Alors que la nouvelle directive NIS2 frappe aux portes de l’Europe, pourquoi l’automatisation pilotée par l’observabilité est essentielle pour s’y conformer
L’analyse de Ben Todd, RVP Security Solutions, EMEA, chez Dynatrace
Ces dernières années, les réglementations visant à garantir la sécurité et la responsabilité n’ont cessé d’évoluer dans un contexte où les organisations poursuivent leur course à l’innovation technologique. L’UE a ouvert la voie avec le RGPD et, plus récemment, la directive NIS2.
À ce jour, NIS2 constitue la directive la plus exhaustive en matière de cybersécurité à l’échelle européenne, voire mondiale. Il s’agit d’une évolution de la règlementation initialement introduite en 2016, qui a pour objectif d’imposer des exigences plus strictes en matière de gestion des risques et de déclaration d’incidents de cybersécurité, pour un plus grand nombre de secteurs, et avec des sanctions beaucoup plus sévères en cas de non-conformité. NIS2 doit être transposée dans le droit national d’ici le 17 octobre 2024, ce qui laisse moins d’un an aux organisations pour se préparer. Sachant que les processus habituels de mise en conformité prennent environ 12 mois et compte tenu du caractère extrêmement strict des exigences, il n’y a vraiment pas de temps à perdre.
Un défi de taille
Les cyberattaques sont de plus en plus fréquentes. La technologie utilisée pour stimuler l’innovation et les méthodes adoptées par les instigateurs de menaces sont de plus en plus intelligentes et puissantes.
La directive NIS2 vise à garantir que les organisations soient mieux protégées contre la sophistication et de la fréquence des cyberattaques. Mais le niveau de rigueur des exigences s’avère quelque peu décourageant, en particulier pour les secteurs et les organisations qui n’ont jamais eu à se conformer à des règlementations aussi strictes.
NIS2 impose, par exemple, des délais très courts pour déclarer les incidents de cybersécurité. En cas d’incident, les organisations doivent ainsi émettre une alerte rapide dans les 24 heures, puis une notification plus détaillée dans les 72 heures. Cette notification doit notamment inclure une évaluation initiale de l’incident indiquant sa gravité, son impact et les indicateurs de compromission. Un rapport final doit être fourni au bout d’un mois, pour montrer que des leçons peuvent être tirées des incidents précédents.
Ces exigences soulignent le fait qu’il ne suffit plus, pour une organisation, de démontrer qu’elle peut être auditée en cas de besoin, mais que les incidents de sécurité peuvent faire l’objet d’une enquête et être résolus rapidement et efficacement. En l’état actuel des choses, ces échéances sont quasi-impossibles à respecter si les équipes de sécurité ne disposent pas des bons outils.
Cela n’est pas un problème de ressources
Lorsque les organisations sont confrontées à de nouvelles exigences en termes de sécurité et de conformité, leur premier réflexe consiste, bien trop souvent, à assigner plus de ressources au problème. Bien qu’il soit évidemment important de mobiliser les bonnes compétences pour atteindre et maintenir la conformité, ce n’est pas une solution tenable sur le long terme dans la mesure où il n’y a tout simplement pas assez de spécialistes de la sécurité pour tous. NIS2 va encore aggraver cette pénurie de compétences du fait du grand nombre d’organisations concernées. Celles qui peuvent se permettre d’embaucher de grandes équipes de sécurité vont s’emparer de tous les talents avant que les autres n’en aient l’occasion.
La nature complexe des environnements multicloud et des pratiques de livraison dans le cloud transforment la façon dont les équipes de sécurité abordent la cybersécurité, ajoutant encore un autre défi pour se conformer à NIS2. Le développement logiciel est maintenant un processus continu, avec plus de releases et des cycles de tests plus courts pour les équipes de sécurité. Par conséquent, ces équipes sont davantage susceptibles de passer à côté de vulnérabilités. Une étude a montré que seuls 50% des RSSI sont pleinement convaincus que leurs logiciels ont été complètement testés pour détecter des vulnérabilités avant d’être mis en production.
Une solution intelligente
Pour se conformer aux exigences de NIS2 et mettre en place de solides capacités de gestion des vulnérabilités et des incidents, il est vital aujourd’hui d’optimiser et d’automatiser les processus d’analyses et de reporting en matière de sécurité. Il est humainement impossible de fournir le niveau de détails et de précision sur les incidents de cybersécurité requis par NIS2 dans les délais spécifiés via des approches manuelles. Les organisations ont besoin de données en temps réel sur l’état de leur sécurité et d’une visibilité complète sur leur environnement multicloud hybride.
Cela ne peut être réalisé qu’en faisant converger la sécurité avec les données d’observabilité, et en automatisant l’analyses des vulnérabilités au runtime pour obtenir des informations sur la gravité et l’impact des incidents. Grâce à ces informations, les équipes peuvent instantanément évaluer l’urgence de toute vulnérabilité et identifier quels systèmes ont été impactés pendant l’incident – ce qui est essentiel pour les rapports d’alerte précoce. Elles peuvent aussi accéder à des informations sur la manière de prioriser et de résoudre les problèmes, et donc agir rapidement. Cependant, pour collecter ces informations dans les délais serrés imposés par NIS2, les équipes de sécurité doivent automatiser le processus permettant d’extraire ces informations et les compiler dans des rapports et des notifications d’incidents.
Aller au-delà de la conformité
Les organisations doivent également réfléchir à la façon dont elles peuvent étendre ces capacités pour aller au-delà de la conformité à NIS2. Plutôt que de se concentrer uniquement sur la détection et le reporting des problèmes en production, elles devraient chercher à les empêcher de se produire, en adoptant un état d’esprit de sécurité par défaut. Il s’agit de s’assurer que la sécurité est gérée comme un composant critique dans le cycle de vie du développement logiciel. De nombreuses organisations affirment qu’elles l’ont déjà intégrée comme tel, mais la plupart le font manuellement et sans visibilité totale, ce qui en limite l’impact.
Les équipes de sécurité et de développement doivent, par exemple, travailler ensemble pour s’assurer qu’un logiciel n’est pas promu de façon trop précoce dans le pipeline – à moins que les deux équipes ne soient sûres qu’il est sécurisé. Les contrôles automatisés de qualité et de sécurité constituent un excellent moyen de supprimer le travail manuel impliqué dans ce processus. En combinant ces fonctionnalités avec les données d’observabilité, les vulnérabilités et les erreurs peuvent être automatiquement détectées, afin que les développeurs puissent les résoudre avant que le code ne passe à l’étape suivante de livraison.
Il est temps d’agir
L’échéance pour NIS2 approche à grands pas, et avec des exigences sans précédent, les organisations ne peuvent pas se permettre de tarder à réagir. Les régulateurs ne feront que durcir les obligations en matière de cybersécurité. Il est donc temps pour les organisations d’agir en s’assurant d’avoir la visibilité dont elles ont besoin pour garder une longueur d’avance en termes de conformité.