NIS2 5/6 : si vous avez suivi cette série en video+BD consacrée à la Directive NIS2, vous connaissez maintenant la sauce à laquelle votre entité va être mangée…
Si vous sentez que vous n’avez pas encore toutes les informations à votre disposition, voici la manière dont vous pouvez réviser le « problème » :
Voici la liste des épisodes à réviser si vous prenez cette série « comprendre NIS2 » en cours de route :
épisode #1/6 : POURQUOI une Directive cyber sécurité version 2 (6 ans après la Directive NIS#2016) ?
épisode #2/6 : C’est pour QUAND et avec quelles SANCTIONS ?
épisode #3/6 : QUI sera entité ESSENTIELLE ou importante ?
épisode #4/6 : QUELLES MESURES techniques de sécurité, obligatoires, à déployer ?
A partir de l’épisode NIS2 5/6, nous allons traiter de quelques points spécifiques « à connaitre » lorsqu’on s’intéresse à la Directive NIS2 (même avant la loi de transposition).
Et aujourd’hui, voyons le risque que font peser les prestataires IT sur leurs clients (vous savez, les « entités financières« ).
Le risque en question s’appelle supply-chain (cyber) attack (ou, en Molière dans le texte « attaque cyber de la chaine d’approvisionnement des Technologies de l’Information et de la Communication« ). [on va faire simple, on va dire « supply-chain cyber attack »)
Car les prestataires IT sont – c’est un constat – les maillons faibles de la chaine de cyber-sécurité.
Alors l’UE impose des règles de cyber sécurité aux entités financières, à charge pour elles de la répercuter – techniquement et contractuellement – sur leurs prestataires de traitement de données (hébergement, stockage, IaaS, PaaS ou SaaS, et même pour les éditeurs à licence « on prem »).
Et pour « motiver » les éditeurs, la responsabilité d’une « non-compliance » sera supportée par principe par l’entité financière.
A charge – bien sur – pour l’entité qui aurait été condamnée de se retourner contre son prestataire défaillant…
Bon, maintenant que vous connaissez le risque, voyons ce que la Directive NISv2 va imposer à ces prestataires IT pour tenter d'y remédier... L'épisode NIS2 5/6 est accessible dans le player ci-dessous.
J’ai peur que la Commission Européenne, comme la plupart des autorités de controle type ANSSI, aient bien anticipé le problème : quelles mesures de sécurité seront déployées pour de vrai par les prestataires IT des entités #critiques / #essentielles / #importantes ?
Prenons une métaphore (une métaphore simple pour juristes…).
C’est bien d’ériger des murailles autour du donjon (le système d’information des entités #essentielles). C’est la base.
Mais si « n’importe qui » peut rentrer « n’importe comment » via « n’importe où » et faire « n’importe quoi » : à quoi tout ce bazar servira-t-il ?
C’est l’exposé de ce dispositif technique et juridique qui est l’objet de notre épisode #5. Pour les entités et leurs prestataires IT donc (je sais que je me répète mais le message a apparemment du mal à passer chez certain(e)s concerné(e)s…).
Il vous restera à subir un dernier épisode pour prétendre avoir fait un tour d'horizon de la Directive NIS2
Dans ce dernier épisode à venir le mardi 25 juillet, avant de probables vacances estivales bien méritées (???), nous traiterons de l’encadrement des scans de sécurité (mais qu’est-ce donc?), de la collecte et du partage des indicateurs de compromission (« IoC » pour les intimes) et du rôle essentiel (sans jeu de mot) des CERT / CSIRT. Avec l’intervention d’un invité mystère qui connaît bien ces problématiques (n’est-ce-pas, Patrice ?).
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!
« Fléau des dieux (Le) » série EX-CEP-TION-NELLE en 6 tomes par Valérie Mangin et Aleksa Gajic (dessinateur et coloriste de génie) © éditions Soleil 2000-2006
« Hercule » série complète (et proprement remarquable) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017
« Nef des Fous (La) » 12 tomes vraiment géniaux + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur !