Directive NIS2 : être conforme et garantir la souveraineté des données avec Cubbit
D’ici le mois d’octobre, un grand nombre d’organisations devront se conformer à la Directive de l’UE 2022/2055, rebaptisée NIS2, pour doter l’Europe d’un plus haut niveau de sécurité et de résilience.
La directive NIS2 de l’UE (2022/2055) a pour objectif de renforcer la cybersécurité et la résilience des organisations privées et publiques au sein de l’Union européenne. Adoptée en janvier 2023, elle ne représente pas une grande nouveauté, car la nouvelle directive sur la sécurité des réseaux et des systèmes d’information est la mise à jour d’une série de dispositions qui remontent à 2016 et qui élargissent l’éventail des sujets concernés.
La NIS2 devra être appliquée par les États membres de l’UE d’ici le 17 octobre 2024. Il reste donc peu de temps pour se mettre en conformité afin d’éviter des pénalités qui pourraient atteindre les 10 millions d’euros dans les cas les plus graves de manquement aux obligations.
Le choix du partenariat technologique devient une étape cruciale, surtout lorsqu’il s’agit de la sécurité des données. Quels sont les critères idéaux à prendre en compte pour sélectionner un fournisseur cloud ? Nous tenterons de répondre à cette question à travers l’analyse des fonctionnalités d’une solution de stockage cloud géo-distribué, souverain et hyper-résilient qui étend ses services à travers l’Europe : Cubbit. Voici pourquoi la localisation des centres de données garants de la souveraineté et le niveau de protection des données sont des requis fondamentaux pour la conformité à la NIS2.
NIS2: objectifs et acteurs concernés
La directive NIS2 vise principalement à renforcer la cybersécurité au sein de l’Union européenne, en particulier dans un contexte de croissance des cybermenaces, toujours plus complexe, et dont une partie est désormais générée par l’IA. Les organisations concernées par les obligations de conformité doivent dès maintenant s’informer et promouvoir une culture de la sécurité. Cette mise à jour permet un champ d’application de la directive étendu à un plus grand nombre de secteurs, et applique des lignes directrices communes pour uniformiser les législations nationales.
La NIS2 identifie de nouvelles catégories d’entités “essentielles” et “importantes”. Parmi les “essentielles”, se trouvent l’administration publique, désormais classée comme aussi importante que les organisations opérant dans les secteurs critiques comme la santé, l’énergie, la banque et la finance, le spatial, les transports, l’eau et les infrastructures digitales. Les acteurs “importants” sont, quant à eux, les secteurs de la chimie et de l’agroalimentaire, la gestion des déchets, les services postaux et de messagerie, ainsi que les services digitaux. Cela signifie donc que les moteurs de recherche, les réseaux sociaux, les fournisseurs cloud et les sites de e-commerce devront également se conformer à la directive NIS2.
La directive prévoit, dès son application, la soumission à la surveillance des acteurs “essentiels”. Pour les “importants”, les mesures de surveillance seront appliquées a posteriori, une fois les preuves de non-conformité identifiées. Toutefois, Il convient de garder à l’esprit que d’ici le 17 avril 2025, les États membres devront, tous les deux ans, mettre à jour la liste des parties “essentielles” et “importantes” soumises aux obligations (y compris les prestataires de services d’enregistrement de noms de domaine). Le nombre d’organisations appelées à être conformes pourrait ainsi augmenter, notamment en fonction du niveau de risque pour la sécurité, et indépendamment de la taille.
Être conforme à la NIS2 implique l’adoption de mesures techniques, opérationnelles et organisationnelles prévues par la loi. Nous verrons en quoi consistent ces actions, quelles sont les conséquences de la non-conformité et en quoi Cubbit, un service de stockage cloud sûr, efficace et complètement conforme, représente une solution idéale pour les entreprises qui souhaitent renforcer la valeur ajoutée de leurs données.
NIS2 : le chemin vers la conformité
La NIS2 impose aux organisations concernées d’indiquer leurs ressources, leurs processus et services, car soumis aux mesures de sécurité prévues. Chaque secteur peut être audité différemment mais l’objectif reste le même : protéger les systèmes, les données et les réseaux grâce à une méthode de protection contre diverses typologies de risques, qu’il s’agisse de menaces externes ou internes.
Le déploiement de ces mesures, dont l’efficacité sera prouvée par des procédures spécifiques, inclut également la mise en place de politiques d’analyse des risques et de la sécurité des systèmes. Il est ensuite nécessaire d’adopter une gestion efficace des potentiels incidents et crises (reprise après sinistre), ainsi que garantir la continuité des activités grâce à la disponibilité de sauvegardes. La formation du personnel à la cybersécurité et l’adoption de stratégies de contrôle d’accès par les ressources humaines revêtent également une importance particulière. En parallèle, il est crucial de protéger les comptes et les données via la double-authentification ou l’authentification continue, et assurer la sécurité des communications textuelles, vocales et filmées. L’usage de la cryptographie et du chiffrement doit être encadré par des stratégies et procédures bien précises.
