SlideShare une entreprise Scribd logo

Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024

Cluster TWEED
Cluster TWEED

La réglementation NIS porte sur la protection des réseaux et systèmes d'information des infrastructures essentielles et importantes. A partir d'octobre 2024, la directive NIS2 remplacera la précédente directive NIS1. La nouvelle réglementation concerne davantage de secteurs, élargit le scope au "supply chain", exige des mesures de sécurité plus détaillées et prévoit des sanctions plus strictes aux entreprises concernées qui ne s'y conforment pas. L'objectif de ce webinaire, organisé en collaboration avec l'Infopole, était d'analyser plus en détails les changements apportés par NIS2 et d'apporter des éclaircissements, tant sur les aspects légaux que pratiques pour sa mise en oeuvre au sein des entreprises.

Logiciels
1  sur  77
Télécharger pour lire hors ligne
Green Mirror – Episode 1 – 22/02/24 2 Mapping Innovation Networking International Knowledge Partnerships
Green Mirror – Episode 1 – 22/02/24 3 Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
Green Mirror – Episode 1 – 22/02/24 4 6 épisodes pour puiser de l’inspiration au-delà de nos frontières #1 - 14/03 - WhatsUpp In… France, regarding energy communities ? #2 – 16/05 - WhatsUpp In… our neighboring countries (FR, NL, DE) regarding green molecule certification ? #3 - 06/06 – WhatsUpp In… the Netherlands regarding drilling and geothermal projects ? #4 – 29/08 – WhatsUpp In… Nordic countries regarding renewable energy communities ? #5 – 10/10 – WhatsUpp In… European Hydrogen Valleys ? #6 – 12/12 – WhatsUpp In… Switzerland regarding district heating ?
Green Mirror – Episode 1 – 22/02/24 5 5 épisodes pour explorer la digitalisation et les technologies émergentes dans le secteur de l’énergie et de l’eau #1 - 22/02 La nouvelle réglementation NIS2 #2 - 25/04 Smart contracts and virtual power and heat purchase agreement - leurs utilisations dans le domaine de l’eau, de l’électricité et de la chaleur #3 – 06/06 No Lithium World – le stockage et la mobilité sans Lithium : comment fait-on ? #4 - 12/09 - Big Brother is metering you – quid de la collecte des données vs protection de la vie privée ? #5 – 28/11 - E-fuels, quel avenir ? Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
Green Mirror – Episode 1 – 22/02/24 6 Green Mirror #1 La nouvelle réglementation cybersécurité NIS2 Réseaux électriques • Environnements à haut risque cyber • Echange d’informations sensibles entre sites • Vulnérabilité des compteurs communicants Nécessité de protéger cette sensibilité et d’assurer la sécurité énergétique Directive européenne NIS
Green Mirror – Episode 1 – 22/02/24 7 La nouvelle réglementation cybersécurité NIS2 11:00 -11:05 Introduction - Mise en contexte par TWEED 11:05 - 11:35 Aspect Légal - Implications légales de la directive NIS 2, avec Philippe Laurent, expert juridique de l’Infopôle 11:35 - 11:50 Use Cases - Tour d’horizons de cas pratiques démontrant l’importance du pentesting, avec Giannino Cuignet, CEO de RedSystem 11:50 - 12:05 Et en pratique : quelles implications pour les PME et acteurs de l'énergie ? avec Vincent Ceriani, Head of cyber risk at NRB 12:05- 12 :10 Service aux PME & Appel à compétences – Infopôle 12 :10-12:30 Q&A modérées et mots de conclusion – Tweed
Green Mirror – Episode 1 – 22/02/24 8 Posez vos questions via le chatbox !
Green Mirror – Episode 1 – 22/02/24 9
Green Mirror – Episode 1 – 22/02/24 10 WhatsUpp In… France, regarding energy communities in the thermal and electric sectors Programme préliminaire Introduction - Mise en contexte par TWEED Aspect légal - La transposition française des dispositions européennes relatives aux communautés d'énergie Par Clément Lacombe, chercheur spécialisé en sciences juridiques et droit public, Université de Pau et des Pays de l'Adour (tbc) Case study 1 - Retour d'expérience d'une initiative citoyenne A Nous l'Energie!, Par Capucine Marzet, Coordinatrice Energie Citoyenne, A Nous l'Energie! Renouvelable et solidaire 17. Case study 2 - Retour d'expérience d'une initiative d'entreprises Parc Industriel de la Plaine de l'Ain (PIPA), Par Audrey Ayrinhac, responsable environnement et sécurité, Syndicat Mixte du Parc Industriel de la Plaine de l'Ain. Q&A modérées et mots de conclusion Rendez-vous le jeudi 14 mars ! Inscrivez via le site de TWEED => https://clusters.wallonie.be/tweed/fr/agenda
Approche juridique de la cybersécurité: NIS2, etc. Philippe Laurent Avocat au barreau de Bruxelles MVVP 22/02/2024
IT : Tsunami législatif Factsheet sur KAIZENNER.EU
ENISA (agence UE cybersécurité) Certification cybersécurité Projets Centre de compétence UE Centres nationaux Réseau => communauté Abroge et remplace NIS1 Sécurité de l’info au sein des institutions UE Cybersécurité au sein des institutions UE Cybersécurité des produits avec éléments digitaux (hardware/software) Coopération et coordination des efforts en UE
NIS 1 & 2 • Directives : Cybersécurité • Protection des réseaux et systèmes d’information des infrastructures essentielles/importantes • NIS 1 : Directive (UE) 2016/1148 => abrogée le 18 octobre 2024 => remplacée par • NIS 2 : Directive (UE) 2022/2555 => transposition pour 17 octobre 2024 => BE : consultation publique sur avant-projet de loi achevée en décembre 2023 Obligations : Etats Membres Entreprises
«réseau et système d’information»: a) un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
«sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles
• «produit TIC», un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information; • «service TIC», un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information; • «processus TIC», un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance;
Obligations des Etats membres • stratégie nationale en matière de cybersécurité (ex: politiques cybersécurité dans les chaînes d’approvisionnement, spécifications dans les marchés publics,…) • mise en place des autorités compétentes: • points de contact uniques en matière de cybersécurité (coop. Transfrontière) • autorités chargées de la gestion des cybercrises • centres de réponse aux incidents de sécurité informatique (CSIRT) (surveillance, assistance, alerte, scan proactif, divulgation de vulnérabilités…) => En Belgique: CCB : Centre for Cybersecurity Belgium NCCN : National Crisis Centrum CERT : Cyber Emergency Response Team • NIS 1 & 2 = Directives => Transposition • Listes entités essentielles / importantes / enregistrement noms de domaine • Supervision, exécution, sanction.
Obligations des entreprises • Mesure de gestion des risques en matière de cybersécurité • Obligations d’information (/notification)
NIS1 => NIS2 • Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont services publics, industries alimentaire, chimique et de fabrication, autres types d’organisations dans les secteurs de l’énergie et de la santé, infrastructures TIC, services de gestion du numérique, fournisseurs numériques). • Taille : Toutes les grandes et moyennes organisations (+ de 50 collaborateurs / + 10 millions d’euros de chiffre d’affaires annuel) => en Belgique : 100 => 2500 entités + cas particuliers => toutes tailles (réseaux télécom publics, registres DNS, prestataires de confiance + services essentiels, critiques, risques systémiques… + entités critiques visées par directive (UE) 2022/2557 + Possibilité d’extention par E.M.) • Distinctions : entités « essentielles » et « importantes » (voir tableau suivant) - même * gestion de la cybersécurité et * obligations de reporting - différents * régimes de supervisions et * de sanctions • Due diligence au niveau des fournisseurs IT => NIS 2 élargit le scope au « supply chain » • Mesures de sécurité plus détaillées • Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)
= Nouveau secteurs NIS 2 = Elargissement par NIS 2
https://ccb.belgium.be/si tes/default/files/NIS- 2%20Scope%20visual.pdf
