SlideShare une entreprise Scribd logo
1  sur  77
Télécharger pour lire hors ligne
Green Mirror – Episode 1 – 22/02/24 2
Mapping Innovation Networking
International Knowledge Partnerships
Green Mirror – Episode 1 – 22/02/24 3
Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
Green Mirror – Episode 1 – 22/02/24 4
6 épisodes pour puiser de l’inspiration
au-delà de nos frontières
#1 - 14/03 - WhatsUpp In… France, regarding energy communities ?
#2 – 16/05 - WhatsUpp In… our neighboring countries
(FR, NL, DE) regarding green molecule certification ?
#3 - 06/06 – WhatsUpp In… the Netherlands
regarding drilling and geothermal projects ?
#4 – 29/08 – WhatsUpp In… Nordic countries regarding
renewable energy communities ?
#5 – 10/10 – WhatsUpp In… European Hydrogen Valleys ?
#6 – 12/12 – WhatsUpp In… Switzerland regarding district heating ?
Green Mirror – Episode 1 – 22/02/24 5
5 épisodes pour explorer la digitalisation et les technologies
émergentes dans le secteur de l’énergie et de l’eau
#1 - 22/02 La nouvelle réglementation NIS2
#2 - 25/04 Smart contracts and virtual power and heat
purchase agreement - leurs utilisations dans le domaine
de l’eau, de l’électricité et de la chaleur
#3 – 06/06 No Lithium World – le stockage et la mobilité
sans Lithium : comment fait-on ?
#4 - 12/09 - Big Brother is metering you – quid de la
collecte des données vs protection de la vie privée ?
#5 – 28/11 - E-fuels, quel avenir ?
Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
Green Mirror – Episode 1 – 22/02/24 6
Green Mirror #1
La nouvelle réglementation cybersécurité NIS2
Réseaux électriques
• Environnements à haut risque cyber
• Echange d’informations sensibles entre sites
• Vulnérabilité des compteurs communicants
Nécessité de protéger cette sensibilité
et d’assurer la sécurité énergétique
Directive européenne NIS
Green Mirror – Episode 1 – 22/02/24 7
La nouvelle réglementation cybersécurité NIS2
11:00 -11:05 Introduction - Mise en contexte par TWEED
11:05 - 11:35 Aspect Légal - Implications légales de la directive NIS 2,
avec Philippe Laurent, expert juridique de l’Infopôle
11:35 - 11:50 Use Cases - Tour d’horizons de cas pratiques démontrant l’importance
du pentesting, avec Giannino Cuignet, CEO de RedSystem
11:50 - 12:05 Et en pratique : quelles implications pour les PME et acteurs de l'énergie ?
avec Vincent Ceriani, Head of cyber risk at NRB
12:05- 12 :10 Service aux PME & Appel à compétences – Infopôle
12 :10-12:30 Q&A modérées et mots de conclusion – Tweed
Green Mirror – Episode 1 – 22/02/24 8
Posez vos questions via le chatbox !
Green Mirror – Episode 1 – 22/02/24 9
Green Mirror – Episode 1 – 22/02/24 10
WhatsUpp In… France, regarding energy
communities in the thermal and electric sectors
Programme préliminaire
Introduction - Mise en contexte par TWEED
Aspect légal - La transposition française des dispositions européennes relatives aux communautés d'énergie
Par Clément Lacombe, chercheur spécialisé en sciences juridiques et droit public, Université de Pau et des Pays de l'Adour (tbc)
Case study 1 - Retour d'expérience d'une initiative citoyenne
A Nous l'Energie!,
Par Capucine Marzet, Coordinatrice Energie Citoyenne, A Nous l'Energie! Renouvelable et solidaire 17.
Case study 2 - Retour d'expérience d'une initiative d'entreprises
Parc Industriel de la Plaine de l'Ain (PIPA),
Par Audrey Ayrinhac, responsable environnement et sécurité, Syndicat Mixte du Parc Industriel de la Plaine de l'Ain.
Q&A modérées et mots de conclusion
Rendez-vous le jeudi 14 mars !
Inscrivez via le site de TWEED => https://clusters.wallonie.be/tweed/fr/agenda
Approche
juridique de la
cybersécurité:
NIS2, etc.
Philippe Laurent
Avocat au barreau de Bruxelles
MVVP
22/02/2024
IT : Tsunami législatif
Factsheet sur
KAIZENNER.EU
ENISA (agence UE cybersécurité)
Certification cybersécurité
Projets
Centre de compétence UE
Centres nationaux
Réseau => communauté
Abroge et remplace NIS1
Sécurité de l’info au
sein des institutions UE
Cybersécurité au
sein des institutions UE
Cybersécurité des
produits avec éléments
digitaux
(hardware/software)
Coopération et
coordination des efforts
en UE
NIS 1 & 2
• Directives : Cybersécurité
• Protection des réseaux et systèmes
d’information des infrastructures
essentielles/importantes
• NIS 1 : Directive (UE) 2016/1148
=> abrogée le 18 octobre 2024
=> remplacée par
• NIS 2 : Directive (UE) 2022/2555
=> transposition pour 17 octobre 2024
=> BE : consultation publique sur avant-projet
de loi achevée en décembre 2023
Obligations : Etats Membres
Entreprises
«réseau et système d’information»:
a) un réseau de communications électroniques au sens de l’article
2, point 1), de la directive (UE) 2018/1972;
b) tout dispositif ou tout ensemble de dispositifs interconnectés
ou apparentés, dont un ou plusieurs éléments assurent, en exécution
d’un programme, un traitement automatisé de données numériques;
ou
c) les données numériques stockées, traitées, récupérées ou
transmises par les éléments visés aux points a) et b) en vue de leur
fonctionnement, utilisation, protection et maintenance;
«sécurité des réseaux et des systèmes d’information»:
la capacité des réseaux et des systèmes d’information de
résister, à un niveau de confiance donné, à tout événement
susceptible de compromettre la disponibilité, l’authenticité,
l’intégrité ou la confidentialité de données stockées,
transmises ou faisant l’objet d’un traitement, ou des services
que ces réseaux et systèmes d’information offrent ou rendent
accessibles
• «produit TIC», un élément ou un groupe d’éléments appartenant à un
réseau ou à un schéma d’information;
• «service TIC», un service consistant intégralement ou principalement
à transmettre, stocker, récupérer ou traiter des informations au
moyen de réseaux et de systèmes d’information;
• «processus TIC», un ensemble d’activités exécutées pour concevoir,
développer ou fournir un produit TIC ou service TIC ou en assurer la
maintenance;
Obligations des Etats membres
• stratégie nationale en matière de cybersécurité
(ex: politiques cybersécurité dans les chaînes d’approvisionnement, spécifications dans les
marchés publics,…)
• mise en place des autorités compétentes:
• points de contact uniques en matière de cybersécurité (coop. Transfrontière)
• autorités chargées de la gestion des cybercrises
• centres de réponse aux incidents de sécurité informatique (CSIRT) (surveillance,
assistance, alerte, scan proactif, divulgation de vulnérabilités…)
=> En Belgique:
CCB : Centre for Cybersecurity Belgium
NCCN : National Crisis Centrum
CERT : Cyber Emergency Response Team
• NIS 1 & 2 = Directives => Transposition
• Listes entités essentielles / importantes / enregistrement noms de domaine
• Supervision, exécution, sanction.
Obligations des entreprises
• Mesure de gestion des risques en matière de cybersécurité
• Obligations d’information (/notification)
NIS1 => NIS2
• Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont services publics, industries alimentaire,
chimique et de fabrication, autres types d’organisations dans les secteurs de l’énergie et de la santé,
infrastructures TIC, services de gestion du numérique, fournisseurs numériques).
• Taille : Toutes les grandes et moyennes organisations (+ de 50 collaborateurs / + 10 millions d’euros de
chiffre d’affaires annuel) => en Belgique : 100 => 2500 entités
