NIS compliance 4.0
Une approche pragmatique et globale
La digitalisation offre de nombreux avantages, mais rend la cybersécurité plus essentielle que jamais. Selon l’ENISA (European Union Agency for Cybersecurity), ce serait même une base indispensable avant toute transition vers l’Industrie 4.0. Un constat qui s'applique à toutes les entreprises, mais plus encore aux opérateurs de services essentiels.
Vous faites partie des entreprises qui fournissent des services essentiels en Belgique dans le domaine de l’énergie, des transports ou de l’eau potable ? Dans ce cas, vous devez sans doute vous conformer à la directive européenne sur la sécurité des réseaux et des systèmes d'information (NIS), transposée dans la législation belge le 3 mai 2019. Pour une conformité immédiate et totale à la loi NIS, faites appel à l’offre unique d’IC4, Siemens et Vandelanotte : la « NIS compliance 4.0 ».
Elle peut aussi vous être utile si votre entreprise n’est pas directement concernée par la loi NIS. Car abstraction faite du volet juridique, cette approche peut être considérée comme une meilleure pratique en matière de cybersécurité tant pour l’IT que pour l’OT. Elle s’appuie sur des normes internationales reconnues (ISO 27001 et IEC 62443).
Vous aimeriez en savoir plus sur cette approche ?
Aucune personne, aucune entreprise n’est à l’abri du risque. La question n’est pas de savoir si vous serez victime d’une cyberattaque, mais quand. Pour se protéger, on compte généralement sur la technologie : les pare-feux et les logiciels antivirus, par exemple. Mais le facteur principal reste l’utilisateur. S’il n’est pas suffisamment conscient des risques, votre entreprise restera une proie facile pour les pirates. Il est donc extrêmement important de mettre en place une organisation dans laquelle les responsabilités sont clairement définies et de sensibiliser au maximum les collaborateurs à la cybersécurité. Et il faut toujours se préparer au pire des scénarios. Un plan de réponse aux incidents est donc indispensable.Kurt Callewaert, Head of Research Applied Computer Science à la HOWEST
La plupart des entreprises industrielles sont déjà largement automatisées et se sentent prêtes à passer de l’Industrie 3.0 à l’Industrie 4.0. Dans cette transformation, la cybersécurité devrait toujours être leur première priorité. Car les projets innovants dans des domaines comme l’analyse des données, l'intelligence artificielle, les jumeaux digitaux et l’IIoT auront d'autant plus de succès qu’ils seront fondés sur des bases solides. Il faut voir la cybersécurité comme les fondations d'un gratte-ciel.Augustijn Degrieck, spécialiste Industry 4.0 chez Siemens
Votre entreprise ne respecte pas la législation NIS ? Elle s’expose à de lourdes sanctions. Peine d’emprisonnement, amende jusqu’à 50.000 euros (à multiplier par 8) ou sanction administrative d’un montant pouvant aller jusqu'à 200 000 euros : ce sont des choses que l’on préfère éviter. Chaque personne de votre organisation doit donc savoir ce que l’on attend d’elle !Nikolas Vandelanotte, CEO de Vandelanotte
Comment devenir « NIS compliant » en 4 étapes ?
Les opérateurs de services essentiels ont quatre étapes à franchir pour se conformer totalement à la législation NIS belge.
Mettre en place une procédure de reporting
Lorsqu'un incident de cybersécurité se produit dans votre entreprise (belge), vous devez immédiatement le signaler au CERT. Indiquez la durée de l'incident ainsi que le nombre d'utilisateurs et la zone géographique impactés. Vous devez donc instaurer une procédure de reporting ad hoc, ou éventuellement la renforcer si elle existe déjà.
Établir une politique NIS pour une protection correcte
En tant que fournisseur de services essentiels, vous devez aussi établir et implémenter une politique NIS, c’est-à-dire une directive qui prescrit toutes les interventions nécessaires pour mettre votre entreprise en conformité avec la loi NIS en matière de cybersécurité. Cette politique doit respecter la norme ISO/IEC 27001 et/ou d’autres normes internationales considérées comme équivalentes par les pouvoirs publics belges.
La date limite était fixée au 3 novembre 2020 pour les opérateurs de services essentiels désignés explicitement par l’autorité sectorielle en date du 3 novembre 2019. Cette identification a été réalisée en concertation avec le Center For Cyber Security Belgium et le Service public fédéral intérieur.