Comparaison RGPD NIS / NIS 2 Concerne • Les données à caractère personnel • traitées par • tout responsable de traitement • Les réseaux et systèmes d’information de • certaines entreprises dans • certains secteurs d’activité Types d’obligations (pour les entreprises) Nombreuses DONT mesures de sécurité et notification des violations 1) Prendre des mesures de sécurité 2) Notifier les incidents Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au risque»,«confidentialité»,«intégrité»,«disponibilité». Appropriées / compte tenu des coûts de mises en œuvre + de la nature, de la portée, du contexte et des finalités de traitement nécessaires/proportionnées (critères : voir texte) => NIS 2 : détaillé (cfr. Infra) Notification : - quoi - condition - quand - à quelle autorité - aux “victimes” ? - violation de données à caractère personnel - risque pour droits et liberté des personnes - 72h après prise de connaissance de l’incident - Autorité de Protection des Données - Si risque élevé : notification aux personnes concernées dans les meilleurs délais - toute brèche de sécurité/ violation de données - impact important sur les réseaux et systèmes ou les utilisateurs + dommage matériel, corporel ou moral considérable. - NIS : ASAP (« sans retard ») / NIS2 : 24h (puis suivi 72h, intermédiaire et rapport final 1 mois) - CCB + NCCN + CSIRT (via 1 seule déclaration online) - aux destinataires des services dans les meilleurs délais (+ mesure de correction à prendre !)
Quelles mesures de sécurité? • Gouvernance: • Décisions sur mesures de sécurité au niveau des organes de direction • Obligation de formation des entités et de leur personnel • Mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées / « tous risques » Au moins: a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; b) la gestion des incidents; c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs; e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité; g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
Attention aux actes d’exécution de la commission • Commission adopte des actes d’exécution => exigences techniques et méthodologiques (liste d’activités domaine IT/Internet) • Commission PEUT adopter des actes d’exécution pour les autres secteurs.
Conformité • Certification (art.24) Etat membre (et/ou commission par voie d’actes délégués) peut prescrire des certifications dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 • Normalisation (art.25) Encouragement à avoir recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information
Notification • Un incident est considéré comme important si: a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée; b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. • Timeline (cfr supra) • NB: « Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification » (art. 23, 1) Attention aussi aux actes d’exécution de la commission (délais et critère d’importance)
Sensibilisation du public (!) Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse.
Coopération, etc… • Possibilité d’échanger des infos: communautés d’entités essentielles et importantes ainsi que, le cas échéant, de leurs fournisseurs ou prestataires de services => accords de partage d’information • Notification volontaire d’infos pertinentes
Autorités : pouvoirs / sanctions • Supervision • Etablir les Priorités • Coopération avec APD (si violation de données à caractère personnel) • Mesure de supervision et exécution : Voir art. 31 et suivants =>…
Entités essentielles Mesures d’exécution et supervision : au minimum: a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés; b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente; c) des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation de la présente directive par l’entité essentielle; d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée; e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27; f) des demandes d’accès à des données, à des documents et à toutes informations nécessaires à l’accomplissement de leurs tâches de supervision; g) des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.
au minimum, pouvoir: a) d’émettre des avertissements concernant les violations de la présente directive par les entités concernées; b) d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances constatées ou aux violations de la présente directive; c) d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer; d) d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23, de manière spécifique et dans un délai déterminé; e) d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace; f) d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable; g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23; h) d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de manière spécifique; i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à h) du présent paragraphe. + poss. suspension certificat, interdiction temporaire etc.
Critères d’évaluation : voir texte de la directive NB: !!! ….toute personne physique responsable d’une entité essentielle ou agissant en qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le pouvoir de veiller au respect, par l’entité, de la présente directive. Les États membres veillent à ce que ces personnes physiques puissent être tenues responsables des manquements à leur devoir de veiller au respect de la présente directive.
Un peu moins contraignant pour les entités importantes…
Amendes administratives • entités essentielles : montant maximal 10 000 000 EUR / 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu; • entités importantes : montant maximal 7 000 000 EUR / 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu. • Si amendes RGPD : mesures limitant le cumul (art. 35)
RGPD • Pour mémoire : cfr supra
DATA ACT • Règlement (projet adopté par le conseil le 27 novembre 2023) • Entrée en vigueur : dans +- 20 mois • Accès et utilisation équitables des données • Objets connectés (IoT) et services connexes • Services de traitement de données (cloud/SaaS)
NB • Technical protection measures on the unauthorised use or disclosure of data 1. A data holder may apply appropriate technical protection measures, including smart contracts and encryption, to prevent unauthorised access to data, including metadata, and to ensure compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed contractual terms for making data available. Such technical protection measures shall not discriminate between data recipients or hinder a user’s right to obtain a copy of, retrieve, use or access data, to provide data to third parties pursuant to Article 5 or any right of a third party under Union law or national legislation adopted in accordance with Union law. Users, third parties and data recipients shall not alter or remove such technical protection measures unless agreed by the data holder.
DATA GOVERNANCE ACT • Règlement (EU) 2022/868 • Entrée en vigueur : 23 juin 2022 • Applicable : 24 septembre 2023 • processus et structures pour faciliter les échanges de données • les conditions de réutilisation de certaines catégories de données détenues par des organismes du secteur public; • cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données; • cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes; et • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données.
Réutilisation de données protégées détenues par des organismes du secteur public • Données protégées (confidentielles, secrets, P.I., DCP). • Interdiction des accords d’exclusivité • Conditions publiques, transparentes, non-discriminatoires, proportionnées,… • Mesures pour préserver le caractère protégé des données. Exemples • Anonymisation des DCP / modification/agrégation/traitement des autres • Accès à distance, environnement sécurisé • Accès présentiel, normes de sécurité élevées • NDA • Aide à obtenir le consentement • Transferts hors UE : conditions supplémentaires (contrat, etc.) • Redevances • Organisme competent (aide à la mise en place) • Point d’info unique • Procédure de demande (réponse dans les 2 mois)
Service d’intermédiation de données • modèle commercial : fourniture d’un environnement sécurisé de partage de données => plateformes numériques d’échange de données entre entreprises. • Notification de l’activité auprès de l’autorité compétente … => LABEL https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services • Respect de 15 conditions (art.12) dont : • Ne pas utiliser soi-même les données • Conditions relatives aux formats, services additionnels, accès, interopérabilité… • procédures anti-fraude et anti-abus • Mesure de sécurité appropriées pour stockage, traitement, transmission DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD
AI ACT • Projet de règlement – adopté en trilogue (« deal » 8 décembre 2023) • Version consolidée : fév.? • Doit être formellement adopté par le Conseil (fév./mars?) et par le parlement (avril?) • Application progressive (24 mois après entrée en vigueur) • mise sur le marché et l'utilisation de produits et services d'IA dans les pays de l'UE • Protection des droits fondamentaux (non- discrimination, liberté d’expression, vie privée/ données personnelles, procès équitable…) • Normalisation (sécurité, gouvernance, fiabilité, sécurité juridique) • Classification des IA en fonction du risque • Sanctions : < 40 mio eur / 7% C.A annuel