+ cas particuliers => toutes tailles (réseaux télécom publics, registres DNS, prestataires de confiance + services
essentiels, critiques, risques systémiques… + entités critiques visées par directive (UE) 2022/2557 + Possibilité
d’extention par E.M.)
• Distinctions : entités « essentielles » et « importantes »
(voir tableau suivant)
- même * gestion de la cybersécurité et * obligations de reporting
- différents * régimes de supervisions et * de sanctions
• Due diligence au niveau des fournisseurs IT
=> NIS 2 élargit le scope au « supply chain »
• Mesures de sécurité plus détaillées
• Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)
= Nouveau secteurs NIS 2
= Elargissement par NIS 2
https://ccb.belgium.be/si
tes/default/files/NIS-
2%20Scope%20visual.pdf
Comparaison RGPD NIS / NIS 2
Concerne • Les données à caractère personnel
• traitées par
• tout responsable de traitement
• Les réseaux et systèmes d’information de
• certaines entreprises dans
• certains secteurs d’activité
Types d’obligations
(pour les entreprises)
Nombreuses DONT mesures de sécurité
et notification des violations
1) Prendre des mesures de sécurité
2) Notifier les incidents
Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu
de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au
risque»,«confidentialité»,«intégrité»,«disponibilité».
Appropriées / compte tenu des coûts de mises
en œuvre + de la nature, de la portée, du
contexte et des finalités de traitement
nécessaires/proportionnées (critères : voir texte)
=> NIS 2 : détaillé (cfr. Infra)
Notification : - quoi
- condition
- quand
- à quelle autorité
- aux “victimes” ?
- violation de données à caractère personnel
- risque pour droits et liberté des personnes
- 72h après prise de connaissance de l’incident
- Autorité de Protection des Données
- Si risque élevé : notification aux personnes
concernées dans les meilleurs délais
- toute brèche de sécurité/ violation de données
- impact important sur les réseaux et systèmes ou les
utilisateurs + dommage matériel, corporel ou moral
considérable.
- NIS : ASAP (« sans retard ») / NIS2 : 24h (puis suivi
72h, intermédiaire et rapport final 1 mois)
- CCB + NCCN + CSIRT (via 1 seule déclaration online)
- aux destinataires des services dans les meilleurs
délais (+ mesure de correction à prendre !)
Quelles mesures de sécurité?
• Gouvernance:
• Décisions sur mesures de sécurité au niveau des organes de direction
• Obligation de formation des entités et de leur personnel
• Mesures techniques, opérationnelles et organisationnelles appropriées et
proportionnées / « tous risques »
Au moins:
a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes
d’information;
b) la gestion des incidents;
c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise
des activités, et la gestion des crises;
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité
concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services
directs;
e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des
systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;
f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des
risques en matière de cybersécurité;
g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;
h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas
échéant, du chiffrement;
i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des
actifs;
j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification
continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes
sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
Attention aux actes d’exécution de la commission
• Commission adopte des actes d’exécution => exigences techniques et
méthodologiques (liste d’activités domaine IT/Internet)
• Commission PEUT adopter des actes d’exécution pour les autres secteurs.
Conformité
• Certification (art.24)
Etat membre (et/ou commission par voie d’actes délégués) peut
prescrire des certifications dans le cadre de schémas européens de
certification de cybersécurité adoptés conformément à l’article 49 du
règlement (UE) 2019/881
• Normalisation (art.25)
Encouragement à avoir recours à des normes et des spécifications
techniques européennes et internationales pour la sécurité des réseaux
et des systèmes d’information
Notification
• Un incident est considéré comme important si:
a) il a causé ou est susceptible de causer une perturbation
opérationnelle grave des services ou des pertes financières pour l’entité
concernée;
b) il a affecté ou est susceptible d’affecter d’autres personnes physiques
ou morales en causant des dommages matériels, corporels ou moraux
considérables.
• Timeline (cfr supra)
• NB: « Le simple fait de notifier un incident n’accroît pas la responsabilité de
l’entité qui est à l’origine de la notification » (art. 23, 1)
Attention aussi aux actes d’exécution de la commission (délais
et critère d’importance)
Sensibilisation du public (!)
Lorsque la sensibilisation du public est nécessaire pour prévenir un
incident important ou pour faire face à un incident important en cours,
ou lorsque la divulgation de l’incident important est par ailleurs dans
l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité
compétente et, le cas échéant, les CSIRT ou les autorités compétentes
des autres États membres concernés peuvent, après avoir consulté
l’entité concernée, informer le public de l’incident important ou exiger
de l’entité qu’elle le fasse.
Coopération, etc…
• Possibilité d’échanger des infos:
communautés d’entités essentielles et importantes ainsi que, le cas
échéant, de leurs fournisseurs ou prestataires de services
=> accords de partage d’information
• Notification volontaire d’infos pertinentes
Autorités : pouvoirs / sanctions
• Supervision
• Etablir les Priorités
• Coopération avec APD (si violation de données à caractère personnel)
• Mesure de supervision et exécution : Voir art. 31 et suivants
=>…
Entités essentielles
Mesures d’exécution et supervision : au minimum:
a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires
effectués par des professionnels formés;
b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une
autorité compétente;
c) des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou
d’une violation de la présente directive par l’entité essentielle;
d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non
discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité
concernée;
e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques
en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de
cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des
informations aux autorités compétentes conformément à l’article 27;
f) des demandes d’accès à des données, à des documents et à toutes informations nécessaires
à l’accomplissement de leurs tâches de supervision;
g) des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les
résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve
sous-jacents correspondants.
au minimum, pouvoir:
a) d’émettre des avertissements concernant les violations de la présente directive par les entités concernées;
b) d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter
un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette
mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances
constatées ou aux violations de la présente directive;
c) d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et
de ne pas le réitérer;
d) d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en
matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23,
de manière spécifique et dans un délai déterminé;
e) d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles
fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace
importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces
personnes physiques ou morales pourraient prendre en réponse à cette menace;
f) d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit
de sécurité dans un délai raisonnable;
g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour
superviser le respect, par les entités concernées, des articles 21 et 23;
h) d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de
manière spécifique;
i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit
national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux
points a) à h) du présent paragraphe.
+ poss. suspension certificat, interdiction temporaire etc.
Critères d’évaluation : voir texte de la directive
NB: !!!
….toute personne physique responsable d’une entité essentielle ou agissant en
qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la
représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le
pouvoir de veiller au respect, par l’entité, de la présente directive.
Les États membres veillent à ce que ces personnes physiques puissent être tenues
responsables des manquements à leur devoir de veiller au respect de la présente
directive.
Un peu moins contraignant pour les entités importantes…
Amendes administratives
• entités essentielles :
montant maximal 10 000 000 EUR / 2% du chiffre d’affaires annuel mondial total de
l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le
montant le plus élevé étant retenu;
• entités importantes :
montant maximal 7 000 000 EUR / 1,4% du chiffre d’affaires annuel mondial total
de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le
montant le plus élevé étant retenu.
• Si amendes RGPD : mesures limitant le cumul (art. 35)
RGPD • Pour mémoire : cfr supra
DATA ACT
• Règlement (projet adopté par le
conseil le 27 novembre 2023)
• Entrée en vigueur : dans +- 20 mois
• Accès et utilisation équitables des
données
• Objets connectés (IoT) et services
connexes
• Services de traitement de données
(cloud/SaaS)
NB
• Technical protection measures on the unauthorised use or disclosure of
data 1. A data holder may apply appropriate technical protection
measures, including smart contracts and encryption, to prevent
unauthorised access to data, including metadata, and to ensure
compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed
contractual terms for making data available. Such technical protection
measures shall not discriminate between data recipients or hinder a user’s
right to obtain a copy of, retrieve, use or access data, to provide data to
third parties pursuant to Article 5 or any right of a third party under Union
law or national legislation adopted in accordance with Union law. Users,
third parties and data recipients shall not alter or remove such technical
protection measures unless agreed by the data holder.
DATA
GOVERNANCE
ACT
• Règlement (EU) 2022/868
• Entrée en vigueur : 23 juin 2022
• Applicable : 24 septembre 2023
• processus et structures pour faciliter
les échanges de données
• les conditions de réutilisation de certaines
catégories de données détenues par des
organismes du secteur public;
• cadre de notification et de surveillance pour la
fourniture de services d’intermédiation de
données;
• cadre pour l’enregistrement volontaire des entités
qui collectent et traitent les données mises à
disposition à des fins altruistes; et
• un cadre pour l’établissement d’un comité
européen de l’innovation dans le domaine des
données.
Réutilisation de données protégées détenues
par des organismes du secteur public
• Données protégées (confidentielles, secrets, P.I., DCP).
• Interdiction des accords d’exclusivité
• Conditions publiques, transparentes, non-discriminatoires, proportionnées,…
• Mesures pour préserver le caractère protégé des données.
Exemples
• Anonymisation des DCP / modification/agrégation/traitement des autres
• Accès à distance, environnement sécurisé
• Accès présentiel, normes de sécurité élevées
• NDA
• Aide à obtenir le consentement
• Transferts hors UE : conditions supplémentaires (contrat, etc.)
• Redevances
• Organisme competent (aide à la mise en place)
• Point d’info unique
• Procédure de demande (réponse dans les 2 mois)
Service d’intermédiation de données
• modèle commercial : fourniture d’un environnement sécurisé de partage de données
=> plateformes numériques d’échange de données entre entreprises.
• Notification de l’activité auprès de l’autorité compétente … => LABEL
https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services
• Respect de 15 conditions (art.12) dont :
• Ne pas utiliser soi-même les données
• Conditions relatives aux formats, services additionnels, accès, interopérabilité…
• procédures anti-fraude et anti-abus
• Mesure de sécurité appropriées pour stockage, traitement, transmission
DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits
services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD
AI ACT
• Projet de règlement – adopté en trilogue
(« deal » 8 décembre 2023)
• Version consolidée : fév.?
• Doit être formellement adopté par le Conseil
(fév./mars?) et par le parlement (avril?)
• Application progressive (24 mois après entrée en
vigueur)
• mise sur le marché et l'utilisation de produits
et services d'IA dans les pays de l'UE
• Protection des droits fondamentaux (non-
discrimination, liberté d’expression, vie privée/
données personnelles, procès équitable…)
• Normalisation (sécurité, gouvernance, fiabilité,
sécurité juridique)
• Classification des IA en fonction du risque
• Sanctions : < 40 mio eur / 7% C.A annuel
Haut risque
Exigences
• établissement, mise en œuvre et maintenance d'un système de gestion des risques ;
• entraînement, validation et contrôle des données, ainsi que la gouvernance des données ;
• documentation technique avant la mise sur le marché d'un système afin de démontrer que le
système d'IA à haut risque est conforme aux exigences imposées par le règlement ;
• tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA
tout au long de sa durée de vie ;
• transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les
utiliser de manière appropriée ;
• la surveillance humaine ;
• un niveau approprié de précision, de robustesse et de cybersécurité.
Secrets
d’affaires
• Protégé que si protection du secret!
=> mesures de protection des
données…
Obligations de
confidentialité
• Contrats : NDA, etc.
• Obligations légales (secret
professionnel)
Intellectual Property │ copyright, trademarks, models & designs,
patents, trade names, databases, trade secrets, domain names :
protection & filing, management strategy, advising, clearing,
contracts, licensing, litigation,…
ICT Law │ Internet, software development & distribution, cloud
computing, outsourcing, Big Data, IoT, APIs, Artificial Intelligence,
open source,… : licensing, SLAs, terms of use and of services,
liabilities & warranties, supply chains management, distribution,
dispute resolution,…
Commercial & Distribution law │ e-commerce, distributorships,
franchises, commercial agents, advertisement & marketing,
promotional games, trade practices, consumer protection :
advising, contracts, compliance, litigation,…
Data Protection & Privacy │ conformity & compliance strategies
