à la directive NIS 2 à partir de la norme ISO 27001 ?

Normes, standards, directives, réglementations : si pour vous aussi tout se ressemble et parfois se mélange, poursuivez votre lecture. Si après avoir géré la conformité à la norme ISO 27001, vous devez aujourd’hui vous plier à la directive NIS 2, continuez à lire. Si enfin, vous baignez dans l’écosystème des ETI, alors plus de doute possible, cet article a été rédigé pour vous.

Après un panorama des tendances règlementaires et des référentiels de la cybersécurité ayant animé ces deux dernières années, nous osons la comparaison entre ISO 27001 et NIS 2 pour mieux traiter la question : comment répondre à la directive NIS 2 à partir de la norme ISO 27001 ?

Les nouvelles tendances règlementaires et les référentiels de la cybersécurité

Les référentiels et règlements dédiés à la cybersécurité ont connu des évolutions récentes importantes. Des tendances de fond communes apparaissent sur ces nouveaux textes ou sur des mises à jour.

Le Guide de mise en œuvre pour les ETI

 

Comparaison entre ISO 27001 et NIS 2 

L’ISO 27001 est le framework de gestion de la cybersécurité le plus déployé en Europe. Sa version 2022 est plus riche et plus adaptée aux défis actuels. Cette norme se base principalement sur l’ISO 27002 pour les mesures de sécurité de l'information et sur la 27005 pour la gestion des risques.

En examinant les différents projets de transposition de NIS 2 en Europe, et les objectifs de sécurité proposés par l’Agence de l'Union européenne pour la cybersécurité (ENISA), nous constatons l’adoption directe et indirecte de la norme ISO 27001 en sa version 2022.

Le Guide de mise en œuvre pour les ETI

Répondre à NIS 2 avec l’ISO 27001

L’un des principaux objectifs de la directive NIS 2 est d’harmoniser le niveau de sécurité au sein de l’Union, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné.

Nos solutions de mise en œuvre sont tirées de notre enseignement sur le terrain de la conformité et répondent aux exigences de la directive NIS 2, spécifiquement à l’article 21.

Nous faisons le lien avec les clauses de la norme 27001, en spécifiant son nom.