Haut risque Exigences • établissement, mise en œuvre et maintenance d'un système de gestion des risques ; • entraînement, validation et contrôle des données, ainsi que la gouvernance des données ; • documentation technique avant la mise sur le marché d'un système afin de démontrer que le système d'IA à haut risque est conforme aux exigences imposées par le règlement ; • tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA tout au long de sa durée de vie ; • transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les utiliser de manière appropriée ; • la surveillance humaine ; • un niveau approprié de précision, de robustesse et de cybersécurité.
Secrets d’affaires • Protégé que si protection du secret! => mesures de protection des données…
Obligations de confidentialité • Contrats : NDA, etc. • Obligations légales (secret professionnel)
Intellectual Property │ copyright, trademarks, models & designs, patents, trade names, databases, trade secrets, domain names : protection & filing, management strategy, advising, clearing, contracts, licensing, litigation,… ICT Law │ Internet, software development & distribution, cloud computing, outsourcing, Big Data, IoT, APIs, Artificial Intelligence, open source,… : licensing, SLAs, terms of use and of services, liabilities & warranties, supply chains management, distribution, dispute resolution,… Commercial & Distribution law │ e-commerce, distributorships, franchises, commercial agents, advertisement & marketing, promotional games, trade practices, consumer protection : advising, contracts, compliance, litigation,… Data Protection & Privacy │ conformity & compliance strategies (GDPR, etc.), advising, assessments, DPO as a service, coaching, training & awareness, privacy policies, contracts, litigation… Philippe LAURENT philippe.laurent@mvvp.be Lawyer at the Brussels Bar Counsel – MVVP DPO as a service
Labellisations
PAGE 1 CAS D’USAGE SECTEUR ENERGIE
PAGE 2 INTRODUCTION BIOGRAPHIE Giannino CUIGNET Ethical Hacker JOB Directeur | Redsystem CTO | Dashan Président | BeHack Enseignant | Sorbonne Hunter | YesWeHack Hunter | Bugcrowd EDUCATION Licence générale Sciences technologies santé mention informatique, Sécurité / sûreté de l'information des systèmes informatiques | CNAM Biotechnique finalité biomécanique et biomatériaux | Condorcet
PAGE 3 Externe Infrastructure publique Phishing Ingénierie sociale Interne Attaque depuis le réseau local Physique Intrusion physique sur le site INTRODUCTION APPROCHES 4 approches différentes
PAGE 4 ATTAQUE Phishing Hackers Local Network Users Accounts Users Accounts VPN VPN Local Network Exploit Post Exploit
PAGE 5 Données de l’organisation chiffrées Exfiltration d’information Accès potentiel ICS (Industrial Control System) Destruction - Blackout IMPACT DRAMATIQUE
PAGE 6 Merci
en pratique : quelles implications pour les PME et acteurs de l'énergie VERS LA DIRECTIVE NIS 2 Vincent Ceriani – Head of CyberRisk Services vincent.ceriani@nrb.be
2 La directive NIS initiale a imposé un changement significatif vers l'amélioration de la cybersécurité, mais le cadre nécessite une révision constante pour refléter l'évolution du paysage des menaces. C'est pourquoi la directive NIS2 a été publiée afin d'aligner ses attentes et ses recommandations. L'intention de la Commission européenne avec la mise à jour de la législation est de : Renforcer le cadre réglementaire en matière de cybersécurité Obliger les autorités nationales à consacrer l'attention nécessaire à la cybersécurité Assurer une application uniforme dans les États membres Mettre en place une gouvernance efficace au niveau européen Renforcer la coopération européenne entre les autorités de cybersécurité Imposer aux principaux opérateurs des secteurs clés de notre société la prise de mesures de sécurité et la notification d’incidents CyberSécurité : la nouvelle normalité vincent.ceriani@nrb.be
3 Analyser et évaluer les risques de sécurité pour les systèmes informatiques Gestion des cyberattaques : prévention, détection, identification, confinement, atténuation et réponse Assurer la continuité des activités et la gestion des crises Assurer la sécurité de la chaîne d'approvisionnement en vérifiant les exigences de sécurité des fournisseurs et en empêchant qu'une attaque sur le réseau principal ne se propage à ces fournisseurs Assurer la sécurité dans le développement et la maintenance des systèmes d'information Assurer la sécurité des réseaux et des systèmes d'information par l'évaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2 Exigences minimales
4 • prévention, détection, identification, confinement, atténuation et réponse – SOC/SIEM - CSIRT Gestion des cyberattaques • Plan de continuité des activités (BCP / ISO22301) Continuité des activités •DevSecOps - OWASP Sécurité développement et la maintenance • Evaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Sécurité des réseaux et des systèmes d'information •Analyse de risques, plans de mitigation, tableTop, Audit interne Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2
5 Phase de découverte Analyse environnement IT Analyse de risque Audit Technique Identification des risques Analyse vulnérabilités/Pentest ➔ niveau de maturité / roadmap En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
6 CyberFundamentals Framework atwork.safeonweb.be vincent.ceriani@nrb.be
7 Etablir les mesures de sécurité Définir les lignes de défense Sécuriser les données Gestion des accès Correction vulnérabilités / patching Garantir la continuité Visibilité sur les services critiques En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
8 Les rapports d'incident doivent contenir suffisamment de détails sur l'attaque elle-même. À l'aide d'outils et de technologies appropriés, l'équipe doit retracer les événements sur le réseau, les points finaux et les journaux des systèmes afin d'identifier toutes les données et métadonnées pertinentes pour aider à reconstituer la chaîne d'attaque, le scénario, l'entité et toute autre information pertinente. Le délai de soumission des rapports est généralement de quelques heures et dépend du type d'attaque et des spécifications de la législation nationale de chaque pays. Après l'incident, l'entreprise concernée doit envoyer un rapport final contenant une description détaillée et complète de ce qui s'est passé, ainsi que des dommages directs et indirects causés à l'entreprise ou à des tiers. Le rapport doit également contenir une description technique de l'attaque, les causes possibles, les mesures mises en œuvre pour en atténuer les effets et le plan d'amélioration à mettre en place pour réduire le risque de récurrence. vincent.ceriani@nrb.be Le signalement d’incident Le rapport
9 Identifier les risques Evaluer la maturité Définir les lignes de défense Détection d’incident Assurer la continuité Signalement d’incident Outils : CyberFundamentals Sensibilisation du personnel En pratique vincent.ceriani@nrb.be
10 Sensibilisation à la cybersécurité Télétravail vincent.ceriani@nrb.be
11 Sensibilisation à la cybersécurité vincent.ceriani@nrb.be
12 vincent.ceriani@nrb.be
LE RÉSEAU DES ACTEURS ET ÉCOSYSTÈMES NUMÉRIQUES DE WALLONIE
6 NOTRE COMMUNAUTÉ 152 Membres 90% PME 7209 ETP +10 Technologies Réseaux sociaux +5K 4977 Newsletter
7 RÉFÉRENT NUMÉRIQUE DE LA STRATÉGIE DIGITAL WALLONIA NOS PROJETS
Que propose l’Infopole pour aider les entreprises à la recherche de partenaire informatique ?
Numérique Cybersécurité
Chèque Cybersécurité ▪ KEEP IT SECURE 2017 Dispositif porté par l’AdN composé de la Grappe Cybersecurité de l’Infopole et deux CRA (Cetic et Multitel): • Aides et incitants financiers • Cadre méthodologique et conseils ▪ Objectif : Améliorer le niveau de sécurité informatique des entreprises wallonnes ▪ Quoi ? : Audit / Diagnostic portant sur la cybersécurité de votre entreprise + accompagnement et suivi de la mise en place de la politique de cybersécurité ▪ Intervention : 75% de max 50.000€ HTVA sur 3 ans
• PME* (inf à 250 ETP et 50Mio de CA ou 43 Mio bilan) • Siège d’exploitation principal en RW * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Pour qui ?
• Prestataires labellisés chèques entreprises Via la plateforme : https://www.cheques- entreprises.be Le client ne finance que sa cote part. * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Comment ?
• En janvier 2022, 126 bénéficiaires ont pu être accompagnés par 32 experts pour un montant total de 818.000 €. • Le Chèque cybersécurité un audit ou un diagnostic
Mail de phishing ? • hello@infopole.be • cyber@adn.be Vous ne savez pas par où commencer ? • suspect@safeonweb.be

