DuoKey logotype

Le chiffrement dans NIS2 : quelles obligations réglementaires ?

Josua Rochat9 novembre 2024
Le chiffrement dans NIS2 : quelles obligations réglementaires ?

Le chiffrement dans NIS2 : quelles obligations réglementaires ?

Face à l'augmentation des cybermenaces, la directive (Network and Information Security 2 (NIS2) impose de nouvelles mesures de sécurité incluant le chiffrement. Bien que la directive reste générique dans ses exigences, elle établit un cadre qui nécessite une approche structurée de la protection des données.

NIS2 établit une base légale pour la cybersécurité dans l'Union Européenne, avec des exigences spécifiques pour différents secteurs. Comprendre le cadre exact des obligations de chiffrement est essentiel pour une mise en conformité efficace.

Quels sont les secteurs concernés par NIS2

La directive NIS2 étend significativement le périmètre des organisations concernées par rapport à NIS1. Elle distingue deux catégories d'entités avec des obligations adaptées, à savoir les (1) entités essentielles et (2) les entités importantes.

  • Les entités essentielles couvrent les secteurs critiques de l'infrastructure nationale : énergie, transport, banque, santé, eau potable, infrastructure numérique, administration publique et espace.

  • Les entités importantes englobent les services de support : postal, gestion des déchets, chimie, alimentation, fabrication, services numériques et recherche.

NIS2 : Quelles obligations de chiffrement ?

Dans ce contexte global, l'article 21.2(h) de la directive NIS2 cite spécifiquement comme mesure de gestion des risques :

"l'utilisation de la cryptographie et du chiffrement"

Cette exigence de chiffrement doit donc être :

  • Appropriée : adaptée aux risques spécifiques de l'entité

  • Proportionnée : tenant compte de la taille et des ressources de l'organisation

  • État de l'art : utilisant des technologies et standards actuels

  • Économiquement viable : prenant en compte les coûts de mise en œuvre

  • Efficace : assurant une réelle protection contre les risques identifiés

NIS2 n'est par conséquent pas prescriptif sur les méthodes de chiffrement (à l'inverse de la réglementation DORA par exemple). Les organisations doivent par conséquent s'appuyer sur les standards reconnus et solutions éprouvées pour assurer leur conformité.

Bonnes pratiques en matière de chiffrement pour la directive NIS2

Selon l'état de l'art actuel, les bonnes pratiques et standard en matière de chiffrement comprennent généralement trois domaines principaux :

Le chiffrement au repos

Le chiffrement au repos protège les données stockées contre les accès non autorisés. Il s'applique aux données sur les serveurs, dans les bases de données et dans les sauvegardes.

  • Protection des données stockées : chiffrement des fichiers sur les serveurs et postes

  • Sécurisation des bases de données : chiffrement au niveau colonnes ou base complète

  • Chiffrement des sauvegardes : protection des copies de secours et archives

Le chiffrement en transit

Le chiffrement en transit sécurise les données pendant leur transmission sur les réseaux. Il empêche l'interception et la modification des informations lors des communications.

  • Protection des communications réseau : utilisation de protocoles sécurisés (TLS, IPsec)

  • Sécurisation des échanges de données : protection des transferts de fichiers

  • Protection des accès distants : sécurisation des VPN et connexions externes

La gestion des clés de chiffrement

La gestion des clés garantit l'efficacité du chiffrement. Les clés doivent être protégées tout au long de leur cycle de vie, car ne clé compromise rend le chiffrement inutile.

  • Politiques de gestion des clés : création, distribution et révocation

  • Procédures de sauvegarde : récupération en cas de perte

  • Contrôles d'accès : supervision et traçabilité de l'utilisation

Ces mesures techniques doivent être proportionnées aux risques identifiés et tenir compte de facteurs tels que la taille de l'organisation, la nature des données traitées, et l'impact potentiel d'un incident de sécurité, conformément aux principes énoncés dans l'article 21.1 de la directive.

DuoKey : Chiffrement conforme NIS2

DuoKey propose des solutions de chiffrement basées sur le calcul multi-parties (MPC) et le chiffrement homomorphe (FHE). Ces technologies permettent de contrôler les clés de chiffrement et de protéger les données sensibles au repos, en traitement et en transit dans les principaux environnements clouds, tels que Microsoft 365, AWS, Vault, etc.

DuoKey Multi-Party Encryption

Ces méthodes de chiffrement avancées permettent aux organisations de se conformer pleinement aux exigences de la directive NIS2.

--> découvrez comment protéger vos données sensibles au repos, en traitement et en transit avec DuoKey.

Conclusion

La directive NIS2 impose aux organisations concernées de mettre en œuvre des mesures techniques appropriées et proportionnées pour protéger leurs systèmes d'information. Parmi ces mesures, l'article 21.2(h) mentionne explicitement l'utilisation du chiffrement. Contrairement à d'autres réglementations comme DORA, NIS2 n'impose pas d'exigences techniques spécifiques en matière de chiffrement. La directive adopte plutôt une approche basée sur les risques combinant évaluation des choix techniques appropriés et une documentation rigoureuse.

Cette flexibilité réglementaire implique que les organisations soumises à NIS2 doivent s'appuyer sur les bonnes pratiques en matière de chiffrement, à savoir le chiffrement au repos, le chiffrement en transit et une gestion robuste des clés de chiffrement.

Resources

Related Content

Chiffrement et DORA : Quelles sont les obligations imposées par DORA ?

Chiffrement et DORA : Quelles sont les obligations imposées par DORA ?

Read more
Quelles obligations de chiffrement pour la certification HDS ?

Quelles obligations de chiffrement pour la certification HDS ?

Read more