Homme d’affaires utilisant son ordinateur portable avec, au premier plan, l’icône d’un cadenas et des icônes de réseaux Internet (HUD)

NIS2, DORA et le rôle majeur du stockage chiffré - Avis d’expert

Alors que les organisations sont confrontées à un nombre croissant d’attaques de cybersécurité, il est important pour elles de comprendre les dernières réglementations et de s’y conformer.

Précédemment, nous avions interviewé David Clarke, expert chevronné en cybersécurité, pour discuter de l’évolution des comportements à l’égard du stockage chiffré. Cette fois-ci, nous avons demandé à David de nous faire part de ses réflexions sur la directive NIS2 et la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) et leurs implications.

M. Clarke a acquis une vaste expérience en gérant la sécurité des plus grands réseaux commerciaux privés du monde et en dirigeant l’un des plus grands centres opérationnels de sécurité d’Europe. Vous trouverez ci-dessous les principales informations, ainsi que l’intégralité de la vidéo de cette interview.

Présentation de la directive NIS2

La directive NIS2 vise à renforcer la résilience de la cybersécurité des infrastructures critiques dans l’ensemble de l’UE. M. Clarke explique que cette directive vise les secteurs qui, en cas de compromission, pourraient avoir des répercussions importantes sur une grande partie de la population. Il s’agit d’industries telles que l’aviation, le transport maritime, l’agriculture et les grandes chaînes de distribution, pour ne citer qu’elles. En outre, NIS2 inclut désormais les fournisseurs de services informatiques gérés, étant donné qu’ils sont susceptibles d’affecter de nombreux clients en cas de compromission.

Cette directive souligne l’importance de la cyber-résilience et de la gestion des tiers. Les entreprises doivent également démontrer qu’elles gèrent efficacement leurs fournisseurs de services informatiques afin de respecter les normes de cybersécurité requises. Le non-respect de cette obligation peut entraîner des amendes allant jusqu’à 2 % du chiffre d’affaires mondial (ou 10 millions €, le montant le plus élevé étant retenu). Même en l’absence de violation, les entreprises peuvent se voir infliger une amende si elles ne fournissent pas de preuves suffisantes de leur conformité.

Comprendre la réglementation DORA

La réglementation DORA (Digital Operational Resilience Act), quant à elle, se concentre exclusivement sur le secteur financier. Entrant en vigueur en janvier 2025, elle impose des mesures de cybersécurité strictes pour garantir la résilience opérationnelle des institutions financières.

M. Clarke souligne que les amendes prévues par DORA peuvent atteindre 1 % du chiffre d’affaires mondial, avec la possibilité d’amendes journalières si les problèmes ne sont pas corrigés rapidement. DORA exige des institutions financières qu’elles effectuent des tests de pénétration des menaces, et qu’elles s’assurent qu’il n’y a aucun point de défaillance unique dans leurs systèmes.

Signalement des incidents et transfert international de données

Les réglementations NIS2 et DORA exigent toutes deux que les incidents soient signalés de manière détaillée aux organismes de réglementation compétents. M. Clarke fait remarquer que DORA prévoit un délai de signalement de 72 heures, avec des lignes directrices claires sur les informations à inclure, comme le nombre de clients touchés et la nature des risques.

S’agissant des transferts internationaux de données, M. Clarke insiste sur la nécessité d’adopter des pratiques sûres. DORA, par exemple, exige des entreprises qu’elles testent leurs plans de continuité des activités et qu’elles fournissent des preuves de leur efficacité. Cela permet de s’assurer qu’elles sont en mesure de faire face aux incidents et de démontrer leur niveau de préparation.

Transformer la conformité en opportunité commerciale

M. Clarke estime que la conformité réglementaire peut constituer une opportunité commerciale importante. Le fait de pouvoir démontrer sa conformité avec les normes de cybersécurité et de protection des données peut ouvrir la voie à des contrats gouvernementaux et à des partenariats avec de grandes entreprises. Ces entités exigent souvent des petites entreprises qu’elles fournissent des preuves de leurs mesures de cybersécurité afin d’atténuer leurs risques de responsabilité.

Avantages du chiffrement matériel

Pour être conformes à NIS2 et à DORA, les clés USB doivent être dotées de fonctionnalités de sécurité robustes. M. Clarke souligne l’importance du chiffrement matériel, qui présente plusieurs avantages par rapport aux solutions logicielles. Le chiffrement matériel est un écosystème fermé qui offre une sécurité et des protections solides contre les attaquants.

Le chiffrement logiciel appliqué au stockage mobile, en revanche, peut être facilement supprimé par reformatage, ce qui compromet la conformité et augmente le risque de violation des données. En outre, les fichiers protégés par mot de passe et à chiffrement logiciel peuvent être piratés à l’aide d’outils visant à deviner le mot de passe, lesquels sont facilement accessibles en ligne.

Lorsqu’on lui demande si les organisations devraient considérer la certification FIPS du NIST comme l’« étalon-or ». « Absolument. » M. Clarke affirme : « Il y a eu plusieurs exemples où des organisations ont prétendu avoir une meilleure sécurité et un meilleur chiffrement. Or, ça n’étais pas le cas, le système a été violé ».

Les clés USB Kingston IronKey D500S et Keypad 200 offrent la certification FIPS 140-3 de niveau 3 (en cours), afin que les organisations puissent être sûres que les données sensibles sont protégées, grâce à l’une des protections de chiffrement de niveau militaire les plus puissantes sur le marché aujourd’hui. Pour un stockage de grande capacité, les SSD externes certifiés FIPS 197 IronKey Vault Privacy 80 offrent jusqu’à 8 To, ce qui permet d’effectuer des sauvegardes isolées des données critiques.

Conclusion

Les menaces de cybersécurité continuent de s’intensifier et de se propager, et c’est pourquoi les directives et les réglementations telles que NIS2 et DORA jouent un rôle essentiel pour garantir la résilience des infrastructures critiques et des institutions financières. Les observations de M. Clarke soulignent l’importance de la conformité, du signalement efficace des incidents, des mesures de sécurité robustes et de l’utilisation d’un stockage chiffré. En adoptant ces réglementations, les organisations peuvent non seulement améliorer leur position en matière de sécurité, mais aussi se démarquer en faisant de la conformité un avantage concurrentiel.

Regarder la vidéo complète

#KingstonIronKey

Icône Demandez à un expert de Kingston sur un circuit imprimé de chipset

Demandez à un expert

Pour planifier la bonne solution, les objectifs de votre projet de sécurité doivent être clairement définis. Les experts de Kingston Technology sont là pour vous aider.

Demandez à un expert.

Articles Kingston IronKey

Articles