Thématique Proposition de mise en œuvre Référence ISO 27001
Gouvernance et politique de sécurité
  • Mettre en place une stratégie cybersécurité pluriannuelle définissant vos objectifs et vos trajectoires de protection et de résilience à court, moyen et long terme.
  • Mettre en place une politique générale de sécurité de l’information et la faire valider par la direction, idéalement par le Directeur Général.
  • Définir les rôles et les responsabilités au sein de l’organisation : principalement ceux de la Direction Générale, du RSSI, du DPO, des collaborateurs et d’autres directions, comme celle des risques.
  • Mettre en place au minimum deux comités, un opérationnel et l’autre managérial :
    • L’opérationnel, en présence de la DSI, aura pour rôle de suivre les incidents de sécurité, les vulnérabilités et les projets, etc.
    • Le managérial, à destination de la direction, permettra de transmettre un aperçu général de la santé de la sécurité dans l’organisation. Il sera aussi utile pour échanger et valider la stratégie cybersécurité lors de ce comité.
  • Désigner un RSSI ou un RSSI de transition pour renforcer la maturité de l’organisation.
  • A5.4. Responsabilités de la direction
Gestion des actifs
  • C’est un processus informatique de base, mais aussi un pilier de la cybersécurité : inventorier vos actifs vous permettra à la fois de mieux gérer vos vulnérabilités, mais aussi de réagir rapidement en cas d’incident de sécurité.
  • Une Configuration Management Database (CMDB) est le minimum requis pour répondre à cette obligation.
  • A5.9. Inventaire des informations et autres actifs associés
Hygiène informatique
  • Pour franchir la première étape de votre conformité à la cybersécurité, il est nécessaire de mettre en place les bases de l’hygiène informatique. Le référentiel « Guide d’hygiène informatique de l’ANSSI » est non exhaustif, mais avec ses 42 mesures, il vous permettra de mettre en place un socle minimum.
  • 7.2. Compétences
Analyse des risques
  • L’analyse de risque est au cœur de la directive NIS 2. Celle-ci appelle à l’adoption d’une approche tout risque ou « all-hazards approach » en anglais. Elle consiste à se concentrer uniquement sur les événements critiques les plus courants ou les plus lourds de conséquences. L’adoption d’une méthodologie de risque basée sur la norme ISO 27005 et EBIOS est fortement préconisée dans ce cas.
  • Il est aussi important de valider les résultants de votre analyse de risque, donc le plan de traitement par la direction, pour être conforme à la directive.
  • Vous pourriez aussi utiliser ces résultats pour suivre l’évolution des risques avec la direction.
  • 6. Planification
  • 8.2. Appréciation des risques de l’information
  • 8.3. Traitement des risques de sécurité de l’information
Gestion des accès
  • Ce point sera traité si le guide de l’hygiène informatique est bien suivi. Le cas échéant, sa mise en conformité implique la mise en place d’un processus rigoureux de suivi des entrées, sorties et mouvement des collaborateurs avec une attention particulière aux profils avec un haut privilège.
  • Le principe du moindre privilège devrait être appliqué à l’ensemble des comptes. Les droits devraient être validés par le N+2 et par le RSSI dans le cas des profils à haut privilège. Quant aux sorties, le processus devrait être automatisé pour s’assurer que les comptes soient désactivés selon les informations obtenues des RH.
  • Des revues doivent être réalisées fréquemment, notamment sur l’active directory.
  • Les comptes génériques et les comptes locaux sur les équipements réseaux et les serveurs doivent être identifiés, revus et très limités.
  • 6. Planification 
  • 8.2. Appréciation des risques de l’information
  • 8.3. Traitement des risques de sécurité de l’information
Sécurité des ressources humaines
  • La sécurité des ressources humaines est fortement liée à la gestion des accès. En effet, les RH participent au processus des entrées et sorties des collaborateurs, mais au-delà de ces actions, elles jouent un rôle important dans la vérification des antécédents et dans la récupération des actifs informatiques à la fin des contrats. Ce sont aussi les RH qui doivent s’assurer que les chartes informatiques ont bien été signées, que la politique de sécurité à bien été remise aux collaborateurs et que les formations et la sensibilisation à la cybersécurité ont bien été dispensées. Si nécessaire, elles seront en charge d’appliquer les mesures disciplinaires.
  • A6. Mesures de sécurité applicables aux personnes
Sécurité physique
  • A l’aune de l’hybridation et du télétravail, la protection physique concerne particulièrement les datacenters et les armoires techniques dans les locaux. Cela implique la mise en place des processus et outils de sécurité physiques comme la gestion des accès par badge, les caméras de surveillance, les coffres-forts, la climatisation, les systèmes anti-incendie, etc. pour protéger les équipements.
  • A8. Mesures de sécurité technologiques
Sécurité des réseaux et infrastructures
  • La sécurité des réseaux est l’écart le plus constaté dans nos audits. Nous préconisons les mesures suivantes :
    • Maintenir une documentation de l’architecture réseau à jour,
    • Tracer et commenter les changements sur l’infrastructure,
    • Examiner et nettoyer régulièrement les règles des firewalls et autres équipements de sécurité, 
    • Renforcer la sécurité des équipements le plus critiques tels que les serveurs et routeurs,
    • S’assurer que l’exposition externe soit bien maîtrisée,
    • La directive incite à l’utilisation d’outils innovants, basés sur de l’IA tels que les XDR, SOAR et NDR,
    • Utiliser des mécanismes de chiffrement de bout en bout comme du VPN IPS SEC.
  • A8.6. Dimensionnement
  • A8.7. Protection contre les programmes malveillants (malware)
  • 18.9. Gestion des configurations
  • A8.20. Sécurité des réseaux 
  • A8.21. Sécurité des services réseau
  • A8.22. Cloisonnement des réseaux
  • A8.24. Utilisation de la cryptographie
  • A8.27. Principes d’ingénierie et d’architecture des systèmes sécurisés
La continuité et la gestion de crise
  • La directive préconise l’application du principe de tout risque, c’est-à-dire que votre plan de continuité avec toutes ses facettes doit être construit sur les scénarios les plus critiques et les plus impactants pour votre entreprise.