Recommandé

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
Les infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainLes infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainGimélec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 

Recommandé

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Cybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois NationalesCybersécurité - Directives Régionales et Lois Nationales
Cybersécurité - Directives Régionales et Lois Nationalesssuser586df7
 
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?
Earlegal #11 - Cybersécurité : quels défis pour votre entreprise ?Lexing - Belgium
 
Les infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainLes infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainGimélec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
3767-diaporama-adec.pdf
3767-diaporama-adec.pdf3767-diaporama-adec.pdf
3767-diaporama-adec.pdfAbasse KPEGOUNI
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
BT_Rennes_Slideshow
BT_Rennes_SlideshowBT_Rennes_Slideshow
BT_Rennes_SlideshowBoursesTechnos
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Cluster TWEED
 
10 ofen
10 ofen10 ofen
10 ofenTechnoArk
 
Conférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenConférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenLaurent Borella
 
Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201EBRC
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Raphael Rollier
 
Séminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURSéminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURCluster TWEED
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 
Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Cluster H2O
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Hortense Billot
 
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015yann le gigan
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Monimmeuble.com
 
Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets yann le gigan
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...Cluster TWEED
 
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermiqueAppel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermiqueCluster TWEED
 

Contenu connexe

Similaire à Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024

Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Seclab
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Cluster TWEED
 
Conférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenConférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenLaurent Borella
 
Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201EBRC
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Raphael Rollier
 
Séminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURSéminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURCluster TWEED
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 
Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Cluster H2O
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Hortense Billot
 
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015yann le gigan
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Monimmeuble.com
 
Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets yann le gigan
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 

Similaire à Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024 (20)

3767-diaporama-adec.pdf
3767-diaporama-adec.pdf3767-diaporama-adec.pdf
3767-diaporama-adec.pdf
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?
 
BT_Rennes_Slideshow
BT_Rennes_SlideshowBT_Rennes_Slideshow
BT_Rennes_Slideshow
 
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017Digital Energy - Blockchains | Gembloux - 16 novembre 2017
Digital Energy - Blockchains | Gembloux - 16 novembre 2017
 
10 ofen
10 ofen10 ofen
10 ofen
 
Conférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofenConférence TechnoArk 2016 - 10 ofen
Conférence TechnoArk 2016 - 10 ofen
 
Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201Revue de presse - EBRC - L'express - Octobre 201
Revue de presse - EBRC - L'express - Octobre 201
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018Connected Event - Cybersecurity 9 10 2018
Connected Event - Cybersecurity 9 10 2018
 
Séminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTURSéminaire Smart-Grid | TECHNIFUTUR
Séminaire Smart-Grid | TECHNIFUTUR
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014
 
Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022Digitalisation du secteur de l’eau - 1 décembre 2022
Digitalisation du secteur de l’eau - 1 décembre 2022
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...
 
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
"Big Data et objets connectés" Rapport Institut Montaigne - Avril 2015
 
Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...Big Data et objets connectés. Faire de la France un champion de la révolution...
Big Data et objets connectés. Faire de la France un champion de la révolution...
 
Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets Livre blanc Arcep : Préparer la révolution de l’internet des objets
Livre blanc Arcep : Préparer la révolution de l’internet des objets
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 

Plus de Cluster TWEED

webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...Cluster TWEED
 
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermiqueAppel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermiqueCluster TWEED
 
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...Cluster TWEED
 
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...Cluster TWEED
 
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Cluster TWEED
 
Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Cluster TWEED
 
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Cluster TWEED
 
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Cluster TWEED
 
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...Cluster TWEED
 
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Cluster TWEED
 
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Cluster TWEED
 
AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE Cluster TWEED
 
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Cluster TWEED
 
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...Cluster TWEED
 
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...Cluster TWEED
 
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Cluster TWEED
 
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Cluster TWEED
 
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfLes substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfCluster TWEED
 
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...Cluster TWEED
 

Plus de Cluster TWEED (20)

webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
webinaire-green-mirror-episode-2-Smart contracts and virtual purchase agreeme...
 
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermiqueAppel à projets PRW61 - Soutenir les réseaux d’énergie thermique
Appel à projets PRW61 - Soutenir les réseaux d’énergie thermique
 
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : acteurs, projets et ecosystemes des secteurs de l'energie et d...
 
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...
AG TWEED-H2O : Acteurs, projets et ecosystemes des secteurs de l'energie et d...
 
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
Webinaire | WhatsUpp in... France, regarding energy communities ? - 14 mars 2024
 
Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...Geothermal projects and district heating - Experience sharing from Iceland - ...
Geothermal projects and district heating - Experience sharing from Iceland - ...
 
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
Webinaire | Partage d'énergie : Présentation des procédures et outils du Régu...
 
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
Géothermie et Réseaux de Chaleur - Perspectives pour l'écosystème wallon - 07...
 
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
BHC Conference : Joining forces on Hydrogen – Belgium, Benelux and its neighb...
 
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
Obtenir un permis pour votre projet de transition energetique - 10 octobre 2023
 
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
Webinaire PPA - Power Purchase Agreement - 04 octobre 2023
 
AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE AMORCE - Living lab MADELEINE
AMORCE - Living lab MADELEINE
 
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
Activation du nouveau cadre legal des Communautes d’Energie et du Partage d’e...
 
TWEED-B2TF#5
TWEED-B2TF#5TWEED-B2TF#5
TWEED-B2TF#5
 
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
L’Open Data au service de l’eau et de l’energie : cas d’usage et workshop - 3...
 
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
La circularite de l'eau en industrie et dans les Zones d'Activite Economique ...
 
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
Session Eau et Energie lors de la Mission Economique Belge au Senegal - 22 ma...
 
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
Quelles technologies pour l'agri PV et quelle coexistence entre production ag...
 
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdfLes substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
Les substances chimiques et les micropolluants - 26 mai 2023AIRE CL-H2O.pdf
 
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
Feedback - Back to the Future of Energy - Session #4 Efficacité énergétiques...
 

Webinaire Green Mirror - Episode 1 | La nouvelle reglementation NIS2 - 22 fevrier 2024