Informer les autorités de protection des données
Lorsque la Data Protection Authority ou une autre instance équivalente de votre secteur le demande, vous devez lui communiquer dans les trente jours les rapports de vos audits de sécurité internes et externes. Vous devez aussi pouvoir fournir le cas échéant une description de votre réseau d’entreprise et de vos systèmes informatiques, et désigner un NIS officer et un DPO (data protection officer) en tant que personne de contact.
La description et la désignation d'un NIS officer devaient aussi avoir lieu avant le 3 février 2020 si vous aviez déjà été identifié le 3 novembre 2019 comme un opérateur de services essentiels.
Organiser des audits
Vous êtes tenu d’organiser chaque année un audit interne de votre cybersécurité. Vous devez en outre la faire auditer tous les trois ans par un organisme extérieur : une instance de certification agréée ISO/IEC 17021 ou le BELAC, l’organisme belge d’accréditation selon la norme ISO/IEC 17065.
Le premier audit interne devait avoir lieu avant le 3 février 2021 et le premier audit externe doit être planifié avant le 3 février 2023, à condition, ici aussi, que vous ayez été désigné comme opérateur de services essentiels le 3 novembre 2019.
Pour être conforme à la directive NIS, vous devez élaborer et implémenter tout un ensemble de mesures. Nous vous proposons, en collaboration avec nos deux partenaires, une assistance pragmatique unique en son genre sur le marché belge pour vous aider à franchir chaque étape avec un maximum d’efficacité. Vous pourrez compter :
- Sur l’IC4 de la Hogeschool West-Vlaanderen pour le support organisationnel.
- Sur Siemens pour la technologie et le savoir-faire technique.
- Sur le bureau d'expertise comptable et d'audit Vandelanotte pour l’assistance juridique.
Réagissez dans les règles et signalez correctement les incidents au CERT
Avec l’IC4, Siemens vous aide à établir un plan de réponse en vue de la mise en œuvre des actions appropriées et du signalement correct des incidents. Un plan détaillé pour détecter et analyser chaque incident, en limiter l’impact, réparer les dégâts et prendre toutes les mesures ultérieures nécessaires. Pour une cybersécurité en profondeur.
Ensuite, Vandelanotte vous aide à signaler l’incident au CERT en totale conformité avec la loi NIS :
- Politiques : que faut-il ou non signaler ?
- Processus : que faut-il documenter et qui devez-vous informer ?
- Procédures : quels documents devez-vous remettre et par quel canal ?
Définissez et implémentez votre politique NIS
Vous réalisez une description de votre réseau d’entreprise et de vos systèmes informatiques en collaboration avec l’IC4 et Siemens pour être en mesure de transmettre ces informations le cas échéant. Pour pouvoir définir votre politique NIS et obtenir le niveau de cybersécurité exigé, vous devez d'abord analyser votre sécurité actuelle. Vous pouvez compter pour cela sur l’expertise de Siemens et de nos partenaires IC4 et Vandelanotte.
L’IC4 commence par réaliser une évaluation des risques selon ISO 27005 afin d’identifier les risques auxquels est exposée votre sécurité IT et OT. Il analyse ensuite les lacunes organisationnelles à combler (organizational gap analysis) afin de rendre votre sécurité IT et OT conforme à la loi NIS sur la base de la norme ISO 27001.
Siemens réalise pour sa part une analyse des lacunes technologiques (technical gap analysis) de votre sécurité OT selon la norme IEC 62443-3-3 et (avec l’IC4) de votre sécurité IT selon la norme ISO 27001.
Informez correctement les autorités de protection des données
Avec l'appui de Vandelanotte, vous définissez le cadre qui vous permettra d’informer correctement la Data Protection Authority et l’autorité sectorielle équivalente :
- Les politiques nécessaires : que faut-il ou non signaler ?
- Les processus nécessaires : que faut-il documenter et qui devez-vous informer ?
- Les procédures nécessaires : quels documents devez-vous remettre et par quel canal ?
Trouvez le bon auditeur externe
Vous vous demandez à quel organisme de certification agréé ISO/IEC 17021 ou BELAC vous pouvez faire appel pour réaliser un audit externe de votre cybersécurité ? L’IC4 vous conseillera volontiers pour que vous soyez certain de choisir un auditeur externe « NIS compliant ».
Pour nous, la « NIS compliance 4.0 » était l’approche idéale. Elle nous a montré exactement ce que nous devions faire dans le cadre de la législation NIS et nous a aidés à établir une feuille de route. En associant notre savoir-faire interne et celui des partenaires impliqués, nous avons augmenté efficacement la maturité de notre entreprise en matière de cybersécurité. Sécuriser l’approvisionnement en eau potable est dans l'intérêt de tous les citoyens.Gerd De Mey, ICT Manager chez FARYS