NIS2 : moins de complexité, plus de sécurité managée

Pouvez-vous nous rappeler les obligations liées à la directive NIS2 et les entreprises concernées ?

NIS2 est une directive européenne qui élargit le périmètre d’entités concernées par rapport à NIS1 en passant de 600 à 16 000 sociétés. Avec NIS2, on passe d’une cybersécurité très ciblée à une cybersécurité de masse. On ne cherche pas uniquement à sensibiliser les équipes informatiques dédiées dans chaque entreprise, mais on implique également la direction.

Free Pro est concerné par cette directive. Qu’avez-vous mis en œuvre pour assurer votre conformité ?

Nous sommes exposés en tant qu’hébergeur et opérateur et donc par essence visés par des cyberattaques. Ce qui nous oblige à montrer par l’exemple ce que nous pouvons faire pour nos clients. Cette démarche nous a conduit à nous rapprocher d’Itrust - notre filiale cyber - avec laquelle nous développons Cyber XPR, notre solution de cybersécurité pour les plateformes que nous hébergeons.

En quoi consiste la Solution Cyber XPR ?

Il s’agit d’un SOC, un centre de sécurité opérationnel, qui supervise tous nos équipements. Nous menons également de manière régulière des scans de vulnérabilité pour identifier d’éventuelles failles. Nous disposons aussi d’une solution d’EDR qui permet de protéger les postes de travail. En complément, nous avons renforcé l’authentification sécurisée, un point clé parce que c’est souvent le vecteur humain qui est la porte d’entrée des cyberattaques.

Quels sont les différents processus proposés dans le cadre de votre approche en cybersécurité ?

Nous proposons une approche globale pour sécuriser de bout en bout. Tout d’abord avec des audits pour identifier et analyser les risques, qui peuvent être menés par des spécialistes, ou de façon plus automatisée. Nous sensibilisons aussi les entreprises concernées et nos collaborateurs via des ateliers réguliers. Ensuite il y a les mesures pour protéger les réseaux et l’hébergement des données, avec des technologies EDR Managé et XDR Managé pour sécuriser tous les actifs du système d’information. En complément, nous proposons des tests de continuité et de reprise d’activité dans le cadre de PCA/PRA, un préalable pour la continuité des métiers exigée pour NIS2.

Quid des menaces émergentes ou non identifiées à l’heure actuelle ?

L’objectif est d’anticiper et de réagir face à des menaces parfois inconnues (« Zero Day »). Pour cela, nous nous appuyons sur les technologies souveraines développées par ITrust, mêlant Intelligence Artificielle, Threat Intelligence et Corrélation, pour capitaliser sur l’ensemble des événements qui menacent les systèmes d’information. Ces événements sont ensuite analysés par nos experts du SOC. C’est cette couche humaine qui nous permet de qualifier le niveau d’alerte et de contacter nos clients si nécessaire pour les accompagner jusqu’à la remédiation.

Sera-t-il possible de déléguer certaines tâches aux équipes de Free Pro ?

Dans le cadre de nos services managés, et selon la matrice de responsabilité (RACI) définie avec le client, nos équipes prennent la main sur par exemple la mise à jour de sécurité, les correctifs de vulnérabilité (CVE), les montées de versions, etc. Nous proposons aussi un Plan d’Assurance Sécurité.

Une spécificité propre à Free Pro c’est son positionnement “souverain”. Que pouvez-vous nous dire à ce propos ?

Nos équipes sont réparties entre Paris et Toulouse, ce qui est important en termes de proximité et pour mener des échanges en langue française. Nous sommes aussi une entité soumise au droit français. Enfin, nous sommes engagés dans une démarche de certification (ISO 27001, HDS, PCI-DSS), qualification (SecNumCloud) et conformité (RGPD, DSA, NIS2) constante. Nos solutions bénéficient du support de ITrust, filiale du groupe iliad certifiée ISO 9001 et qualifiée PASSI par l’ANSSI avec laquelle nous avons des échanges réguliers !

Parmi les obligations de NIS 2, il y a celle de prévenir l’ANSSI très rapidement en cas d’attaque. Comment aidez-vous vos clients dans ce cadre ?

Nous proposons via nos services managés de réduire le temps de détection d’une attaque pour les identifier de manière précoce. Ainsi, notre gestion d’incidents permet d’avoir des informations détaillée rapidement pour que nos clients remontent l’alerte sous 24H, puis la notifient formellement sous 72H auprès de l’ANSSI, un des attendus de NIS2. Avec nos solutions, nous pouvons déterminer le niveau de criticité et le profil des interlocuteurs à prévenir. Nous proposons ainsi un accompagnement qui s’inscrit dans une démarche de gestion de crise Cyber qui incombe à nos clients.

Si vous deviez synthétiser la ligne directrice de Free Pro en quelques mots, que diriez-vous ?

Nous cherchons à simplifier la mise en conformité de nos clients. La compétence en cybersécurité est rare, ce que nous proposons à nos clients c’est de prendre en charge la complexité au travers de notre accompagnement technique et humain.