La nouvelle directive NIS2 (directive sur la sécurité des réseaux et de l’information) arrive à grands pas et aura un impact important sur les organisations en Belgique comme dans le reste de l’Union européenne.
Pour préparer votre entreprise à ce changement, voici les 7 étapes essentielles que nous suivons en tant que société IT pour rendre une organisation conforme à la directive NIS2.
1. Faites l’inventaire des vulnérabilités
Inventorier les vulnérabilités signifie identifier les appareils, logiciels et données présents dans votre organisation pour savoir ce qu’il faut protéger. On ne peut maîtriser les risques que si l’on sait où ils se trouvent.
En vérifiant, par exemple tous les six mois, ce qui a changé dans votre infrastructure IT, vous détectez les faiblesses exploitables par des logiciels malveillants.
Il est aussi essentiel de prévoir un plan pour les incidents : effectuez des sauvegardes régulières de vos données importantes et veillez à pouvoir les restaurer rapidement. Ne stockez pas ces sauvegardes uniquement sur l’appareil lui-même ou dans le cloud : faites également une copie physique mise à jour fréquemment. Ainsi, vous pourrez reprendre vos activités rapidement après un incident.
2. Prévenez les virus et les malwares
Un antivirus standard est un bon début, mais il ne suffit pas à se protéger contre des menaces avancées comme les cryptolockers – des malwares qui chiffrent vos données et se répandent dans le réseau.
Il est donc crucial de recourir à des outils supplémentaires comme la détection des ransomwares et des solutions EDR (Endpoint Detection and Response). Ces technologies vont plus loin que l’antivirus classique en repérant les comportements suspects.
Avec une solution comme Secure4Device, vous bénéficiez d’une protection de haut niveau grâce à une combinaison d’outils puissants, de mises à jour régulières et d’une équipe de sécurité disponible 24/7 pour intervenir en cas de menace critique.
3. Préparez-vous au pire avec un plan de continuité
Même en étant prudent, un incident peut survenir. Mettez donc en place un plan de sauvegarde et de reprise d’activité, aussi appelé Business Continuity Plan.
Ce plan limite l’impact des problèmes IT, comme une défaillance matérielle, un bug logiciel ou une attaque par ransomware.
Un bon plan doit répondre aux questions suivantes :
- Quels systèmes utilisons-nous ?
- Que faire dans chaque scénario ?
- Qui doit intervenir dans chaque cas ?
- Comment se déroule le processus de rétablissement ?
Protégez toutes vos données, qu’elles soient hébergées localement, dans le cloud ou dans des solutions SaaS comme Microsoft 365.
Distinguez les données importantes des processus critiques pour déterminer si une simple sauvegarde suffit ou s’il faut une solution de continuité complète.
4. Choisissez toujours des paramètres sécurisés
Les réglages par défaut des appareils et applications ne sont pas optimisés pour la sécurité, mais pour la facilité d’utilisation. Cela peut laisser des failles, comme des mots de passe par défaut non changés.
Quelques conseils pratiques :
- Utilisez des mots de passe forts et uniques : un mot de passe de 8 caractères peut être cassé en 8h ; avec 10 caractères, il faut 5 ans. Utilisez un générateur et un gestionnaire de mots de passe.
- Activez l’authentification multi-facteur (MFA) : une couche de sécurité essentielle.
- Configurez les pare-feux sur tous vos appareils, pas uniquement à la frontière du réseau.
- Mettez en place une journalisation suffisante : utile pour détecter les activités suspectes.
- Contrôlez régulièrement vos paramètres : évitez les changements non autorisés et la « shadow IT ».
5. Effectuez vos mises à jour
On râle souvent devant une mise à jour, mais il vaut mieux ne pas les repousser : 60 % des failles de sécurité sont dues à des systèmes non à jour.
Nos conseils :
- Activez les mises à jour automatiques pour rester protégé.
- Abonnez-vous aux alertes de vos fournisseurs.
- Utilisez des outils RMM pour planifier et gérer les cycles de mises à jour.
- Éliminez les logiciels obsolètes qui ne reçoivent plus de correctifs.
6. Limitez les accès
L’accès physique aux bâtiments et équipements IT est souvent négligé. Une personne ayant un accès direct à un ordinateur peut causer de nombreux dégâts : dégâts matériels, installation de malware via clé USB, etc.
Voici quelques bonnes pratiques :
- Documentez les accès utilisateurs : qui a accès à quoi, avec quels droits et pourquoi ?
- Utilisez des comptes individuels : pour mieux tracer les actions.
- Imposez des mots de passe forts et la MFA.
- Limitez l’accès physique aux locaux sensibles.
- Activez le verrouillage automatique après 3-5 minutes d’inactivité.
- Mettez à jour les droits d’accès après tout changement de rôle.
Avec le télétravail, ces mesures deviennent encore plus critiques. Utilisez une solution IAM (Identity and Access Management) pour contrôler et sécuriser les connexions à distance.
7. Formation et sensibilisation
La cybersécurité repose sur trois piliers : les personnes, les processus et la technologie. Et c’est souvent l’humain le maillon faible.
Formez vos collaborateurs aux bonnes pratiques pour réduire les risques.
Assurez-vous que tous connaissent la politique de cybersécurité et sachent réagir face à une tentative de phishing, par exemple.
Répétez ces formations au moins deux fois par an pour en faire une habitude.
* Ce contenu est basé sur les 7 principes fondamentaux SECURE7 définis par la Dutch Cybersecurity Assembly.
