Everbridge & Cyber résilience – Applications concrètes des nouvelles règlementations européennes : NIS2, DORA et CRA

Comment tirer parti de la technologie Everbridge pour opérationnaliser la réponse aux exigences des nouvelles réglementations de l’UE en matière de résilience digitale et cyber :  NIS2, DORA et CRA.

Dans un monde de plus en plus interconnecté, on ne saurait trop insister sur l’importance d’adopter des mesures fortes en matière de cybersécurité. L’Union européenne (UE) a introduit plusieurs réglementations visant à renforcer la cybersécurité dans les États membres. Ces directives et règlements de l’UE comprennent la directive sur les mesures pour un niveau commun élevé de cybersécurité dans l’Union (NIS2), la loi sur la résilience opérationnelle numérique (DORA) et la loi sur la résilience cybernétique (CRA).

Ce blog explorera comment les solutions technologiques spécialisées telles que Everbridge peuvent aider les équipes de cybersécurité, de risque et de conformité à naviguer ces réglementations et améliorer leur réponse opérationnelle face à ces exigences.

Vue d’ensemble : NIS2, CRA et DORA 

NIS2

La directive NIS2 (directive (UE) 2022/2555) vise à atteindre un niveau commun élevé de cybersécurité dans l’ensemble de l’UE. Elle est entré en vigueur le 16 janvier 2023, et les États membres ont jusqu’au 17 octobre 2024 pour transposer ces mesures en droit national. Il exige des États membres qu’ils adoptent des stratégies nationales de cybersécurité et qu’ils désignent des autorités compétentes pour la gestion des cybercrise et des équipes d’intervention en cas d’incident de sécurité informatique. Elle impose également des exigences plus strictes en matière de sécurité des systèmes pour les organisations jugées critiques, notamment en ce qui concerne la notification des incidents de sécurité et la coopération entre les États membres. En conséquence, les entreprises opérant dans ces secteurs devront renforcer leurs mesures de protection des données et leurs capacités de réponse aux incidents, sous peine de sanctions financières sévères et pénalités visant directement la responsabilité des dirigeants.

DORA

La loi sur la résilience opérationnelle numérique (règlement (UE) 2022/2554) résout un problème important dans la réglementation financière de l’UE. Avant la loi DORA, les institutions financières géraient les principales catégories de risques opérationnels principalement par l’allocation de capital, mais elles ne géraient pas toutes les composantes de la résilience opérationnelle.  Avec le DORA, les organisations financières sont désormais mandatées pour assurer la résilience, la continuité et la disponibilité de leurs systèmes de technologies de l’information et de la communication (TIC) tout en respectant des normes strictes en matière de sécurité des données. 

CRA 

La loi sur la cyber-résilience (CRA) vise à protéger les consommateurs et les entreprises qui achètent ou utilisent des produits ( objets connectés ) ou des logiciels ayant une composante numérique. Elle introduit des exigences obligatoires en matière de cybersécurité pour les fabricants et les détaillants de ces produits. Cette réglementation couvre les produits qui comprennent des éléments numériques permettant la transmission de données vers un appareil ou un réseau. Il vise également à promouvoir la confiance dans les technologies numériques en garantissant qu’elles répondent à des normes de sécurité rigoureuses. Les fabricants devront donc veiller à ce que les objets connectés mis sur le marché respectent des obligations strictes telles qu’une fenêtre de notification de 24 heures pour toute vulnérabilité détectée.   

Principaux défis aux applications opérationnelles

Les règlements NIS 2, CRA et DORA exigent des efforts considérables en matière de cartographie des dépendances, de documentation et de planification. Cependant, elles n’abordent pas explicitement la manière de déployer leurs plans opérationnels afin de pouvoir résister, répondre et se remettre d’événements ayant un impact sur l’activité de l’entreprise. Cela représente un véritable défi pour les entreprises, compte tenu de la complexité et de l’interdépendance accrues que ces réglementations couvrent.  

De nombreuses organisations ont des équipes et des systèmes technologiques très cloisonnés, ce qui signifie que la collaboration lors d’un critique peut d’avérer très compliquée ; les entreprises ont besoin de technologies qui fournissent des “passerelles d’information” entre les différentes unités opérationnelles. Sans une solution technologique qui permette une connexion automatisée entre la surveillance, l’activation des équipes, la collaboration, l’orchestration et la réponse, les entreprises seront confrontées à de réels difficultés.   