(GDPR, etc.), advising, assessments, DPO as a service, coaching,
training & awareness, privacy policies, contracts, litigation…
Philippe LAURENT
philippe.laurent@mvvp.be
Lawyer at the Brussels Bar
Counsel – MVVP
DPO as a service
Labellisations
PAGE 1
CAS D’USAGE SECTEUR ENERGIE
PAGE 2
INTRODUCTION
BIOGRAPHIE
Giannino CUIGNET
Ethical Hacker
JOB
Directeur | Redsystem
CTO | Dashan
Président | BeHack
Enseignant | Sorbonne
Hunter | YesWeHack
Hunter | Bugcrowd
EDUCATION
Licence générale Sciences technologies santé
mention informatique, Sécurité / sûreté de
l'information des systèmes informatiques | CNAM
Biotechnique finalité biomécanique
et biomatériaux | Condorcet
PAGE 3
Externe
Infrastructure
publique
Phishing
Ingénierie
sociale
Interne
Attaque depuis
le réseau local
Physique
Intrusion physique
sur le site
INTRODUCTION
APPROCHES
4 approches différentes
PAGE 4
ATTAQUE
Phishing
Hackers
Local
Network
Users
Accounts
Users
Accounts
VPN
VPN
Local
Network
Exploit
Post
Exploit
PAGE 5
Données de l’organisation chiffrées
Exfiltration d’information
Accès potentiel ICS (Industrial Control System)
Destruction - Blackout
IMPACT DRAMATIQUE
PAGE 6
Merci
en pratique : quelles implications pour les PME et acteurs de l'énergie
VERS LA DIRECTIVE NIS 2
Vincent Ceriani – Head of CyberRisk Services
vincent.ceriani@nrb.be
2
La directive NIS initiale a imposé un changement significatif vers
l'amélioration de la cybersécurité, mais le cadre nécessite une
révision constante pour refléter l'évolution du paysage des menaces.
C'est pourquoi la directive NIS2 a été publiée afin d'aligner ses
attentes et ses recommandations.
L'intention de la Commission européenne avec la mise à jour de la
législation est de :
Renforcer le cadre réglementaire en matière de cybersécurité
Obliger les autorités nationales à consacrer l'attention nécessaire
à la cybersécurité
Assurer une application uniforme dans les États membres
Mettre en place une gouvernance efficace au niveau européen
Renforcer la coopération européenne entre les autorités de
cybersécurité
Imposer aux principaux opérateurs des secteurs clés de notre
société la prise de mesures de sécurité et la notification
d’incidents
CyberSécurité : la nouvelle normalité
vincent.ceriani@nrb.be
3
Analyser et évaluer les risques de sécurité pour les systèmes
informatiques
Gestion des cyberattaques : prévention, détection, identification,
confinement, atténuation et réponse
Assurer la continuité des activités et la gestion des crises
Assurer la sécurité de la chaîne d'approvisionnement en vérifiant
les exigences de sécurité des fournisseurs et en empêchant qu'une
attaque sur le réseau principal ne se propage à ces fournisseurs
Assurer la sécurité dans le développement et la maintenance
des systèmes d'information
Assurer la sécurité des réseaux et des systèmes d'information
par l'évaluation des vulnérabilités, les tests de pénétration, les
simulations d'attaques et d'autres activités similaires
Tester et évaluer l'efficacité des mesures de gestion des
risques liés à la sécurité informatique
vincent.ceriani@nrb.be
Transition vers NIS2
Exigences minimales
4
• prévention, détection, identification, confinement,
atténuation et réponse – SOC/SIEM - CSIRT
Gestion des cyberattaques
• Plan de continuité des activités (BCP / ISO22301)
Continuité des activités
•DevSecOps - OWASP
Sécurité développement
et la maintenance
• Evaluation des vulnérabilités, les tests de
pénétration, les simulations d'attaques et
d'autres activités similaires
Sécurité des réseaux et
des systèmes
d'information
•Analyse de risques, plans de mitigation,
tableTop, Audit interne
Tester et évaluer
l'efficacité des mesures de
gestion des risques liés à
la sécurité informatique
vincent.ceriani@nrb.be
Transition vers NIS2
5
Phase de découverte
Analyse environnement IT
Analyse de risque
Audit Technique
Identification des risques
Analyse vulnérabilités/Pentest
➔ niveau de maturité / roadmap
En pratique vers NIS2
Avec CyberFundamentals et ISO27001
vincent.ceriani@nrb.be
6
CyberFundamentals Framework
atwork.safeonweb.be
vincent.ceriani@nrb.be
7
Etablir les mesures de sécurité
Définir les lignes de défense
Sécuriser les données
Gestion des accès
Correction vulnérabilités / patching
Garantir la continuité
Visibilité sur les services critiques
En pratique vers NIS2
Avec CyberFundamentals et ISO27001
vincent.ceriani@nrb.be
8
Les rapports d'incident doivent contenir suffisamment de détails sur
l'attaque elle-même. À l'aide d'outils et de technologies appropriés, l'équipe
doit retracer les événements sur le réseau, les points finaux et les journaux des
systèmes afin d'identifier toutes les données et métadonnées pertinentes pour
aider à reconstituer la chaîne d'attaque, le scénario, l'entité et toute autre
information pertinente.
Le délai de soumission des rapports est généralement de quelques
heures et dépend du type d'attaque et des spécifications de la législation
nationale de chaque pays.
Après l'incident, l'entreprise concernée doit envoyer un rapport final
contenant une description détaillée et complète de ce qui s'est passé,
ainsi que des dommages directs et indirects causés à l'entreprise ou à
des tiers.
Le rapport doit également contenir une description technique de l'attaque,
les causes possibles, les mesures mises en œuvre pour en atténuer les
effets et le plan d'amélioration à mettre en place pour réduire le risque
de récurrence.
vincent.ceriani@nrb.be
Le signalement d’incident
Le rapport
9
Identifier les risques
Evaluer la maturité
Définir les lignes de défense
Détection d’incident
Assurer la continuité
Signalement d’incident
Outils :
CyberFundamentals
Sensibilisation du personnel
En pratique
vincent.ceriani@nrb.be
10
Sensibilisation à la cybersécurité
Télétravail
vincent.ceriani@nrb.be
11
Sensibilisation à la cybersécurité
vincent.ceriani@nrb.be
12
vincent.ceriani@nrb.be
LE RÉSEAU DES ACTEURS ET
ÉCOSYSTÈMES NUMÉRIQUES
DE WALLONIE
6
NOTRE COMMUNAUTÉ
152 Membres
90% PME
7209 ETP
+10 Technologies
Réseaux sociaux
+5K
4977 Newsletter
7
RÉFÉRENT NUMÉRIQUE DE LA STRATÉGIE DIGITAL WALLONIA
NOS PROJETS
Que propose l’Infopole pour aider les entreprises
à la recherche de partenaire informatique ?
Numérique Cybersécurité
Chèque Cybersécurité
▪ KEEP IT SECURE 2017
Dispositif porté par l’AdN composé de la Grappe Cybersecurité de l’Infopole et deux CRA (Cetic
et Multitel):
• Aides et incitants financiers
• Cadre méthodologique et conseils
▪ Objectif : Améliorer le niveau de sécurité informatique des entreprises wallonnes
▪ Quoi ? : Audit / Diagnostic portant sur la cybersécurité de votre entreprise
+ accompagnement et suivi de la mise en place de la politique de
cybersécurité
▪ Intervention : 75% de max 50.000€ HTVA sur 3 ans
• PME* (inf à 250 ETP et 50Mio de CA ou 43 Mio bilan)
• Siège d’exploitation principal en RW
* Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole
Pour qui ?
• Prestataires labellisés chèques
entreprises
Via la plateforme :
https://www.cheques-
entreprises.be
Le client ne finance que sa cote
part.
* Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole
Comment ?
• En janvier 2022, 126 bénéficiaires ont pu être accompagnés par 32
experts pour un montant total de 818.000 €.
• Le Chèque cybersécurité un audit ou un diagnostic
Mail de phishing ?
• hello@infopole.be
• cyber@adn.be
Vous ne savez pas par où commencer ?
• suspect@safeonweb.be

