Six raisons de travailler avec SUSE sur NIS2

Dans les mois à venir, des dizaines de milliers d’entreprises et d’organisations à travers l’Europe devront se conformer à la nouvelle directive européenne sur la sécurité des réseaux et de l’information (NIS2). SUSE peut vous aider à vous mettre en conformité avec la directive NIS2 dans les délais impartis. Grâce à nos solutions, vous pouvez renforcer la sécurité et la fiabilité de votre système informatique, bénéficier d’une meilleure visibilité et atteindre plus rapidement des niveaux de conformité plus élevés.

La mise en œuvre de NIS2 progresse. Et même s’il n’est pas certain que la nouvelle directive sur la cybersécurité entrera en vigueur dans tous les pays de l’UE comme prévu le 17 octobre 2024, les chefs d’entreprise et les responsables informatiques doivent prendre dès maintenant les mesures techniques et organisationnelles nécessaires. Non seulement la directive NIS2 renforce les exigences en matière de sécurité des réseaux et de l’information, mais elle accroît également de manière significative les sanctions en cas de violation. En outre, les dirigeants sont personnellement responsables de la mise en œuvre des mesures prescrites. Ces réglementations ont un potentiel de perturbation bien plus important que le RGPD.

Il est donc important pour les organisations concernées et leurs dirigeants de prendre au sérieux les exigences de la directive NIS2 et de mettre en œuvre des stratégies et des solutions efficaces pour sécuriser leur infrastructure informatique afin d’engager la responsabilité des dirigeants.

Comment SUSE aide à se préparer à NIS2

SUSE aide les organisations et les agences gouvernementales à répondre aux exigences de NIS2 de plusieurs façons. En particulier, il a été prouvé que nos solutions renforcent la sécurité des infrastructures informatiques dans six domaines, ce qui permet aux organisations de se conformer plus facilement aux nouvelles normes.

