Les pannes ou les interruptions des infrastructures critiques suite à une cyberattaque peuvent avoir des conséquences dramatiques, comme des ruptures de stock et des perturbations au niveau de la sécurité publique. Avec la directive SRI2 (Directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union 2022), l’Union européenne entend renforcer la cyberrésilience des entreprises et instances critiques. Votre organisation est-elle concernée ? Le cas échéant, que devez-vous prendre en compte ?
La directive SRI2 est entrée en vigueur le 16 janvier 2023, et sera transposée dans la législation de chaque État membre de l’UE d’ici le 17 octobre 2024. Cette directive impose aux entreprises gérant des infrastructures critiques de se prémunir d’une longue liste des risques, tels que les erreurs humaines, la défaillance des systèmes, les actes malveillants et les phénomènes naturels, et de sécuriser de manière adéquate les systèmes qui assurent la sécurité de leurs réseaux et de leurs informations. Les organisations qui enfreignent cette directive s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial. Il vaut mieux donc être en règle.
Votre organisation est-elle concernée par la directive ?
Tout dépend de sa taille et du secteur dans lequel vous opérez. La directive concerne à la fois les secteurs « hautement critiques » et « critiques » :
|
Hautement critiques |
Critiques |
|---|---|
|
Transports |
Fabrication |
|
Énergie |
Gestion des déchets |
|
Secteur bancaire |
Services postaux et d’expédition |
|
Santé |
Secteur alimentaire |
|
Eau potable |
Fabrication, production et |
|
Eaux usées |
Fournisseurs numériques |
|
Infrastructure numérique |
Recherche |
|
Gestion des services TIC (b2b) |
|
|
Administration publique |
|
|
Espace |
Toutes les organisations de taille moyenne (51 à 249 collaborateurs ; chiffre d’affaires annuel < 50 millions d’euros) et les grandes organisations (+250 employés ; chiffre d’affaires annuel > 50 millions d’euros) sont également soumises à la législation.
Votre organisation est-elle « essentielle » ou « importante » ?
Les entreprises « hautement critiques » sont « essentielles », et les entreprises « critiques » sont « importantes ». Elles sont soumises aux mêmes exigences en matière de gestion de la cybersécurité et ont les mêmes obligations en matière de notification des incidents, mais le contrôle de la conformité diffère. Les organisations « essentielles » doivent mettre les mesures en place de manière proactive ; pour les organisations « importantes », une surveillance réactive — c’est-à-dire uniquement en cas d’incident cybernétique — suffit.
Les quatre exigences principales
Par rapport à la première version de 2016, la directive SRI2 comporte quatre nouvelles exigences principales :
1. Gestion des risques: Les organisations doivent faire face à tous les risques potentiels, y compris les erreurs humaines, la défaillance du système, les actes malveillants, les phénomènes naturels et la sécurité physique et de l’environnement des systèmes.
2. Responsabilité : Les cadres de niveau C doivent veiller à ce que les règles soient respectées. En cas d’infraction, ils seront tenus personnellement responsables et risqueront d’être suspendus.
3. Obligation de notification: La directive SRI2 contient des exigences détaillées en matière de notification des incidents de sécurité.
4. Continuité des activités: La directive SRI2 s’applique aux organisations qui fournissent des services d’importance vitale au fonctionnement de la société. En cas d’incident de sécurité, ces organisations doivent pouvoir s’appuyer sur des plans garantissant la continuité de leurs activités, tels que la récupération des systèmes, les procédures d’urgence et la mise en place d’une équipe d’intervention en cas de crise.
Les dix mesures de base
Les organisations soumises à la directive SRI2 doivent prendre dix mesures de base pour prévenir les incidents de sécurité et en minimiser l’impact :
1. Politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information
2. Gestion des incidents
3. Continuité des activités (gestion des sauvegardes, reprise des activités, gestion des crises, etc.)
4. Sécurité de la chaîne d’approvisionnement
5. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités
6. Politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
7. Pratiques de base en matière de cyberhygiène et formation à la cybersécurité
8. Politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement 9. Sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs
10. L’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communication vocale, vidéo et textuelle sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins
Aurelium se fera un plaisir de préparer votre organisation à l’application de la directive SRI2
Nous proposons de nombreuses solutions de sécurité professionnelles qui aideront votre organisation à répondre à certaines des exigences principales de la directive SRI2, telles que :
- Gestion et maintenance des incidents, y compris la gestion et la divulgation des vulnérabilités
- Continuité des activités avec gestion des sauvegardes
- Authentification à plusieurs facteurs
Contactez-nous pour plus d’informations !