Contenu connexe

Similaire à Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024

Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Cluster TWEED
 
Conférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenConférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenLaurent Borella
 
Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201EBRC
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Raphael Rollier
 
Séminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURSéminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURCluster TWEED
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7   rencontre des attentes des autorités règlementaires - loi 64Module 7   rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 
Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Cluster H2O
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Hortense Billot
 
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015yann le gigan
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Monimmeuble.com
 
Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets yann le gigan
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 

Similaire à Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024 (20)

3767-diaporama-adec.pdf
3767-diaporama-adec.pdf3767-diaporama-adec.pdf
3767-diaporama-adec.pdf
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?
 
BT_Rennes_Slideshow
BT_Rennes_SlideshowBT_Rennes_Slideshow
BT_Rennes_Slideshow
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
 
10 ofen
10 ofen10 ofen
10 ofen
 
Conférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenConférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofen
 
Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018
 
Séminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURSéminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTUR
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7   rencontre des attentes des autorités règlementaires - loi 64Module 7   rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014
 
Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...
 
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...
 
Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 

Plus de Cluster TWEED

Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Cluster TWEED
 
Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Cluster TWEED
 
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Cluster TWEED
 
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Cluster TWEED
 
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...Cluster TWEED
 
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Cluster TWEED
 
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Cluster TWEED
 
AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE Cluster TWEED
 
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Cluster TWEED
 
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...Cluster TWEED
 
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...Cluster TWEED
 
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Cluster TWEED
 
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Cluster TWEED
 
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfLes substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfCluster TWEED
 
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4  Efficacité énergétiques...Feedback - Back to the Future of Energy - Session #4  Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...Cluster TWEED
 
Matinée DIS4 - Energie Batiment
Matinée DIS4 - Energie BatimentMatinée DIS4 - Energie Batiment
Matinée DIS4 - Energie BatimentCluster TWEED
 
Handbook - Clusters H2O-TWEED
Handbook - Clusters H2O-TWEEDHandbook - Clusters H2O-TWEED
Handbook - Clusters H2O-TWEEDCluster TWEED
 
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...Cluster TWEED
 
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023Cluster TWEED
 

Plus de Cluster TWEED (20)

Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
 
Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...
 
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
 
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
 
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
 
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
 
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
 
AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE
 
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
 
TWEED-B2TF#5
TWEED-B2TF#5TWEED-B2TF#5
TWEED-B2TF#5
 
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
 
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
 
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
 
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
 
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfLes substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
 
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4  Efficacité énergétiques...Feedback - Back to the Future of Energy - Session #4  Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
 
Matinée DIS4 - Energie Batiment
Matinée DIS4 - Energie BatimentMatinée DIS4 - Energie Batiment
Matinée DIS4 - Energie Batiment
 
Handbook - Clusters H2O-TWEED
Handbook - Clusters H2O-TWEEDHandbook - Clusters H2O-TWEED
Handbook - Clusters H2O-TWEED
 
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...
The future of H2 economy with the position of H2 in Heavy duty mobility | Spa...
 
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023
Back to the Future of Energy - Session 2 - Stockage mutualise - 11.04.2023
 

Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024

  • 1.
  • 2. Green Mirror – Episode 1 – 22/02/24 2 Mapping Innovation Networking International Knowledge Partnerships
  • 3. Green Mirror – Episode 1 – 22/02/24 3 Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
  • 4. Green Mirror – Episode 1 – 22/02/24 4 6 épisodes pour puiser de l’inspiration au-delà de nos frontières #1 - 14/03 - WhatsUpp In… France, regarding energy communities ? #2 – 16/05 - WhatsUpp In… our neighboring countries (FR, NL, DE) regarding green molecule certification ? #3 - 06/06 – WhatsUpp In… the Netherlands regarding drilling and geothermal projects ? #4 – 29/08 – WhatsUpp In… Nordic countries regarding renewable energy communities ? #5 – 10/10 – WhatsUpp In… European Hydrogen Valleys ? #6 – 12/12 – WhatsUpp In… Switzerland regarding district heating ?
  • 5. Green Mirror – Episode 1 – 22/02/24 5 5 épisodes pour explorer la digitalisation et les technologies émergentes dans le secteur de l’énergie et de l’eau #1 - 22/02 La nouvelle réglementation NIS2 #2 - 25/04 Smart contracts and virtual power and heat purchase agreement - leurs utilisations dans le domaine de l’eau, de l’électricité et de la chaleur #3 – 06/06 No Lithium World – le stockage et la mobilité sans Lithium : comment fait-on ? #4 - 12/09 - Big Brother is metering you – quid de la collecte des données vs protection de la vie privée ? #5 – 28/11 - E-fuels, quel avenir ? Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
  • 6. Green Mirror – Episode 1 – 22/02/24 6 Green Mirror #1 La nouvelle réglementation cybersécurité NIS2 Réseaux électriques • Environnements à haut risque cyber • Echange d’informations sensibles entre sites • Vulnérabilité des compteurs communicants Nécessité de protéger cette sensibilité et d’assurer la sécurité énergétique Directive européenne NIS
  • 7. Green Mirror – Episode 1 – 22/02/24 7 La nouvelle réglementation cybersécurité NIS2 11:00 -11:05 Introduction - Mise en contexte par TWEED 11:05 - 11:35 Aspect Légal - Implications légales de la directive NIS 2, avec Philippe Laurent, expert juridique de l’Infopôle 11:35 - 11:50 Use Cases - Tour d’horizons de cas pratiques démontrant l’importance du pentesting, avec Giannino Cuignet, CEO de RedSystem 11:50 - 12:05 Et en pratique : quelles implications pour les PME et acteurs de l'énergie ? avec Vincent Ceriani, Head of cyber risk at NRB 12:05- 12 :10 Service aux PME & Appel à compétences – Infopôle 12 :10-12:30 Q&A modérées et mots de conclusion – Tweed
  • 8. Green Mirror – Episode 1 – 22/02/24 8 Posez vos questions via le chatbox !
  • 9. Green Mirror – Episode 1 – 22/02/24 9
  • 10. Green Mirror – Episode 1 – 22/02/24 10 WhatsUpp In… France, regarding energy communities in the thermal and electric sectors Programme préliminaire Introduction - Mise en contexte par TWEED Aspect légal - La transposition française des dispositions européennes relatives aux communautés d'énergie Par Clément Lacombe, chercheur spécialisé en sciences juridiques et droit public, Université de Pau et des Pays de l'Adour (tbc) Case study 1 - Retour d'expérience d'une initiative citoyenne A Nous l'Energie!, Par Capucine Marzet, Coordinatrice Energie Citoyenne, A Nous l'Energie! Renouvelable et solidaire 17. Case study 2 - Retour d'expérience d'une initiative d'entreprises Parc Industriel de la Plaine de l'Ain (PIPA), Par Audrey Ayrinhac, responsable environnement et sécurité, Syndicat Mixte du Parc Industriel de la Plaine de l'Ain. Q&A modérées et mots de conclusion Rendez-vous le jeudi 14 mars ! Inscrivez via le site de TWEED => https://clusters.wallonie.be/tweed/fr/agenda
  • 11.
  • 12. Approche juridique de la cybersécurité: NIS2, etc. Philippe Laurent Avocat au barreau de Bruxelles MVVP 22/02/2024
  • 13. IT : Tsunami législatif Factsheet sur KAIZENNER.EU
  • 14. ENISA (agence UE cybersécurité) Certification cybersécurité Projets Centre de compétence UE Centres nationaux Réseau => communauté Abroge et remplace NIS1 Sécurité de l’info au sein des institutions UE Cybersécurité au sein des institutions UE Cybersécurité des produits avec éléments digitaux (hardware/software) Coopération et coordination des efforts en UE
  • 15. NIS 1 & 2 • Directives : Cybersécurité • Protection des réseaux et systèmes d’information des infrastructures essentielles/importantes • NIS 1 : Directive (UE) 2016/1148 => abrogée le 18 octobre 2024 => remplacée par • NIS 2 : Directive (UE) 2022/2555 => transposition pour 17 octobre 2024 => BE : consultation publique sur avant-projet de loi achevée en décembre 2023 Obligations : Etats Membres Entreprises
  • 16. «réseau et système d’information»: a) un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
  • 17. «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles
  • 18. • «produit TIC», un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information; • «service TIC», un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information; • «processus TIC», un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance;
  • 19. Obligations des Etats membres • stratégie nationale en matière de cybersécurité (ex: politiques cybersécurité dans les chaînes d’approvisionnement, spécifications dans les marchés publics,…) • mise en place des autorités compétentes: • points de contact uniques en matière de cybersécurité (coop. Transfrontière) • autorités chargées de la gestion des cybercrises • centres de réponse aux incidents de sécurité informatique (CSIRT) (surveillance, assistance, alerte, scan proactif, divulgation de vulnérabilités…) => En Belgique: CCB : Centre for Cybersecurity Belgium NCCN : National Crisis Centrum CERT : Cyber Emergency Response Team • NIS 1 & 2 = Directives => Transposition • Listes entités essentielles / importantes / enregistrement noms de domaine • Supervision, exécution, sanction.
  • 20. Obligations des entreprises • Mesure de gestion des risques en matière de cybersécurité • Obligations d’information (/notification)
  • 21. NIS1 => NIS2 • Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont services publics, industries alimentaire, chimique et de fabrication, autres types d’organisations dans les secteurs de l’énergie et de la santé, infrastructures TIC, services de gestion du numérique, fournisseurs numériques). • Taille : Toutes les grandes et moyennes organisations (+ de 50 collaborateurs / + 10 millions d’euros de chiffre d’affaires annuel) => en Belgique : 100 => 2500 entités + cas particuliers => toutes tailles (réseaux télécom publics, registres DNS, prestataires de confiance + services essentiels, critiques, risques systémiques… + entités critiques visées par directive (UE) 2022/2557 + Possibilité d’extention par E.M.) • Distinctions : entités « essentielles » et « importantes » (voir tableau suivant) - même * gestion de la cybersécurité et * obligations de reporting - différents * régimes de supervisions et * de sanctions • Due diligence au niveau des fournisseurs IT => NIS 2 élargit le scope au « supply chain » • Mesures de sécurité plus détaillées • Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)
  • 22. = Nouveau secteurs NIS 2 = Elargissement par NIS 2
  • 24. Comparaison RGPD NIS / NIS 2 Concerne • Les données à caractère personnel • traitées par • tout responsable de traitement • Les réseaux et systèmes d’information de • certaines entreprises dans • certains secteurs d’activité Types d’obligations (pour les entreprises) Nombreuses DONT mesures de sécurité et notification des violations 1) Prendre des mesures de sécurité 2) Notifier les incidents Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au risque»,«confidentialité»,«intégrité»,«disponibilité». Appropriées / compte tenu des coûts de mises en œuvre + de la nature, de la portée, du contexte et des finalités de traitement nécessaires/proportionnées (critères : voir texte) => NIS 2 : détaillé (cfr. Infra) Notification : - quoi - condition - quand - à quelle autorité - aux “victimes” ? - violation de données à caractère personnel - risque pour droits et liberté des personnes - 72h après prise de connaissance de l’incident - Autorité de Protection des Données - Si risque élevé : notification aux personnes concernées dans les meilleurs délais - toute brèche de sécurité/ violation de données - impact important sur les réseaux et systèmes ou les utilisateurs + dommage matériel, corporel ou moral considérable. - NIS : ASAP (« sans retard ») / NIS2 : 24h (puis suivi 72h, intermédiaire et rapport final 1 mois) - CCB + NCCN + CSIRT (via 1 seule déclaration online) - aux destinataires des services dans les meilleurs délais (+ mesure de correction à prendre !)
