NIS2, les CISO en première ligne
La mise en œuvre de NIS2 s’organise. L’influence sur les décisions en matière de cybersécurité s’éloigne de l’opérationnel pour migrer vers d’autres fonctions, comme le CISO
« 95 % des organisations s’attendent à ce que la responsabilité en matière de cybersécurité OT passe des directeurs et des managers aux CISO au cours des 12 prochains mois », estime Fortinet dans une récente étude sur l’implémentation de NIS2
Les résultats révèlent également que les professionnels de la sécurité OT proviennent désormais de la sécurité informatique, plutôt que du développement produit. L’influence sur les décisions en matière de cybersécurité s’éloigne de l’opérationnel pour migrer vers d’autres fonctions, comme le CISO.
NIS2, les CISO seraient donc en première ligne. NIS2 ne traite pas explicitement des actifs et des réseaux OT et IoT, mais les inclut implicitement dans ses nombreuses exigences. Il s’agit donc de s’y préparer. La nouvelle législation entrera en vigueur en octobre 2024 et renforcera la résilience collective des infrastructures critiques européennes en appliquant sept grandes exigences de sécurité.
Inclure la technologie opérationnelle
« La prochaine législation NIS2 s’avérera être un défi de taille pour les organisations essentielles et importantes représentant les secteurs des infrastructures critiques », estime Nozomi Networks, qui a récemment dirigé une enquête pour évaluer l’état de préparation à l’alignement de la sécurité OT et IoT sur la directive NIS2. Basée sur des entretiens avec 300 décideurs en matière de sécurité informatique en Allemagne, en France, en Suède et aux Pays-Bas, l’étude montre que malgré des priorités concurrentes, une attention particulière doit être accordée à la gestion des risques au-delà de l’informatique pour inclure la technologie opérationnelle. En fin de compte, NIS2 met l’accent sur l’examen critique et l’amélioration des politiques et procédures pour les mesures de gestion des risques de cybersécurité. Les exigences comprennent l’adoption de politiques d’analyse des risques et de sécurité de l’information, de mécanismes de gestion des incidents, de continuité des activités et de gestion des crises. Les spécificités de la sécurité incluent également la sécurité obligatoire de la chaîne d’approvisionnement, la sécurité des réseaux et des systèmes d’information, ainsi que l’utilisation de la cryptographie et du cryptage.
De plus en plus, les responsables informatiques sont dépêchés pour évaluer les exigences de connectivité et de sécurité OT et IoT afin de protéger leurs entreprises contre les accès non autorisés, les manipulations et les temps d’arrêt involontaires dus à des attaques atteignant ou contournant les actifs OT et IoT.
NIS2, responsabilité transférée aux CISO
En Europe aujourd’hui, cependant, les répondants à l’enquête de Nozomi Networks ont indiqué que « alors qu’un peu plus d’un tiers des organisations confient la responsabilité ultime au CISO (35 %), de nombreuses autres s’appuient sur le service informatique dans son ensemble (24 %) et/ ou la technologie opérationnelle (18 %), entre autres. » Ces réponses indiquent jusqu’où les dirigeants doivent aller pour transférer cette responsabilité aux CISO. Parallèlement, les personnes interrogées ont également indiqué que la formation et l’éducation constituent le domaine politique le moins mature pour leur entreprise, suivies par la gestion des vulnérabilités.
Dans l’ensemble, les perspectives d’appropriation de la cybersécurité OT et IoT peuvent de plus en plus croître en termes de responsabilité, de formation, de sensibilisation et d’action. Selon les responsables informatiques interrogés, « la responsabilité de la sécurisation des OT et des appareils et réseaux IoT est partagée entre les parties prenantes internes et les tiers externes ».
Plus d’informations pour une vision précise
Autre interrogation : dans quelle mesure les dirigeants sont-ils prêts à défendre les réseaux OT et IoT ? Les réponses des organisations et des décideurs indiquent une large dépendance à l’égard de fournisseurs de services managés externes pour le conseil, la veille sur les menaces et la réponse aux incidents. Lorsqu’on leur demande si leurs organisations effectuent et mettent régulièrement à jour une analyse des risques liés aux systèmes d’information critiques, 50 % suivent un calendrier lorsqu’il s’agit de réaliser et de mettre à jour une analyse des risques. 34 % effectuent/mettent à jour l’analyse des risques des systèmes critiques de manière ponctuelle. Étonnamment, 15 % d’entre eux ne procèdent actuellement à aucune analyse des risques.
De son côté, McKinsey avance que « environ 96 % des chefs d’entreprise indiquent la nécessité d’investir dans la cybersécurité OT, et environ 70 % de ceux qui ont investi dans ce domaine sont confrontés à des défis de mise en œuvre ». De toute évidence, la clé d’une surveillance efficace du réseau et d’une gestion des risques réside dans l’utilisation des informations pour fournir une vision précise des risques.
Armée d’informations, une organisation peut identifier les risques et les menaces actives dans son environnement. L’adoption d’une double approche (composée d’éléments descendants et ascendants) pour évaluer la cybersécurité des OT permet aux organisations d’identifier rapidement les risques critiques pour les environnements et les opérations OT. Il s’agit d’un point de départ clé pour les organisations industrielles dans leur démarche visant à assurer une protection contre les cyberattaques qui présentent un risque pour leurs opérations.
Le titre est un peu accrocheur, mais le contenu semble en décalage avec NIS2.
NIS2 fait la promotion de la culture du risque, et en soit le CISO sera effectivement la pierre angulaire de cette culture.
Par contre, la responsabilité sera transmis aux organes de directions aux dessus du CIO.
Cf : Article 20 et Note 133