Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Directive européenne En vigueur

NIS2 Directive

La directive européenne renforcée de cybersécurité impose des obligations de gestion des risques et de signalement d'incidents aux entités essentielles et importantes, avec un périmètre élargi à 18 secteurs critiques.

En bref

Statut
En vigueur
Type
Directive européenne
Portée
18 secteurs critiques

Vue d'ensemble

La directive NIS2 (directive 2022/2555) élargit considérablement les obligations de cybersécurité dans l'ensemble de l'Union européenne. L'article 21 impose explicitement la « cryptographie et le chiffrement » comme mesure de sécurité de base, faisant de la gestion des certificats et des clés un impératif réglementaire et non plus une simple bonne pratique.

La directive s'applique à environ 160 000 entités réparties dans 18 secteurs critiques, dont l'énergie, le transport, la banque, la santé, l'infrastructure numérique, l'administration publique, etc. Les organisations doivent mettre en œuvre des mesures complètes de gestion des risques, signaler les incidents significatifs sous 24 heures et garantir la sécurité de leur chaîne d'approvisionnement.

NIS2 introduit la responsabilité des dirigeants : la direction générale doit approuver et superviser les mesures de cybersécurité, et peut être tenue personnellement responsable en cas de manquement. Avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, les enjeux de la non-conformité sont considérables.

Exigences clés

Mesures de gestion des risques (art. 21)

Les entités doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de cybersécurité pesant sur leurs réseaux et systèmes d'information.

Cryptographie et chiffrement (art. 21.2.h)

L'article 21(2)(h) impose explicitement le recours à la cryptographie et, lorsque cela est approprié, au chiffrement, comme mesure de cybersécurité de base pour toutes les entités essentielles et importantes.

Signalement d'incidents (24 h / 72 h)

Les incidents significatifs doivent être signalés au CSIRT dans un délai de 24 heures (alerte précoce), avec une notification complète sous 72 heures et un rapport final sous un mois.

Sécurité de la chaîne d'approvisionnement

Les organisations doivent traiter les risques de cybersécurité dans leurs chaînes d'approvisionnement et leurs relations avec les fournisseurs, incluant les exigences de sécurité applicables aux fournisseurs directs et prestataires de services.

Responsabilité des dirigeants

Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, superviser leur mise en œuvre et peuvent être tenus personnellement responsables des manquements.

Continuité d'activité et gestion de crise

Les entités doivent mettre en œuvre des plans de continuité d'activité, des procédures de reprise après sinistre et des protocoles de gestion de crise pour garantir la résilience face aux incidents de cybersécurité.

Jalons clés

20
2020

Proposition

La Commission européenne propose NIS2 en décembre 2020 pour remplacer la directive NIS originale et élargir significativement son périmètre et ses pouvoirs d'application.

22
2022

Adoption

La directive (UE) 2022/2555 est formellement adoptée en décembre 2022, établissant des exigences harmonisées de cybersécurité dans 18 secteurs critiques.

24
2024

Échéance de transposition

Les États membres doivent transposer NIS2 en droit national d'ici le 17 octobre 2024. Les entités doivent commencer à se conformer aux nouvelles obligations.

25
2025 Actuel

Enregistrement des entités et premiers audits

Les entités essentielles et importantes s'enregistrent auprès des autorités nationales. Les premiers audits de conformité et actions de supervision démarrent dans les États membres.

25
2025 Application

Pleine application et sanctions

Régime d'application complet avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu, pour les organisations non conformes.

Impact sur la PKI et les certificats

Avec la cryptographie et le chiffrement explicitement imposés par l'article 21, NIS2 place la PKI et la gestion des certificats au cœur de la conformité. Voici les domaines critiques :
1

Les obligations de chiffrement exigent une couverture complète

L'exigence explicite de cryptographie signifie que les organisations doivent assurer une couverture TLS/certificats complète sur tous les systèmes, incluant les communications internes et les données au repos.

2

L'hygiène des certificats comme mesure de gestion des risques

Les certificats expirés, mal configurés ou faibles représentent des risques de cybersécurité. Une gestion appropriée du cycle de vie des certificats constitue désormais une mesure démontrable de gestion des risques au titre de NIS2.

3

Validation des certificats dans la chaîne d'approvisionnement

Les exigences de sécurité de la chaîne d'approvisionnement s'étendent à la validation des certificats : mTLS pour les communications partenaires, vérification des certificats de signature de code et évaluations de la posture de certificats des fournisseurs.

4

Réponse aux incidents pour les compromissions de certificats

Les compromissions de certificats (fuites de clés privées, violations d'AC) sont des incidents à signaler. Les organisations ont besoin de capacités de révocation rapides et de procédures claires de réponse aux incidents liés à la PKI.

Comment nous aidons

Evertrust & NIS2

Inventaire complet des certificatsHorizon découvre et inventorie tous les certificats à travers votre infrastructure, fournissant l'évaluation de la posture de chiffrement qu'exige l'article 21 de NIS2.

Renouvellement automatisé pour éviter les interruptionsLe renouvellement automatisé des certificats supprime les interruptions liées aux expirations, qui pourraient au titre de NIS2 déclencher des obligations de signalement d'incidents et engager la responsabilité des dirigeants.

Application des politiques pour les standards cryptographiquesImposez des tailles de clé minimales, des algorithmes approuvés et des configurations de certificats sur l'ensemble de votre organisation pour répondre aux exigences cryptographiques de NIS2.

Surveillance et alertes en temps réelDétectez les anomalies de certificats, les émissions non autorisées et les expirations imminentes en temps réel pour soutenir les exigences de détection d'incidents de NIS2.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts