Cybee m’aide-t-il à répondre aux exigences NIS2 ?
Oui — et la question est bien posée. La directive NIS2 s’applique aux organisations (entités essentielles et importantes), pas aux logiciels : aucun produit ne peut être « certifié NIS2 ». En revanche, le choix de la solution de sauvegarde pèse directement sur la capacité d’une entité à satisfaire plusieurs exigences de la directive. Voici lesquelles, et comment Cybee y répond.
Ce que NIS2 exige en matière de sauvegarde
L’article 21 de la directive impose aux entités concernées des mesures de gestion des risques cyber, parmi lesquelles figurent explicitement :
- La continuité des activités, incluant la gestion des sauvegardes et la reprise après sinistre ;
- L’utilisation de la cryptographie et du chiffrement ;
- La sécurité de la chaîne d’approvisionnement, c’est-à-dire la maîtrise des risques liés aux fournisseurs — y compris les prestataires de sauvegarde eux-mêmes.
Comment Cybee couvre ces exigences
Gestion des sauvegardes et résilience. Les sauvegardes sont stockées hors du système d’information de production, dans le Cloud européen, avec une redondance sur plusieurs zones de disponibilité. L’option d’immuabilité du stockage garantit qu’elles ne peuvent être ni altérées ni supprimées pendant leur période de rétention — y compris par un attaquant ayant compromis les accès d’administration. Les politiques de fréquence et de rétention sont librement paramétrables pour s’aligner sur les exigences de l’analyse de risque de l’entité.
Chiffrement. Les données sont chiffrées à la source en AES-256 authentifié, avant toute transmission, et protégées en transit par TLS. Les clés ne sont jamais accessibles en clair aux personnels de Cybee : le chiffrement et le déchiffrement s’exécutent exclusivement sur les systèmes du client.
Maîtrise de la chaîne d’approvisionnement. C’est un point souvent négligé : le prestataire de sauvegarde fait partie de la chaîne d’approvisionnement que NIS2 demande de maîtriser. Cybee apporte ici des garanties vérifiables : éditeur français, hébergement exclusivement dans l’Union européenne auprès d’hébergeurs nommés contractuellement (datacenters certifiés ISO/IEC 27001), aucun sous-traitant hors UE/EEE, et un moteur de sauvegarde open source (Restic) dont le fonctionnement est publiquement auditable — là où les solutions propriétaires imposent une confiance aveugle.
Traçabilité. Chaque opération de sauvegarde et de restauration fait l’objet de rapports consultables dans la console, permettant à l’entité de documenter l’effectivité de ses mesures — une exigence transverse de NIS2 vis-à-vis des autorités de contrôle.
Ce qui reste de la responsabilité de l’organisation
Un outil ne rend pas conforme à lui seul. Il appartient à l’entité de définir sa politique de sauvegarde à partir de son analyse de risque, de tester régulièrement ses restaurations, de superviser l’exécution de ses sauvegardes via les rapports fournis, et d’intégrer la reprise d’activité dans un plan plus large — le cas échéant avec un PRA managé comme celui de Nuabee, partenaire de Cybee.
Pour aller plus loin :
- NIS2 et sauvegarde : ce que la directive exige concrètement (article blog)
- Cybee est-elle une solution de PRA ? (fiche FAQ)
- Où sont stockées les sauvegardes ? (fiche FAQ)