  • 1.
  • 2. Green Mirror – Episode 1 – 22/02/24 2 Mapping Innovation Networking International Knowledge Partnerships
  • 3. Green Mirror – Episode 1 – 22/02/24 3 Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
  • 4. Green Mirror – Episode 1 – 22/02/24 4 6 épisodes pour puiser de l’inspiration au-delà de nos frontières #1 - 14/03 - WhatsUpp In… France, regarding energy communities ? #2 – 16/05 - WhatsUpp In… our neighboring countries (FR, NL, DE) regarding green molecule certification ? #3 - 06/06 – WhatsUpp In… the Netherlands regarding drilling and geothermal projects ? #4 – 29/08 – WhatsUpp In… Nordic countries regarding renewable energy communities ? #5 – 10/10 – WhatsUpp In… European Hydrogen Valleys ? #6 – 12/12 – WhatsUpp In… Switzerland regarding district heating ?
  • 5. Green Mirror – Episode 1 – 22/02/24 5 5 épisodes pour explorer la digitalisation et les technologies émergentes dans le secteur de l’énergie et de l’eau #1 - 22/02 La nouvelle réglementation NIS2 #2 - 25/04 Smart contracts and virtual power and heat purchase agreement - leurs utilisations dans le domaine de l’eau, de l’électricité et de la chaleur #3 – 06/06 No Lithium World – le stockage et la mobilité sans Lithium : comment fait-on ? #4 - 12/09 - Big Brother is metering you – quid de la collecte des données vs protection de la vie privée ? #5 – 28/11 - E-fuels, quel avenir ? Programme détaillé sur clusters.wallonie.be/tweed/fr/agenda
  • 6. Green Mirror – Episode 1 – 22/02/24 6 Green Mirror #1 La nouvelle réglementation cybersécurité NIS2 Réseaux électriques • Environnements à haut risque cyber • Echange d’informations sensibles entre sites • Vulnérabilité des compteurs communicants Nécessité de protéger cette sensibilité et d’assurer la sécurité énergétique Directive européenne NIS
  • 7. Green Mirror – Episode 1 – 22/02/24 7 La nouvelle réglementation cybersécurité NIS2 11:00 -11:05 Introduction - Mise en contexte par TWEED 11:05 - 11:35 Aspect Légal - Implications légales de la directive NIS 2, avec Philippe Laurent, expert juridique de l’Infopôle 11:35 - 11:50 Use Cases - Tour d’horizons de cas pratiques démontrant l’importance du pentesting, avec Giannino Cuignet, CEO de RedSystem 11:50 - 12:05 Et en pratique : quelles implications pour les PME et acteurs de l'énergie ? avec Vincent Ceriani, Head of cyber risk at NRB 12:05- 12 :10 Service aux PME & Appel à compétences – Infopôle 12 :10-12:30 Q&A modérées et mots de conclusion – Tweed
  • 8. Green Mirror – Episode 1 – 22/02/24 8 Posez vos questions via le chatbox !
  • 9. Green Mirror – Episode 1 – 22/02/24 9
  • 10. Green Mirror – Episode 1 – 22/02/24 10 WhatsUpp In… France, regarding energy communities in the thermal and electric sectors Programme préliminaire Introduction - Mise en contexte par TWEED Aspect légal - La transposition française des dispositions européennes relatives aux communautés d'énergie Par Clément Lacombe, chercheur spécialisé en sciences juridiques et droit public, Université de Pau et des Pays de l'Adour (tbc) Case study 1 - Retour d'expérience d'une initiative citoyenne A Nous l'Energie!, Par Capucine Marzet, Coordinatrice Energie Citoyenne, A Nous l'Energie! Renouvelable et solidaire 17. Case study 2 - Retour d'expérience d'une initiative d'entreprises Parc Industriel de la Plaine de l'Ain (PIPA), Par Audrey Ayrinhac, responsable environnement et sécurité, Syndicat Mixte du Parc Industriel de la Plaine de l'Ain. Q&A modérées et mots de conclusion Rendez-vous le jeudi 14 mars ! Inscrivez via le site de TWEED => https://clusters.wallonie.be/tweed/fr/agenda
  • 11.
  • 12. Approche juridique de la cybersécurité: NIS2, etc. Philippe Laurent Avocat au barreau de Bruxelles MVVP 22/02/2024
  • 13. IT : Tsunami législatif Factsheet sur KAIZENNER.EU
  • 14. ENISA (agence UE cybersécurité) Certification cybersécurité Projets Centre de compétence UE Centres nationaux Réseau => communauté Abroge et remplace NIS1 Sécurité de l’info au sein des institutions UE Cybersécurité au sein des institutions UE Cybersécurité des produits avec éléments digitaux (hardware/software) Coopération et coordination des efforts en UE
  • 15. NIS 1 & 2 • Directives : Cybersécurité • Protection des réseaux et systèmes d’information des infrastructures essentielles/importantes • NIS 1 : Directive (UE) 2016/1148 => abrogée le 18 octobre 2024 => remplacée par • NIS 2 : Directive (UE) 2022/2555 => transposition pour 17 octobre 2024 => BE : consultation publique sur avant-projet de loi achevée en décembre 2023 Obligations : Etats Membres Entreprises
  • 16. «réseau et système d’information»: a) un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
  • 17. «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles
  • 18. • «produit TIC», un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information; • «service TIC», un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information; • «processus TIC», un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance;
  • 19. Obligations des Etats membres • stratégie nationale en matière de cybersécurité (ex: politiques cybersécurité dans les chaînes d’approvisionnement, spécifications dans les marchés publics,…) • mise en place des autorités compétentes: • points de contact uniques en matière de cybersécurité (coop. Transfrontière) • autorités chargées de la gestion des cybercrises • centres de réponse aux incidents de sécurité informatique (CSIRT) (surveillance, assistance, alerte, scan proactif, divulgation de vulnérabilités…) => En Belgique: CCB : Centre for Cybersecurity Belgium NCCN : National Crisis Centrum CERT : Cyber Emergency Response Team • NIS 1 & 2 = Directives => Transposition • Listes entités essentielles / importantes / enregistrement noms de domaine • Supervision, exécution, sanction.
  • 20. Obligations des entreprises • Mesure de gestion des risques en matière de cybersécurité • Obligations d’information (/notification)
  • 21. NIS1 => NIS2 • Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont services publics, industries alimentaire, chimique et de fabrication, autres types d’organisations dans les secteurs de l’énergie et de la santé, infrastructures TIC, services de gestion du numérique, fournisseurs numériques). • Taille : Toutes les grandes et moyennes organisations (+ de 50 collaborateurs / + 10 millions d’euros de chiffre d’affaires annuel) => en Belgique : 100 => 2500 entités + cas particuliers => toutes tailles (réseaux télécom publics, registres DNS, prestataires de confiance + services essentiels, critiques, risques systémiques… + entités critiques visées par directive (UE) 2022/2557 + Possibilité d’extention par E.M.) • Distinctions : entités « essentielles » et « importantes » (voir tableau suivant) - même * gestion de la cybersécurité et * obligations de reporting - différents * régimes de supervisions et * de sanctions • Due diligence au niveau des fournisseurs IT => NIS 2 élargit le scope au « supply chain » • Mesures de sécurité plus détaillées • Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)
  • 22. = Nouveau secteurs NIS 2 = Elargissement par NIS 2
  • 24. Comparaison RGPD NIS / NIS 2 Concerne • Les données à caractère personnel • traitées par • tout responsable de traitement • Les réseaux et systèmes d’information de • certaines entreprises dans • certains secteurs d’activité Types d’obligations (pour les entreprises) Nombreuses DONT mesures de sécurité et notification des violations 1) Prendre des mesures de sécurité 2) Notifier les incidents Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au risque»,«confidentialité»,«intégrité»,«disponibilité». Appropriées / compte tenu des coûts de mises en œuvre + de la nature, de la portée, du contexte et des finalités de traitement nécessaires/proportionnées (critères : voir texte) => NIS 2 : détaillé (cfr. Infra) Notification : - quoi - condition - quand - à quelle autorité - aux “victimes” ? - violation de données à caractère personnel - risque pour droits et liberté des personnes - 72h après prise de connaissance de l’incident - Autorité de Protection des Données - Si risque élevé : notification aux personnes concernées dans les meilleurs délais - toute brèche de sécurité/ violation de données - impact important sur les réseaux et systèmes ou les utilisateurs + dommage matériel, corporel ou moral considérable. - NIS : ASAP (« sans retard ») / NIS2 : 24h (puis suivi 72h, intermédiaire et rapport final 1 mois) - CCB + NCCN + CSIRT (via 1 seule déclaration online) - aux destinataires des services dans les meilleurs délais (+ mesure de correction à prendre !)