  • La sécurité doit être prise en considération même dans la phase de dégradation du service.
  • S’exercer et pratiquer, réaliser des tests de gestion de crise afin de pouvoir tester vos processus. Cela permettra aussi d’être prêt en cas d’incident de sécurité majeur.
  • A5.29. Sécurité de l’information pendant une perturbation
  • A5.30. Préparation des TIC pour la continuité d’activité
  • A8.13. Sauvegarde des informations
  • A8.14. Redondance des moyens de traitement de l’information
  • A8.15. Journalisation
Gestion des vulnérabilités
  • Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque. Nous préconisons d’adopter une approche pragmatique et adaptée à votre contexte :
    • Mettre en place un outil de gestion de vulnérabilité afin de découvrir vos faiblesses,
    • Bannir les applications non- essentielles sur vos équipements informatiques,
    • Automatiser l’application des correctifs sur vos postes de travail et serveurs,
    • Mettre en place une veille de sécurité, afin de détecter dans les temps les failles de sécurité comme les 0 days, et appliquer les patchs sans tarder. La bonne pratique est de déployer les correctifs sous 48h pour les équipements exposés, sous 7 jours pour les équipements critiques et sous 15 jours pour les autres équipements.
  • La plateforme libre de renseignements MISP peut aider efficacement au recueil des informations liées aux menaces informatiques.
  • A5.7. Renseignement sur les menaces
  • A8.8. Gestion des vulnérabilités techniques
  • A8.15. Activités de surveillance
  • A8.19. Installation de logiciels sur des systèmes opérationnels
Le développement sécurisé
  • L’application des pratiques de sécurité dans le développement est essentielle pour la sécurité de vos systèmes d’information. Le SecDevOps est une pratique assez répondue et maîtrisée aujourd’hui.
  • La réalisation des audits de sécurité et la correction des failles avant les publications des applications est primordiale.
  • A5.8. Sécurité de l’information dans la gestion de projet
  • A8.25. Cycle de vie de développement Sécurisé
  • A8.26. Exigences de sécurité des applications
  • A8.28. Codage sécurisé
  • A8.29. Tests de sécurité dans le développement et l’acceptation
  • A8.30. Développement externalisé
  • A8.31. Séparation des environnements de développement, de test et opérationnels
  • A8.33. Informations de test
Sécurité des tiers
  • La gestion des tiers est à renforcer. La sécurité est une chaîne dont la maturité est estimée être le maillon le plus vulnérable. Comme mesures de sécurité, nous préconisons de :
    • Identifier vos tiers TIC et autres,
    • Centraliser leur gestion au niveau d’un département bien identifié,
    • Définir les règles de gestion et vos exigences en termes de sécurité, par exemple, la certification ISO 27001 ou l’attestation SOC2 pour vos tiers les plus critiques,
    • Adapter vos contrats en y intégrant un plan d’assurance sécurité et le plan de réversibilité,
    • Mettre en place un plan d’audit de vos prestataires sur du moyen terme.
  • A5.19. Sécurité de l'information dans les relations avec les fournisseurs
  • A5.20. La sécurité de l'information dans les accords conclus avec les fournisseurs
  • A5.21. Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC)
  • A5.22. Surveillance, révision et gestion des changements des services fournisseurs
  • A5.23. Sécurité de l'information dans l'utilisation de services en nuage
Reporting et communication
  • La responsabilisation de la Direction envers la conformité cybersécurité est l’une des nouveautés de cette directive. La mise en place des KPI est donc la solution la plus simple à mettre en place :
  • Les KPI de niveau opérationnel vous permettront, par exemple, de suivre l’état de vos vulnérabilités, le nombre d’incidents de sécurité, la revue de vos comptes, etc.
  • Les KPI de niveau stratégique, vous permettront de suivre votre conformité à la norme ISO 27001, vos risques cybersécurité, les majeurs, l’avancement de votre plan de traitement des risques, etc.
  • 9.1. Surveillance, mesurages, analyse et évaluation
Incident de sécurité
  • La directive NIS 2 requiert un suivi des incidents de sécurité et une remontée par étape aux entités de gouvernance. Avant de pouvoir les remonter, assurez-vous d’avoir mis en place les éléments suivants :
    • Mettre en place un processus clair et compréhensible par l’ensemble des collaborateurs,
    • Catégoriser vos incidents selon votre méthodologie d’analyse de risque,
    • Sensibiliser vos collaborateurs à détecter et remonter les incidents de sécurité,
    • Outiller votre processus d’incident de sécurité avec des workflow automatisés,
    • Mettre en place des SLA/ OLA (Service Level Agreement/ Operating Level Agreement) pour la prise en charge et la correction des incidents de sécurité,
    • Lier ce processus aux processus de gestion des actifs, des vulnérabilités, des changements, de la continuité et de la crise.
  • A5.24. Planification et préparation de la gestion des incidents de sécurité de l’information
  • A5.25. Évaluation des événements de sécurité de l’information et prise de décision
  • A5.26. Réponse aux incidents de sécurité de l’information
  • A5.27. Tirer des enseignements des incidents de sécurité de l’information
  • A5.28. Collecte de preuves
  • A6.8. Déclaration des événements de sécurité de l’information
Formation et sensibilisation
  • C’est un classique de la cybersécurité mais, la nouveauté est l’obligation de formation et pas seulement la sensibilisation des dirigeants. Une formation sur 2 jours peut être une bonne réponse.
  • 7.2. Compétences
  • 7.3. Sensibilisation
  • A6.3. Sensibilisation, enseignement et formation en sécurité de l’information
Audit
  • Quoi de mieux qu’un audit de sécurité réalisé par des tiers pour connaître la maturité de votre organisation ? Le Graal étant d’introduire des contrôles de sécurité dans vos plans d’audits internes. Vous pouvez commencer par des audits de sécurité sur les éléments les plus critiques tels que : l’active directory, la revue de l’exposition externe, la revue de la configuration et des règles de firewalls ainsi que le diagnostic de conformité à l’ISO 27001 ou NIS 2.
  • 9.2. Audit interne
  • 10. Amélioration
  • A5.35. Révision indépendante de la sécurité de l’information
  • A5.36. Conformité aux politiques, règles et normes de sécurité de l’information
  • A8.34. Protection des systèmes d’information