Nouvelles de Belgique 

 

NIS2 en Belgique : qu’est-ce que cela signifie pour votre organisation – et comment vous préparer ?

 

La Belgique a transposé les directives NIS2 via la loi du 26 avril 2024 et l’Arrêté royal du 9 juin 2024. Cette transposition rend concrète l’application de la législation européenne en matière de cybersécurité aux organisations belges considérées comme essentielles ou importantes.

 

Le Centre pour la Cybersécurité Belgique (CCB) agit en tant qu’autorité nationale. CERT.be assure le rôle de CSIRT national (Computer Security Incident Response Team).

 

Un élément clé du cadre belge est la procédure de notification échelonnée selon le guide de notification du CCB :

  • Dans les 24 heures : Alerte précoce
  • Dans les 72 heures : Notification d’incident avec première évaluation
  • Dans un délai d’1 mois : Rapport final avec analyse et mesures correctives

Cela signifie que les organisations doivent non seulement être préparées sur le plan technique, mais aussi démontrer un contrôle effectif de leur gouvernance, de la gestion des accès et de la journalisation.

 

Sur quoi les auditeurs se concentrent-ils spécifiquement ?

Lors des audits NIS2, plusieurs points d’attention reviennent systématiquement :

 

1. Gouvernance et responsabilité

La direction est explicitement responsable de la cybersécurité.
Les auditeurs examinent :

  • Les documents de politique formels
  • Les évaluations des risques
  • L’implication démontrable du conseil d’administration

2. Fournisseurs et accès distant des tiers

La chaîne d’approvisionnement ICT représente un risque accru.
Questions essentielles :

  • Comment les fournisseurs obtiennent-ils l’accès ?
  • Cet accès est-il limité dans le temps et dans son périmètre ?
  • Existe-t-il une traçabilité complète ?

3. IAM, MFA et traçabilité

La gestion des identités et des accès (IAM) doit être robuste :

  • MFA obligatoire
  • Contrôle d’accès basé sur les rôles (RBAC)
  • Piste d’audit par utilisateur et par session

4. Journalisation, surveillance et éléments de preuve

Les logs doivent :

  • Être complets et inaltérables
  • Être stockés de manière centralisée
  • Être rapidement disponibles en cas de notification d’incident

5. Notification des incidents dans les délais légaux

La règle des 24h / 72h / 1 mois exige :

  • Des procédures internes d’escalade claires
  • Un plan de réponse aux incidents testé
  • Une communication documentée

Comment Netop Remote Access aide à la conformité NIS2 ?

 

Les organisations sont souvent confrontées à un problème central : un accès trop large via des solutions VPN classiques.

Netop adopte une approche fondamentalement différente :

 

1. Accès distant contrôlé et orienté tâche 

  • Au lieu d’un accès réseau étendu via VPN, Netop propose un accès point-à-point :
  • Accès uniquement aux systèmes spécifiques
  • Aucun mouvement latéral au sein du réseau
  • Surface d’attaque minimale

2. Contrôle fort des identités et des accès 

  • SSO et MFA obligatoire
  • Droits d’accès basés sur les rôles (RBAC)
  • Accès limité dans le temps et soumis à approbation
  • Cette approche soutient le principe du « moindre privilège ».

3. Preuves complètes via la journalisation et la vidéo 

  • Journaux de session détaillés
  • Enregistrements vidéo des sessions distantes
  • Politique de conservation adaptée aux exigences de conformité

4. Stockage sécurisé et chiffrement 

  • Sessions chiffrées de bout en bout
  • Stockage sécurisé des preuves dans AWS
  • Intégration avec des systèmes de journalisation centralisés

5. Dossier d’audit sur demande 

  • Des rapports exportables permettent de constituer rapidement un dossier d’audit complet.
  • Éléments de preuve typiquement demandés lors d’un audit

Lors d’un audit NIS2, des preuves concrètes sont généralement exigées, telles que : 

  • Politique d’accès distant et procédures d’approbation
  • Registre des fournisseurs
  • Configuration MFA et aperçus des rôles/utilisateurs
  • Logs et enregistrements vidéo
  • Intégration avec une journalisation centrale (p. ex. CloudTrail)
  • Procédures de réponse aux incidents et de notification (24h / 72h / 1 mois)

Les organisations capables de présenter ces éléments de manière structurée réduisent considérablement leur risque de non-conformité.

 

Conclusion

 

NIS2 n’est pas une obligation purement technique. Il s’agit d’une responsabilité de gouvernance avec des implications juridiques.

 

Les organisations qui ne peuvent pas démontrer un contrôle effectif de leur gouvernance, de la gestion des accès, de la journalisation et de la notification des incidents s’exposent à des sanctions ainsi qu’à des atteintes à leur réputation.

 

Une stratégie d’accès distant contrôlée, avec une traçabilité complète, n’est donc pas un luxe, mais une nécessité dans le nouveau cadre belge NIS2.

 

Disclaimer : Ce document est fourni à titre informatif uniquement et ne constitue pas un avis juridique.

 

 

 

Avec plus de 30 ans d’expérience dans les logiciels de contrôle à distance, Netop facilite des connexions fiables entre tous types d’appareils, de systèmes d’exploitation et de réseaux. Ces appareils peuvent être aussi bien supervisés (avec utilisateur) que non supervisés.

Netop Remote Access offre aux organisations un accès et un contrôle à distance sécurisés afin d’effectuer la maintenance, fournir une assistance et assurer la surveillance, tant à l’intérieur qu’à l’extérieur de leur environnement géré, avec le plus haut niveau de sécurité.

Netop est d’une importance cruciale pour certaines des plus grandes organisations mondiales dans les secteurs du commerce de détail, des administrations publiques, de la finance, de l’industrie manufacturière, de la santé, de la logistique et des TIC, où la continuité des activités est essentielle.