  • 25. Quelles mesures de sécurité? • Gouvernance: • Décisions sur mesures de sécurité au niveau des organes de direction • Obligation de formation des entités et de leur personnel • Mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées / « tous risques » Au moins: a) les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information; b) la gestion des incidents; c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;
  • 26. d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs; e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités; f) des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité; g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité; h) des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement; i) la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs; j) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.
  • 27. Attention aux actes d’exécution de la commission • Commission adopte des actes d’exécution => exigences techniques et méthodologiques (liste d’activités domaine IT/Internet) • Commission PEUT adopter des actes d’exécution pour les autres secteurs.
  • 28. Conformité • Certification (art.24) Etat membre (et/ou commission par voie d’actes délégués) peut prescrire des certifications dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 • Normalisation (art.25) Encouragement à avoir recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information
  • 29. Notification • Un incident est considéré comme important si: a) il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée; b) il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. • Timeline (cfr supra) • NB: « Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification » (art. 23, 1) Attention aussi aux actes d’exécution de la commission (délais et critère d’importance)
  • 30. Sensibilisation du public (!) Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse.
  • 31. Coopération, etc… • Possibilité d’échanger des infos: communautés d’entités essentielles et importantes ainsi que, le cas échéant, de leurs fournisseurs ou prestataires de services => accords de partage d’information • Notification volontaire d’infos pertinentes
  • 32. Autorités : pouvoirs / sanctions • Supervision • Etablir les Priorités • Coopération avec APD (si violation de données à caractère personnel) • Mesure de supervision et exécution : Voir art. 31 et suivants =>…
  • 33. Entités essentielles Mesures d’exécution et supervision : au minimum: a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés; b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente; c) des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation de la présente directive par l’entité essentielle; d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée; e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27; f) des demandes d’accès à des données, à des documents et à toutes informations nécessaires à l’accomplissement de leurs tâches de supervision; g) des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.
  • 34. au minimum, pouvoir: a) d’émettre des avertissements concernant les violations de la présente directive par les entités concernées; b) d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances constatées ou aux violations de la présente directive; c) d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer; d) d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23, de manière spécifique et dans un délai déterminé; e) d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace; f) d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable; g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23; h) d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de manière spécifique; i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à h) du présent paragraphe. + poss. suspension certificat, interdiction temporaire etc.
  • 35. Critères d’évaluation : voir texte de la directive NB: !!! ….toute personne physique responsable d’une entité essentielle ou agissant en qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le pouvoir de veiller au respect, par l’entité, de la présente directive. Les États membres veillent à ce que ces personnes physiques puissent être tenues responsables des manquements à leur devoir de veiller au respect de la présente directive.
  • 36. Un peu moins contraignant pour les entités importantes…
  • 37. Amendes administratives • entités essentielles : montant maximal 10 000 000 EUR / 2% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu; • entités importantes : montant maximal 7 000 000 EUR / 1,4% du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu. • Si amendes RGPD : mesures limitant le cumul (art. 35)
  • 38. RGPD • Pour mémoire : cfr supra
  • 39. DATA ACT • Règlement (projet adopté par le conseil le 27 novembre 2023) • Entrée en vigueur : dans +- 20 mois • Accès et utilisation équitables des données • Objets connectés (IoT) et services connexes • Services de traitement de données (cloud/SaaS)
  • 40. NB • Technical protection measures on the unauthorised use or disclosure of data 1. A data holder may apply appropriate technical protection measures, including smart contracts and encryption, to prevent unauthorised access to data, including metadata, and to ensure compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed contractual terms for making data available. Such technical protection measures shall not discriminate between data recipients or hinder a user’s right to obtain a copy of, retrieve, use or access data, to provide data to third parties pursuant to Article 5 or any right of a third party under Union law or national legislation adopted in accordance with Union law. Users, third parties and data recipients shall not alter or remove such technical protection measures unless agreed by the data holder.
  • 41. DATA GOVERNANCE ACT • Règlement (EU) 2022/868 • Entrée en vigueur : 23 juin 2022 • Applicable : 24 septembre 2023 • processus et structures pour faciliter les échanges de données • les conditions de réutilisation de certaines catégories de données détenues par des organismes du secteur public; • cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données; • cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes; et • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données.
  • 42. Réutilisation de données protégées détenues par des organismes du secteur public • Données protégées (confidentielles, secrets, P.I., DCP). • Interdiction des accords d’exclusivité • Conditions publiques, transparentes, non-discriminatoires, proportionnées,… • Mesures pour préserver le caractère protégé des données. Exemples • Anonymisation des DCP / modification/agrégation/traitement des autres • Accès à distance, environnement sécurisé • Accès présentiel, normes de sécurité élevées • NDA • Aide à obtenir le consentement • Transferts hors UE : conditions supplémentaires (contrat, etc.) • Redevances • Organisme competent (aide à la mise en place) • Point d’info unique • Procédure de demande (réponse dans les 2 mois)
  • 43. Service d’intermédiation de données • modèle commercial : fourniture d’un environnement sécurisé de partage de données => plateformes numériques d’échange de données entre entreprises. • Notification de l’activité auprès de l’autorité compétente … => LABEL https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services • Respect de 15 conditions (art.12) dont : • Ne pas utiliser soi-même les données • Conditions relatives aux formats, services additionnels, accès, interopérabilité… • procédures anti-fraude et anti-abus • Mesure de sécurité appropriées pour stockage, traitement, transmission DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD
  • 44. AI ACT • Projet de règlement – adopté en trilogue (« deal » 8 décembre 2023) • Version consolidée : fév.? • Doit être formellement adopté par le Conseil (fév./mars?) et par le parlement (avril?) • Application progressive (24 mois après entrée en vigueur) • mise sur le marché et l'utilisation de produits et services d'IA dans les pays de l'UE • Protection des droits fondamentaux (non- discrimination, liberté d’expression, vie privée/ données personnelles, procès équitable…) • Normalisation (sécurité, gouvernance, fiabilité, sécurité juridique) • Classification des IA en fonction du risque • Sanctions : < 40 mio eur / 7% C.A annuel