  • 25. Quelles mesures de sécurité? • Gouvernance: • Décisions sur mesures de sécurité au niveau des organes de direction • Obligation de formation des entités et de leur personnel • Mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées / « tous risques » Au moins: a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; b) la gestion des incidents; c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
  • 26. d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs; e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité; g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
  • 27. Attention aux actes d’exécution de la commission • Commission adopte des actes d’exécution => exigences techniques et méthodologiques (liste d’activités domaine IT/Internet) • Commission PEUT adopter des actes d’exécution pour les autres secteurs.
  • 28. Conformité • Certification (art.24) Etat membre (et/ou commission par voie d’actes délégués) peut prescrire des certifications dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 • Normalisation (art.25) Encouragement à avoir recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information
  • 29. Notification • Un incident est considéré comme important si: a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée; b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. • Timeline (cfr supra) • NB: « Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification » (art. 23, 1) Attention aussi aux actes d’exécution de la commission (délais et critère d’importance)
  • 30. Sensibilisation du public (!) Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse.
  • 31. Coopération, etc… • Possibilité d’échanger des infos: communautés d’entités essentielles et importantes ainsi que, le cas échéant, de leurs fournisseurs ou prestataires de services => accords de partage d’information • Notification volontaire d’infos pertinentes
  • 32. Autorités : pouvoirs / sanctions • Supervision • Etablir les Priorités • Coopération avec APD (si violation de données à caractère personnel) • Mesure de supervision et exécution : Voir art. 31 et suivants =>…
  • 33. Entités essentielles Mesures d’exécution et supervision : au minimum: a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés; b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente; c) des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation de la présente directive par l’entité essentielle; d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée; e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27; f) des demandes d’accès à des données, à des documents et à toutes informations nécessaires à l’accomplissement de leurs tâches de supervision; g) des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.
  • 34. au minimum, pouvoir: a) d’émettre des avertissements concernant les violations de la présente directive par les entités concernées; b) d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances constatées ou aux violations de la présente directive; c) d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer; d) d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23, de manière spécifique et dans un délai déterminé; e) d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace; f) d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable; g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23; h) d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de manière spécifique; i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à h) du présent paragraphe. + poss. suspension certificat, interdiction temporaire etc.
  • 35. Critères d’évaluation : voir texte de la directive NB: !!! ….toute personne physique responsable d’une entité essentielle ou agissant en qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le pouvoir de veiller au respect, par l’entité, de la présente directive. Les États membres veillent à ce que ces personnes physiques puissent être tenues responsables des manquements à leur devoir de veiller au respect de la présente directive.
  • 36. Un peu moins contraignant pour les entités importantes…
  • 37. Amendes administratives • entités essentielles : montant maximal 10 000 000 EUR / 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu; • entités importantes : montant maximal 7 000 000 EUR / 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu. • Si amendes RGPD : mesures limitant le cumul (art. 35)
  • 38. RGPD • Pour mémoire : cfr supra
  • 39. DATA ACT • Règlement (projet adopté par le conseil le 27 novembre 2023) • Entrée en vigueur : dans +- 20 mois • Accès et utilisation équitables des données • Objets connectés (IoT) et services connexes • Services de traitement de données (cloud/SaaS)
  • 40. NB • Technical protection measures on the unauthorised use or disclosure of data 1. A data holder may apply appropriate technical protection measures, including smart contracts and encryption, to prevent unauthorised access to data, including metadata, and to ensure compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed contractual terms for making data available. Such technical protection measures shall not discriminate between data recipients or hinder a user’s right to obtain a copy of, retrieve, use or access data, to provide data to third parties pursuant to Article 5 or any right of a third party under Union law or national legislation adopted in accordance with Union law. Users, third parties and data recipients shall not alter or remove such technical protection measures unless agreed by the data holder.
  • 41. DATA GOVERNANCE ACT • Règlement (EU) 2022/868 • Entrée en vigueur : 23 juin 2022 • Applicable : 24 septembre 2023 • processus et structures pour faciliter les échanges de données • les conditions de réutilisation de certaines catégories de données détenues par des organismes du secteur public; • cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données; • cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes; et • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données.
  • 42. Réutilisation de données protégées détenues par des organismes du secteur public • Données protégées (confidentielles, secrets, P.I., DCP). • Interdiction des accords d’exclusivité • Conditions publiques, transparentes, non-discriminatoires, proportionnées,… • Mesures pour préserver le caractère protégé des données. Exemples • Anonymisation des DCP / modification/agrégation/traitement des autres • Accès à distance, environnement sécurisé • Accès présentiel, normes de sécurité élevées • NDA • Aide à obtenir le consentement • Transferts hors UE : conditions supplémentaires (contrat, etc.) • Redevances • Organisme competent (aide à la mise en place) • Point d’info unique • Procédure de demande (réponse dans les 2 mois)
  • 43. Service d’intermédiation de données • modèle commercial : fourniture d’un environnement sécurisé de partage de données => plateformes numériques d’échange de données entre entreprises. • Notification de l’activité auprès de l’autorité compétente … => LABEL https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services • Respect de 15 conditions (art.12) dont : • Ne pas utiliser soi-même les données • Conditions relatives aux formats, services additionnels, accès, interopérabilité… • procédures anti-fraude et anti-abus • Mesure de sécurité appropriées pour stockage, traitement, transmission DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD
  • 44. AI ACT • Projet de règlement – adopté en trilogue (« deal » 8 décembre 2023) • Version consolidée : fév.? • Doit être formellement adopté par le Conseil (fév./mars?) et par le parlement (avril?) • Application progressive (24 mois après entrée en vigueur) • mise sur le marché et l'utilisation de produits et services d'IA dans les pays de l'UE • Protection des droits fondamentaux (non- discrimination, liberté d’expression, vie privée/ données personnelles, procès équitable…) • Normalisation (sécurité, gouvernance, fiabilité, sécurité juridique) • Classification des IA en fonction du risque • Sanctions : < 40 mio eur / 7% C.A annuel
