En Belgique, au moins deux mille entreprises doivent se préparer à respecter des conditions strictes en matière de cybersécurité.

Si la mise en œuvre intégrale de cette directive promet d’être difficile, le sujet ne devrait toutefois plus faire débat au niveau des entreprises. La cybersécurité devrait faire partie intégrante d’une bonne gestion dans toute organisation.

La directive NIS2 succède au premier cadre NIS entré en vigueur en 2019.

Il s’agit de la petite sœur technique du RGPD qui a imposé des règles en matière de respect de la vie privée aux organisations européennes.

Mais alors que le RGPD a été largement médiatisé, entre autre par le biais d’une foule de campagnes de communication, en ce qui concerne la directive NIS, les entreprises restent dans le flou. Et les amendes seront plus sévères encore…

La législation initiale visait un nombre restreint d’opérateurs. Cependant, après son entrée en vigueur, le législateur a très rapidement compris qu’une telle réglementation devait avoir un impact beaucoup plus large que sur les opérateurs de services essentiels.
Et les amendes seront plus sévères encore…

Tous les secteurs suivants seront inclus: énergie (électricité, pétrole, gaz, chauffage urbain et hydrogène), transports (aérien, ferroviaire, par voie navigable et routier), banques, infrastructures des marchés financiers, santé (y compris les laboratoires et la recherche concernant les produits pharmaceutiques et les dispositifs médicaux), eau potable, eaux usées (mais seulement s’il s’agit d’une activité principale), infrastructures numériques (télécoms, DNS, TLD, centres de données, services de confiance, services cloud), services numériques (moteurs de recherche, marchés en ligne, réseaux sociaux), espace, services postaux et de distribution de courrier, gestion des déchets, Produits chimiques (production et distribution),

Toute entité impliquée dans les services IT gérés et les services de sécurité IT gérés devra respecter la directive.

N’attendez surtout pas octobre 2024 pour prendre des mesures en matière de cybersécurité.
En s’appuyant sur des référentiels comme ISO 27000, C’est possible…
Certains points peuvent déjà faire l’objet de votre attention:

Voici quelques aspects auxquels vous pouvez d’ores et déjà réfléchir :

• La gestion des incidents
• La notification des incidents
• La continuité des activités
• Les gestion des actifs (inventaire)
• Les contrôle des accès, qui a accès à quoi
• La sensibilisation à la sécurité (le plus grand risque se situe entre le clavier et l’écran)

Liens utiles:
CCB belgium

Directive UE

L’article La nouvelle directive NIS2, n’attendez pas…. est apparu en premier sur Bureau Ernoux.

Selon l’ONG NYOB

L’article 5 ans de RGPD : les autorités nationales ont laissé tomber le législateur européen. est apparu en premier sur Bureau Ernoux.

Les crises, les attaques, les fuites d’informations arriveront, c’est certain. Juste on ne sait pas quand.

A la BCSS un groupe de travail a rédigé des normes minimales qui s’inspirent de standards reconnus au niveau international. Objectifs : renforcer les règles de sécurité et les moyens de contrôle, afin de garantir le niveau de sécurité général de l’ensemble des institutions de sécurité sociale.

Cette approche est essentielle pour l’organisation et l’échange de données entre les institutions. C’est sur la base de ces aspects qui s’inspirent des normes ISO 27XXX que le délégué à la protection des données réalise son analyse des risques et des menaces en rapport avec les structures et systèmes informatiques qui l’entourent. La BCSS a publié ces recommandations basées sur ISO 27002 sur : https://www.bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation

Bureau Ernoux accompagne de nombreuses entreprises et organisations publiques dans cette réflexion.

Et nous essayons, via des réflexions autour de la conformité RGPD, ou autour des référentiels comme ISO 2700X, de promouvoir une plus grande maturité numérique. Car notre monde se transforme, change très rapidement.

La « transformation numérique » est incontournable. Mais expose les organisations à des risques nouveaux. Risques qu’il ne faut pas subir mais réduire le plus efficacement possible.

Bureau Ernoux dispose de plusieurs types d’offres en fonction de votre taille, de vos attentes et de vos métiers. On démarre déjà avec un accompagnement à partir de 250 € / mois.

N’hésitez pas à nous consulter…

L’article RGPD : 5 années déjà… Et toujours autant de soucis…. est apparu en premier sur Bureau Ernoux.

Les équipes de l’agence se sont ainsi mobilisées sur de nombreux terrains, en régions comme auprès des institutions européennes dans le cadre de la Présidence française du Conseil de l’Union européenne (PFUE).

« Pour protéger la Nation face aux cyberattaques et renforcer le niveau global de cybersécurité, l’agence doit se démultiplier. Une mission qui nous oblige collectivement. Une mission riche, variée, qui nécessite agilité, compétence et ouverture », déclare Vincent Strubel, Directeur général de l’ANSSI.

Télécharger le rapport

L’article L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie son rapport d’activité 2022. est apparu en premier sur Bureau Ernoux.

Les crises, les attaques, les fuites d’informations arriveront, c’est certain. Juste on ne sait pas quand.

Gérer une crise, nécessite d’être prêt ! Une gestion de crise nécessite donc une bonne préparation via la mise en place de processus et d’outils éprouvés. Des référentiels ISO, ou la réglementation RGPD offrent des opportunités de se poser les bonnes questions.

Au minimum, il vous faudra disposer des éléments pour permettre aux équipes techniques (cyber et IT) ou aux autorités, de réaliser les investigations :

• une liste des applications et des services critiques ;
• une cartographie des systèmes sur lesquels les services métiers critiques reposent et sont reliés entre eux ;
• une cartographie des périphériques, des bases de données ;
• une liste des interdépendances entre les métiers et les partenaires extérieurs (partenaires, sous-traitants, infogérant, etc.) ;
• une cartographie des parties prenantes avec les points de contact (en particulier si une partie des systèmes est en sous-traitance) ;
• une liste des moyens de supervision et de détection et leur périmètre ;
• une politique de rétention des journaux/logs applicatifs et réseaux ;
• une matrice des flux d’information ;
• les architectures des réseaux et des éléments fonctionnels, permettant de faire le lien entre les systèmes d’information et les processus métiers.
• un plan de continuité des activités, validé, et éprouvé.

L’ANSSI a publié récemment un guide que vous pouvez télécharger sur : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf

A la BCSS un groupe de travail a rédigé des normes minimales qui s’inspirent de standards reconnus au niveau international. Objectifs : renforcer les règles de sécurité et les moyens de contrôle, afin de garantir le niveau de sécurité général de l’ensemble des institutions de sécurité sociale. Cette approche est essentielle pour l’organisation et l’échange de données entre les institutions. C’est sur la base de ces aspects qui s’inspirent des normes ISO 27XXX que le délégué à la protection des données réalise son analyse des risques et des menaces en rapport avec les structures et systèmes informatiques qui l’entourent. La BCSS a publié ces recommandations basées sur ISO 27002 sur : https://www.bcss.fgov.be/fr/protection-des-donnees/politique-de-securite-de-linformation

Bureau Ernoux accompagne de nombreuses entreprises et organisations publiques dans cette réflexion. Et nous essayons, via des réflexions autour de la conformité RGPD, ou autour des référentiels comme ISO 27001, de promouvoir une plus grande maturité numérique. Car notre monde se transforme, change très rapidement.
La « transformation numérique » est incontournable. Mais expose les organisations à des risques nouveaux. Risques qu’il ne faut pas subir mais réduire le plus efficacement possible.

L’article Comment affronter une crise CYBER ? est apparu en premier sur Bureau Ernoux.