  • 45. Haut risque Exigences • établissement, mise en œuvre et maintenance d'un système de gestion des risques ; • entraînement, validation et contrôle des données, ainsi que la gouvernance des données ; • documentation technique avant la mise sur le marché d'un système afin de démontrer que le système d'IA à haut risque est conforme aux exigences imposées par le règlement ; • tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA tout au long de sa durée de vie ; • transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les utiliser de manière appropriée ; • la surveillance humaine ; • un niveau approprié de précision, de robustesse et de cybersécurité.
  • 46. Secrets d’affaires • Protégé que si protection du secret! => mesures de protection des données…
  • 47. Obligations de confidentialité • Contrats : NDA, etc. • Obligations légales (secret professionnel)
  • 48. Intellectual Property │ copyright, trademarks, models & designs, patents, trade names, databases, trade secrets, domain names : protection & filing, management strategy, advising, clearing, contracts, licensing, litigation,… ICT Law │ Internet, software development & distribution, cloud computing, outsourcing, Big Data, IoT, APIs, Artificial Intelligence, open source,… : licensing, SLAs, terms of use and of services, liabilities & warranties, supply chains management, distribution, dispute resolution,… Commercial & Distribution law │ e-commerce, distributorships, franchises, commercial agents, advertisement & marketing, promotional games, trade practices, consumer protection : advising, contracts, compliance, litigation,… Data Protection & Privacy │ conformity & compliance strategies (GDPR, etc.), advising, assessments, DPO as a service, coaching, training & awareness, privacy policies, contracts, litigation… Philippe LAURENT philippe.laurent@mvvp.be Lawyer at the Brussels Bar Counsel – MVVP DPO as a service
  • 50. PAGE 1 CAS D’USAGE SECTEUR ENERGIE
  • 51. PAGE 2 INTRODUCTION BIOGRAPHIE Giannino CUIGNET Ethical Hacker JOB Directeur | Redsystem CTO | Dashan Président | BeHack Enseignant | Sorbonne Hunter | YesWeHack Hunter | Bugcrowd EDUCATION Licence générale Sciences technologies santé mention informatique, Sécurité / sûreté de l'information des systèmes informatiques | CNAM Biotechnique finalité biomécanique et biomatériaux | Condorcet
  • 52. PAGE 3 Externe Infrastructure publique Phishing Ingénierie sociale Interne Attaque depuis le réseau local Physique Intrusion physique sur le site INTRODUCTION APPROCHES 4 approches différentes
  • 54. PAGE 5 Données de l’organisation chiffrées Exfiltration d’information Accès potentiel ICS (Industrial Control System) Destruction - Blackout IMPACT DRAMATIQUE
  • 56. en pratique : quelles implications pour les PME et acteurs de l'énergie VERS LA DIRECTIVE NIS 2 Vincent Ceriani – Head of CyberRisk Services vincent.ceriani@nrb.be
  • 57. 2 La directive NIS initiale a imposé un changement significatif vers l'amélioration de la cybersécurité, mais le cadre nécessite une révision constante pour refléter l'évolution du paysage des menaces. C'est pourquoi la directive NIS2 a été publiée afin d'aligner ses attentes et ses recommandations. L'intention de la Commission européenne avec la mise à jour de la législation est de : Renforcer le cadre réglementaire en matière de cybersécurité Obliger les autorités nationales à consacrer l'attention nécessaire à la cybersécurité Assurer une application uniforme dans les États membres Mettre en place une gouvernance efficace au niveau européen Renforcer la coopération européenne entre les autorités de cybersécurité Imposer aux principaux opérateurs des secteurs clés de notre société la prise de mesures de sécurité et la notification d’incidents CyberSécurité : la nouvelle normalité vincent.ceriani@nrb.be
  • 58. 3 Analyser et évaluer les risques de sécurité pour les systèmes informatiques Gestion des cyberattaques : prévention, détection, identification, confinement, atténuation et réponse Assurer la continuité des activités et la gestion des crises Assurer la sécurité de la chaîne d'approvisionnement en vérifiant les exigences de sécurité des fournisseurs et en empêchant qu'une attaque sur le réseau principal ne se propage à ces fournisseurs Assurer la sécurité dans le développement et la maintenance des systèmes d'information Assurer la sécurité des réseaux et des systèmes d'information par l'évaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2 Exigences minimales
  • 59. 4 • prévention, détection, identification, confinement, atténuation et réponse – SOC/SIEM - CSIRT Gestion des cyberattaques • Plan de continuité des activités (BCP / ISO22301) Continuité des activités •DevSecOps - OWASP Sécurité développement et la maintenance • Evaluation des vulnérabilités, les tests de pénétration, les simulations d'attaques et d'autres activités similaires Sécurité des réseaux et des systèmes d'information •Analyse de risques, plans de mitigation, tableTop, Audit interne Tester et évaluer l'efficacité des mesures de gestion des risques liés à la sécurité informatique vincent.ceriani@nrb.be Transition vers NIS2
  • 60. 5 Phase de découverte Analyse environnement IT Analyse de risque Audit Technique Identification des risques Analyse vulnérabilités/Pentest ➔ niveau de maturité / roadmap En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
  • 62. 7 Etablir les mesures de sécurité Définir les lignes de défense Sécuriser les données Gestion des accès Correction vulnérabilités / patching Garantir la continuité Visibilité sur les services critiques En pratique vers NIS2 Avec CyberFundamentals et ISO27001 vincent.ceriani@nrb.be
  • 63. 8 Les rapports d'incident doivent contenir suffisamment de détails sur l'attaque elle-même. À l'aide d'outils et de technologies appropriés, l'équipe doit retracer les événements sur le réseau, les points finaux et les journaux des systèmes afin d'identifier toutes les données et métadonnées pertinentes pour aider à reconstituer la chaîne d'attaque, le scénario, l'entité et toute autre information pertinente. Le délai de soumission des rapports est généralement de quelques heures et dépend du type d'attaque et des spécifications de la législation nationale de chaque pays. Après l'incident, l'entreprise concernée doit envoyer un rapport final contenant une description détaillée et complète de ce qui s'est passé, ainsi que des dommages directs et indirects causés à l'entreprise ou à des tiers. Le rapport doit également contenir une description technique de l'attaque, les causes possibles, les mesures mises en œuvre pour en atténuer les effets et le plan d'amélioration à mettre en place pour réduire le risque de récurrence. vincent.ceriani@nrb.be Le signalement d’incident Le rapport
  • 64. 9 Identifier les risques Evaluer la maturité Définir les lignes de défense Détection d’incident Assurer la continuité Signalement d’incident Outils : CyberFundamentals Sensibilisation du personnel En pratique vincent.ceriani@nrb.be
  • 65. 10 Sensibilisation à la cybersécurité Télétravail vincent.ceriani@nrb.be
  • 66. 11 Sensibilisation à la cybersécurité vincent.ceriani@nrb.be
  • 68. LE RÉSEAU DES ACTEURS ET ÉCOSYSTÈMES NUMÉRIQUES DE WALLONIE
  • 69. 6 NOTRE COMMUNAUTÉ 152 Membres 90% PME 7209 ETP +10 Technologies Réseaux sociaux +5K 4977 Newsletter
  • 70. 7 RÉFÉRENT NUMÉRIQUE DE LA STRATÉGIE DIGITAL WALLONIA NOS PROJETS
  • 71. Que propose l’Infopole pour aider les entreprises à la recherche de partenaire informatique ?
  • 73. Chèque Cybersécurité ▪ KEEP IT SECURE 2017 Dispositif porté par l’AdN composé de la Grappe Cybersecurité de l’Infopole et deux CRA (Cetic et Multitel): • Aides et incitants financiers • Cadre méthodologique et conseils ▪ Objectif : Améliorer le niveau de sécurité informatique des entreprises wallonnes ▪ Quoi ? : Audit / Diagnostic portant sur la cybersécurité de votre entreprise + accompagnement et suivi de la mise en place de la politique de cybersécurité ▪ Intervention : 75% de max 50.000€ HTVA sur 3 ans
  • 74. • PME* (inf à 250 ETP et 50Mio de CA ou 43 Mio bilan) • Siège d’exploitation principal en RW * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Pour qui ?
  • 75. • Prestataires labellisés chèques entreprises Via la plateforme : https://www.cheques- entreprises.be Le client ne finance que sa cote part. * Sauf secteur d’exclusion : pêche, aquaculture, production primaire agricole Comment ?
  • 76. • En janvier 2022, 126 bénéficiaires ont pu être accompagnés par 32 experts pour un montant total de 818.000 €. • Le Chèque cybersécurité un audit ou un diagnostic
  • 77. Mail de phishing ? • hello@infopole.be • cyber@adn.be Vous ne savez pas par où commencer ? • suspect@safeonweb.be