  • 45. Haut risque Exigences • établissement, mise en œuvre et maintenance d'un système de gestion des risques ; • entraînement, validation et contrôle des données, ainsi que la gouvernance des données ; • documentation technique avant la mise sur le marché d'un système afin de démontrer que le système d'IA à haut risque est conforme aux exigences imposées par le règlement ; • tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA tout au long de sa durée de vie ; • transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les utiliser de manière appropriée ; • la surveillance humaine ; • un niveau approprié de précision, de robustesse et de cybersécurité.
  • 46. Secrets d’affaires • Protégé que si protection du secret! => mesures de protection des données…
  • 47. Obligations de confidentialité • Contrats : NDA, etc. • Obligations légales (secret professionnel)
  • 48. Intellectual Property │ copyright, trademarks, models & designs, patents, trade names, databases, trade secrets, domain names : protection & filing, management strategy, advising, clearing, contracts, licensing, litigation,… ICT Law │ Internet, software development & distribution, cloud computing, outsourcing, Big Data, IoT, APIs, Artificial Intelligence, open source,… : licensing, SLAs, terms of use and of services, liabilities & warranties, supply chains management, distribution, dispute resolution,… Commercial & Distribution law │ e-commerce, distributorships, franchises, commercial agents, advertisement & marketing, promotional games, trade practices, consumer protection : advising, contracts, compliance, litigation,… Data Protection & Privacy │ conformity & compliance strategies (GDPR, etc.), advising, assessments, DPO as a service, coaching, training & awareness, privacy policies, contracts, litigation… Philippe LAURENT philippe.laurent@mvvp.be Lawyer at the Brussels Bar Counsel – MVVP DPO as a service
  • 50. PAGE 1 CAS D’USAGE SECTEUR ENERGIE
  • 51. PAGE 2 INTRODUCTION BIOGRAPHIE Giannino CUIGNET Ethical Hacker JOB Directeur | Redsystem CTO | Dashan Président | BeHack Enseignant | Sorbonne Hunter | YesWeHack Hunter | Bugcrowd EDUCATION Licence générale Sciences technologies santé mention informatique, Sécurité / sûreté de l'information des systèmes informatiques | CNAM Biotechnique finalité biomécanique et biomatériaux | Condorcet
  • 52. PAGE 3 Externe Infrastructure publique Phishing Ingénierie sociale Interne Attaque depuis le réseau local Physique Intrusion physique sur le site INTRODUCTION APPROCHES 4 approches différentes
  • 54. PAGE 5 Données de l’organisation chiffrées Exfiltration d’information Accès potentiel ICS (Industrial Control System) Destruction - Blackout IMPACT DRAMATIQUE
  • 56. en pratique : quelles implications pour les PME et acteurs de l'énergie VERS LA DIRECTIVE NIS 2 Vincent Ceriani – Head of CyberRisk Services vincent.ceriani@nrb.be
  • 57. 2 La directive NIS initiale a imposé un changement significatif vers l'amélioration de la cybersécurité, mais le cadre nécessite une révision constante pour refléter l'évolution du paysage des menaces. C'est pourquoi la directive NIS2 a été publiée afin d'aligner ses attentes et ses recommandations. L'intention de la Commission européenne avec la mise à jour de la législation est de : Renforcer le cadre réglementaire en matière de cybersécurité Obliger les autorités nationales à consacrer l'attention nécessaire à la cybersécurité Assurer une application uniforme dans les États membres Mettre en place une gouvernance efficace au niveau européen Renforcer la coopération européenne entre les autorités de cybersécurité Imposer aux principaux opérateurs des secteurs clés de notre société la prise de mesures de sécurité et la notification d’incidents CyberSécurité : la nouvelle normalité vincent.ceriani@nrb.be
  • 58. 3 Analyser et évaluer les risques de sécurité pour les systèmes informatiques Gestion des cyberattaques : prévention, détection, identification, confinement, atténuation et réponse Assurer la continuité des activités et la gestion des crises Assurer la sécurité de la chaîne d'approvisionnement en vérifiant les exigences de sécurité des fournisseurs et en empêchant qu'une attaque sur le réseau principal ne se propage à ces fournisseurs Assurer la sécurité dans le développement et la maintenance des systèmes d'information Assurer la sécurité des réseaux et des systèmes d'information par l'évaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2 Exigences minimales
  • 59. 4 • prévention, détection, identification, confinement, atténuation et réponse – SOC/SIEM - CSIRT Gestion des cyberattaques • Plan de continuité des activités (BCP / ISO22301) Continuité des activités •DevSecOps - OWASP Sécurité développement et la maintenance • Evaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Sécurité des réseaux et des systèmes d'information •Analyse de risques, plans de mitigation, tableTop, Audit interne Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2
  • 60. 5 Phase de découverte Analyse environnement IT Analyse de risque Audit Technique Identification des risques Analyse vulnérabilités/Pentest ➔ niveau de maturité / roadmap En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
  • 62. 7 Etablir les mesures de sécurité Définir les lignes de défense Sécuriser les données Gestion des accès Correction vulnérabilités / patching Garantir la continuité Visibilité sur les services critiques En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
  • 63. 8 Les rapports d'incident doivent contenir suffisamment de détails sur l'attaque elle-même. À l'aide d'outils et de technologies appropriés, l'équipe doit retracer les événements sur le réseau, les points finaux et les journaux des systèmes afin d'identifier toutes les données et métadonnées pertinentes pour aider à reconstituer la chaîne d'attaque, le scénario, l'entité et toute autre information pertinente. Le délai de soumission des rapports est généralement de quelques heures et dépend du type d'attaque et des spécifications de la législation nationale de chaque pays. Après l'incident, l'entreprise concernée doit envoyer un rapport final contenant une description détaillée et complète de ce qui s'est passé, ainsi que des dommages directs et indirects causés à l'entreprise ou à des tiers. Le rapport doit également contenir une description technique de l'attaque, les causes possibles, les mesures mises en œuvre pour en atténuer les effets et le plan d'amélioration à mettre en place pour réduire le risque de récurrence. vincent.ceriani@nrb.be Le signalement d’incident Le rapport
  • 64. 9 Identifier les risques Evaluer la maturité Définir les lignes de défense Détection d’incident Assurer la continuité Signalement d’incident Outils : CyberFundamentals Sensibilisation du personnel En pratique vincent.ceriani@nrb.be
  • 65. 10 Sensibilisation à la cybersécurité Télétravail vincent.ceriani@nrb.be
  • 66. 11 Sensibilisation à la cybersécurité vincent.ceriani@nrb.be
  • 68. LE RÉSEAU DES ACTEURS ET ÉCOSYSTÈMES NUMÉRIQUES DE WALLONIE
  • 69. 6 NOTRE COMMUNAUTÉ 152 Membres 90% PME 7209 ETP +10 Technologies Réseaux sociaux +5K 4977 Newsletter
  • 70. 7 RÉFÉRENT NUMÉRIQUE DE LA STRATÉGIE DIGITAL WALLONIA NOS PROJETS
  • 71. Que propose l’Infopole pour aider les entreprises à la recherche de partenaire informatique ?
  • 73. Chèque Cybersécurité ▪ KEEP IT SECURE 2017 Dispositif porté par l’AdN composé de la Grappe Cybersecurité de l’Infopole et deux CRA (Cetic et Multitel): • Aides et incitants financiers • Cadre méthodologique et conseils ▪ Objectif : Améliorer le niveau de sécurité informatique des entreprises wallonnes ▪ Quoi ? : Audit / Diagnostic portant sur la cybersécurité de votre entreprise + accompagnement et suivi de la mise en place de la politique de cybersécurité ▪ Intervention : 75% de max 50.000€ HTVA sur 3 ans
  • 74. • PME* (inf à 250 ETP et 50Mio de CA ou 43 Mio bilan) • Siège d’exploitation principal en RW * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Pour qui ?
  • 75. • Prestataires labellisés chèques entreprises Via la plateforme : https://www.cheques- entreprises.be Le client ne finance que sa cote part. * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Comment ?
  • 76. • En janvier 2022, 126 bénéficiaires ont pu être accompagnés par 32 experts pour un montant total de 818.000 €. • Le Chèque cybersécurité un audit ou un diagnostic
  • 77. Mail de phishing ? • hello@infopole.be • cyber@adn.be Vous ne savez pas par où commencer ? • suspect@safeonweb.be