Comment la technologie aide les entreprises à appliquer leur conformité opérationnelle : automatiser et dématerialiser la process, la communication et faciliter le reporting. 

Everbridge offre une plate-forme unique et spécialisée pour la préparation aux incidents, la surveillance des risques, la gestion des crises et la fiabilité des services. Les organisations peuvent utiliser la solution pour opérationnaliser de manière adéquate plusieurs aspects clés liés aux nouvelles exigences de conformité: La préparation, la communication et la réponse, et le reporting. Les solutions Everbridge sont conçues pour identifier, évaluer et surveiller les risques de manière proactive, répondre instantanément et avec précision à chaque incident, protéger les actifs numériques et physiques et garantir la sécurité et la productivité des personnes. 

Préparation – La plateforme Everbridge permet l’intégration de tous les systèmes liés à la réponse opérationnelle afin d’offrir une visibilité claire à travers les applications logicielles et les sites physiques. Elle donne un aperçu clair de ce qui est important et pourquoi en permettant une prise de décision et une automatisation plus rapides. Une des fonctionnalités clés consiste à automatiquement identifier les parties prenantes et les actifs pertinents lors d’une crise, ce qui est l’un des éléments les plus importants pour répondre à un événement. Le fait de disposer d’ensembles de données facilement accessibles et utilisables peut améliorer le temps de réponse et déclencher des workflows automatiquement plutôt que par le biais d’une intervention manuelle représente un vrai avantage en terme de rapidité et efficacité de la réponse.

Communications et orchestration – Après l’identification de l’événement et de son impact, la plateforme Everbridge prend en charge l’orchestration de la réponse. Cela implique d’identifier tous les processus d’automatisation qui peuvent être lancés, d’aligner la réponse sur les procédures opérationnelles standard (SOP) pertinentes et de s’assurer que les tâches sont assignées aux bonnes personnes au bon moment grâce à des communications ” hors réseau ” qui ne dépendent pas de l’infrastructure de l’organisation.  En automatisant ce processus, Everbridge peut réduire le temps de réponse à quelques minutes ou secondes au lieu de plusieurs heures. En outre, la plateforme Everbridge peut être utilisée pour communiquer avec les organismes de réglementation si nécessaire, en tenant les parties prenantes concernées au courant, et en permettant de visualiser l’état d’avancement de la réponse tout en fournissant des estimations basées sur l’expérience passée. Ceci est particulièrement critique si le problème affecte le courrier électronique.

Reporting – La plateforme Everbridge permet aux organisations de développer des capacités d’auto-évaluation et d’apprentissage pour la préparation et la réponse futures. Pendant l’événement, toutes les communications sont enregistrées, y compris, , pour les personnes qui ont reçu une communications. Le système va détaillé celles qui ont répondu, la nature et l’heure de la réponse. Il est également possible de détecter l’absence de réponse. Il en va de même pour l’attribution et le statut des tâches, pour un suivi en temps réel pendant l’événement. Des journaux d’audit complets sont également enregistrés et exportés pour examen après l’événement. Dans le cadre de la simulation, des rapports de situation peuvent être générés si nécessaire et des “rapports après action” peuvent être mis à disposition pour examen. Toutes les informations sont saisies dans le système afin d’être utilisées, le cas échéant, dans le cadre de RETEX. 

En conclusion

Les solutions dédiées telles que la suite de produits Everbridge peuvent jouer un rôle essentiel en aidant les organisations à opérationnaliser certaines des exigences des nouvelles directives et règlements de l’UE tels que NIS2, DORA et l’ARC. En s’appuyant sur la plateforme Everbridge, les équipes de cybersécurité et de gestion des incidents améliorent leur posture en matière de cybersécurité et renforcent leur conformité à ces réglementations. Everbridge permet aux équipes de dématérialiser les plans d’intervention et de les connecter à des solutions de monitoring et de communication. La plateforme permet l’automatisation et l’orchestration des procédures de réponse. La visibilité en temps réel et la traçabilité fournies par ces systèmes permettent aux organisations de démontrer concrètement leur conformité en renforçant leur résilience numérique.