1. Sécurité de la chaîne d’approvisionnement : la directive NIS2 exige de toutes les organisations concernées qu’elles évaluent en permanence les cyber-risques potentiels dans leur chaîne d’approvisionnement et qu’elles prennent les mesures de sécurité appropriées. Cependant, il est pratiquement impossible pour les utilisateurs de logiciels d’effectuer une évaluation indépendante de l’ensemble de la chaîne d’approvisionnement des logiciels. Le temps nécessaire pour ce faire serait énorme – en même temps, il y aurait toujours le risque d’être tenu pour responsable d’une vulnérabilité de sécurité négligée. SUSE simplifie ce processus pour toutes les solutions basées sur SUSE Linux Enterprise Server (SLES) : le système d’exploitation est certifié Critères communs EAL 4+ par l’Office fédéral allemand de la sécurité de l’information (BSI). SUSE est ainsi le seul fournisseur d’un système d’exploitation universel actuel à avoir passé avec succès une évaluation complète de son produit, de son développement et de ses processus de mise à jour de sécurité. Grâce à cette certification officiellement reconnue, les entreprises peuvent s’affranchir des difficultés liées à la réalisation de leur propre évaluation et peuvent démontrer à tout moment que la sécurité de la chaîne d’approvisionnement de leur système d’exploitation a été vérifiée par un organisme indépendant. Rancher Prime, la plate-forme de gestion de conteneurs d’entreprise de SUSE, contribue également à sécuriser la chaîne logistique des logiciels. La solution a récemment été certifiée par rapport aux niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (Supply-chain Levels for Software Artifacts – SLSA). Ce modèle, développé par Google, est conçu pour garantir l’intégrité des logiciels lorsqu’ils sont intégrés dans des binaires. Des mesures telles qu’un processus de construction automatisé et une documentation complète de la nomenclature logicielle (SBOM) protègent les logiciels contre la falsification et assurent une traçabilité sécurisée du code source.
2. Cryptage : un autre aspect important de NIS2 est la cryptographie. L’article 21 de la directive exige que toutes les organisations concernées utilisent des technologies de cryptage à jour pour garantir la sécurité et l’intégrité des données sensibles. SUSE aide les organisations à mettre en œuvre ces technologies en respectant les normes FIPS (Federal Information Processing Standards) 140-2 et 140-3 du gouvernement américain, qui définissent les exigences de sécurité auxquelles les modules cryptographiques doivent répondre dans les agences gouvernementales américaines. SLES 15 SP2 est validé par la norme FIPS 140-2, ce qui constitue une base sûre pour les communications chiffrées et le stockage des données. Les modules cryptographiques certifiés peuvent également être utilisés dans le SP3. Les modules cryptographiques de SLES 15 SP4 sont actuellement en cours de certification selon la norme suivante, FIPS 140-3. Une fois que le National Institute of Standards and Technology aura terminé son examen, des modules tels que Kernel Crypto API, GnuTLS, libgcrypt, mozilla-nss et OpenSSL seront certifiés conformes à cette norme.
3. Haute disponibilité : pour se conformer aux normes NIS2 et DORA (Digital Operational Resilience Act), de nombreuses organisations doivent améliorer la résilience de leur infrastructure informatique et prendre des mesures supplémentaires pour assurer la continuité de leurs activités. SUSE propose des solutions qui maximisent la disponibilité des systèmes et minimisent les temps d’arrêt. L’une de ces solutions est SUSE Linux Enterprise High Availability Extension. Grâce à des fonctionnalités telles que le géo-clustering, la réplication de données multi sites et le basculement basé sur des règles, les entreprises peuvent s’assurer que leurs applications informatiques les plus critiques sont toujours disponibles et qu’elles peuvent rapidement se remettre d’événements imprévus.
4. Sécurité pour l’Edge Computing et de l’IoT : le NIS2 affecte tous les opérateurs d’infrastructures critiques dans des secteurs tels que l’énergie, l’industrie, les télécommunications, le transport et la logistique. Aujourd’hui, ces organisations utilisent souvent des appareils edge et IoT pour contrôler leur infrastructure. Ces appareils et les applications exécutées dans les environnements edge doivent également être protégés contre les cyber menaces potentielles. SUSE Edge 3.0 peut vous aider. La pile technologique, basée sur Rancher, NeuVector et SLE Micro, simplifie non seulement la gestion des périphériques distribués, mais offre également une sécurité complète pour les infrastructures edge de toutes tailles. Avec NeuVector, par exemple, les politiques de sécurité peuvent être appliquées de manière généralisée et les attaques contre les environnements edge peuvent être bloquées en temps réel. SLE Micro renforce la sécurité des appareils périphériques grâce au modèle de sécurité SELinux préinstallé et à un système de fichiers immuable. En outre, l’OS offre la possibilité d’activer un mode FIPS pour garantir une stricte conformité avec les modules cryptographiques validés par le NIST et l’application des meilleures pratiques de durcissement du système.
5. Gestion des vulnérabilités et des risques pour les conteneurs et Kubernetes : de nombreuses organisations modernisent aujourd’hui leur paysage applicatif et s’appuient de plus en plus sur des applications cloud-natives développées de manière agile et déployées de manière très dynamique. Il convient d’en tenir compte lors de la planification d’une stratégie NIS 2. SUSE NeuVector assure une gestion des vulnérabilités de bout en bout, une sécurité automatisée du pipeline CI/CD, une sécurité d’exécution complète et une protection contre les menaces de type « zero-day “ et ” insider » dans l’environnement Kubernetes. Parallèlement, la solution de sécurité des conteneurs effectue des vérifications et des contrôles d’accès pendant le développement, les tests et le déploiement de nouvelles applications. SUSE NeuVector analyse les conteneurs, les hôtes et les plates-formes d’orchestration au moment de l’exécution et vérifie la sécurité des hôtes et des conteneurs. Toutes ces fonctionnalités aident les entreprises à se conformer aux mesures de gestion des risques de cybersécurité requises par la directive NIS2 pour les applications cloud natives modernes.
6. Rapports d’incidents améliorés : La directive NIS2 comprend également des exigences renforcées en matière de signalement des incidents de sécurité. Les organisations concernées doivent signaler les incidents aux agences gouvernementales appropriées dans les 24 heures. Dans les 72 heures, elles doivent soumettre un rapport complet. SUSE facilite le respect de cette exigence : des produits tels que SUSE Manager, Rancher et NeuVector offrent des fonctionnalités complètes de surveillance et de création de rapports. Ces outils peuvent vous aider à surveiller l’état de votre infrastructure informatique en temps réel, à détecter les anomalies, à identifier rapidement les incidents de sécurité et à automatiser les processus concernés. Ils peuvent également vous aider à rassembler les informations dont vous avez besoin pour enquêter sur un incident et le signaler aux autorités.