La Directive exige que les organisations vérifient la sécurité des systèmes et des réseaux lors de la phase d’acquisition, de développement et de maintenance, en prévoyant également les aspects liés à la gestion des vulnérabilités et de leur divulgation. Tous les acteurs de la chaîne d’approvisionnement doivent offrir un niveau de fiabilité élevé car le moindre élément non conforme (même un seul) pourrait être préjudiciable pour la sécurité de la chaîne dans son intégralité.
Il est également obligatoire de signaler les incidents. Les plus graves doivent être reportés aux autorités compétentes de l’État, qui à leur tour, le notifient aux autres autorités nationales et à la Commission européenne pour améliorer la collaboration et la coordination au sein de l’Union. Parmi les “incidents graves”, se trouvent par exemple des attaques informatiques à grande échelle, la violation de données personnelles ou sensibles, la soustraction d’informations confidentielles et les interruptions des prestations de services.
Pourquoi choisir Cubbit pour la conformité NIS2 ?
La migration des données d’entreprise de l’On-premise (stockage sur site) vers le cloud prenant de plus en plus d’importance, ce dernier a eu un rôle déterminant dans la définition des obligations de la directive NIS2. De ce fait, Cubbit offre un service de stockage cloud compatible avec le protocole S3, et par essence conforme pour n’importe quelle entité étant dans l’obligation de sécuriser ses données, indépendamment des dimensions.
Dans ce contexte, l’approche hyper-résiliente de Cubbit en matière de conservation des données est fondamentale. Plus de 5 000 partenaires, clients et entreprises font confiance à ses solutions : le fournisseur met à disposition une plateforme à risque zéro contre tout événement susceptible de compromettre les données ou d’entraîner leur perte. Cela est dû à plusieurs techniques : la fragmentation entre plusieurs nœuds géo distribués, la réplication multi-serveurs, puis la redondance. Les informations stockées sont ainsi toujours intactes, disponibles et accessibles, même en cas de pannes matérielles, de dysfonctionnements majeurs, de catastrophes naturelles ou de cyber attaques.
La protection des données est optimale notamment grâce à la cryptographie via le standard AES-256 avant la fragmentation et la distribution sur des nœuds. Tout ce processus se déroule sur des serveurs situés dans l’Union européenne ; aucune information n’est transmise à un tiers, ce qui procure un niveau de souveraineté numérique parfaitement conforme avec la directive NIS2. La fragmentation est, quant à elle, une garantie de confidentialité car uniquement les propriétaires des données peuvent y avoir accès. Les utilisateurs ont alors un contrôle total sur l’information grâce à une gestion granulaire des accès et des autorisations. Des solutions comme Cubbit DS3 Composer permettent en outre de créer et de personnaliser ses propres services de stockage cloud en quelques minutes, avec possibilité de l’adapter à tout moment, selon les besoins et exigences.
Le modèle de stockage adopté est celui du P2P (peer-to-peer). En effet, le système d’allocation dans le cloud de Cubbit n’est pas centralisé : dans chaque nœud sont conservés uniquement des petits fragments indifférenciables les uns des autres, ce qui signifie que même en présence d’un nœud endommagé, les données sont récupérables, et la violation ou le dysfonctionnement d’un nœud déclenche automatiquement la redistribution des autres restés intacts. Tout cela sans interruption des activités.
Sanctions en cas de non conformité
Ne pas être conforme à la directive NIS2 peut mener à des sanctions extrêmement sévères et onéreuses, qui varient selon la violation alléguée, la classification attribuée à l’organisation concernée et le montant du chiffre d’affaires. Les “acteurs essentiels” risquent des pénalités jusqu’à 10 millions d’euros, ou jusqu’à 2% du chiffre d’affaires annuel mondial. Les acteurs “importants” peuvent quant à eux encourir une amende de maximum 7 millions d’euros ou bien jusqu’à 1,4% du chiffre d’affaires annuel mondial. Le calcul de la pénalité se fait en prenant en compte le plus élevé des deux montants.
Le stockage cloud de Cubbit, en plus d’éviter toute amende, permet de réduire les coûts d’exploitation jusqu’à 80% par rapport aux hyperscalers mondiaux comme AWS. Pourquoi prendre des risques, outre la cybersécurité, quand on peut aussi optimiser les investissements ?
Conclusion
Au-delà des sanctions prévues en cas de non conformité, suivre la directive NIS2 est fondamental pour garantir la sécurité totale et continue de ses données et celles de ses clients. Être conforme, c’est notamment choisir un partenaire en mesure d’assurer des niveaux de durabilité très proches de 100% (15×9 dans le cas de Cubbit), de respecter la confidentialité, de protéger contre les cyberattaques (dont les ransomware et DDoS), et de garder un contrôle total sur les données conservées. Cubbit est un service européen de stockage cloud qui opère via une plateforme géo-distribuée et souveraine, critères qui en fait une solution idéale pour la cybersécurité.
En savoir plus : https://www.cubbit.io/