Comme dans plus de 80 % des cas les attaques cyber ont pour origine une faille humaine, la directive énonce que “les mesures de gestion des risques devraient prévoir une analyse systémique qui tienne compte du facteur humain” (Considérant n° 78).
Le niveau d’exposition d’une entreprise aux risques cyber humains dépend de l’étendue et du cumul d’empreintes numériques de ses dirigeants et collaborateurs. L’empreinte numérique se compose des données professionnelles et personnelles exposées sur Internet, des réseaux sociaux jusqu’au darkweb, offrant toute la matière nécessaire aux cybercriminels pour satisfaire leurs scénarios d’attaque ciblés contre les dirigeants et collaborateurs. Ce cumul d’empreintes numériques permet de définir la surface d’attaque humaine de l ’entreprise, empreintes qu’il convient de mesurer et de réduire.
Plus une entreprise réduit sa surface d’attaque humaine, moins elle expose son écosystème. L’extension du champ d’application de NIS 2 à de plus petits acteurs du tissu économique s’explique par la multiplication des attaques envers ces derniers, mais également par le phénomène grandissant des attaques par rebond. Les entités concernées par NIS 2 ont ainsi l’obligation de “s’assurer de la sécurité de leur chaîne d’approvisionnement (article 21 de la Directive)”, qu’il s’agisse de leurs prestataires ou de leurs fournisseurs (la supply chain). Pour une entreprise victime d’une cyberattaque, 150 autres sont en danger (Baromètre ANOZR WAY du ransomware).
S’équiper d’une solution d’alerte pour être prévenu en cas de fuite de données constitue un sérieux atout s’agissant de répondre aux objectifs visés par la Directive. En effet, plus vite est détectée la fuite de données, plus rapide et efficace sera la réponse de l’entreprise pour faire cesser l’intrusion, mais également la notifier auprès de l’ANSSI, ses entreprises partenaires ainsi que ses clients (déclaration en deux étapes : une “alerte précoce” suivant les 24 heures de la prise de connaissance de l’incident, puis une “notification d’incident” dans les 72 heures – Considérant n° 102). Détecter ces incidents est un préalable indispensable à leur notification, et il est nécessaire de réagir très vite avant que ces données fuitées soient exploitées et qu’elles fragilisent non seulement l’entreprise mais également toute la supply chain. S’équiper d’une solution complète de gestion des risques humains, intégrant la détection de fuites de données, permet de répondre aux objectifs fixés par la Directive, et de démontrer que son entreprise s’est conformée à l’obligation de moyens que le texte exige.
Les entités concernées peuvent renforcer leur cybersécurité en intégrant “l’intelligence artificielle ou les systèmes d’apprentissage automatique, afin d’améliorer leurs capacités et la sécurité des réseaux et des systèmes d’information” (Considérant n° 89).