L’ère hybride et la directive NIS 2 : un appel à la cybersécurité renforcée
Avec l’avènement de nouveaux modèles de travail hybride, des usages du cloud, de l’intelligence artificielle ainsi que de la mobilité, la flexibilité est devenue un mot d’ordre. Toutefois, cette flexibilité tant prisée a un prix que nous ne pouvons ignorer : une augmentation incontestable des risques en matière de cybersécurité.
Ce n’est pas une nouveauté, les cyberattaques sont en perpétuelle évolution, cherchant toujours à tirer parti des failles des systèmes. Avec la multiplication des points de connexion et des terminaux, la surface d’attaque n’a jamais été aussi étendue, rendant les entreprises plus vulnérables.
Face à un paysage changeant, l’Union européenne, en étroite collaboration avec l’ENISA (l’agence de l’Union européenne pour la cybersécurité), a pris des mesures fermes destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’UE, avec le vote par le Parlement européen de la directive NIS 2 (Network Information Security 2) le 10 novembre 2022.
Une amélioration de la directive NIS
Cette directive n’est pas une nouveauté en soi, mais une amélioration de la première directive adoptée en juillet 2016, dite NIS, en imposant des règles plus strictes concernant la déclaration d’incidents, la gestion des crises, la collaboration avec le CERT Européen EU-CyCLONe ou encore la sensibilisation.
Une évolution majeure concerne aussi l’élargissement de son champ d’application, et en particulier des secteurs industriels assujettis à cette régulation. Aujourd’hui, non seulement les géants de la technologie, les prestataires de services numériques (digital provider) et les plateformes en ligne sont concernés, mais également les petites structures de 50 salariés et les collectivités territoriales, ainsi que de nouveaux domaines tels que les services postaux, l’aéronautique, l’alimentaire ou encore la gestion des eaux. Une nécessité à l’heure où ces secteurs critiques sont des cibles privilégiées des cybercriminels, car ils jouent un rôle majeur dans l’économie, la sûreté des citoyens, la logistique et les services essentiels au bon fonctionnement de la société.
La mise en application de cette directive en droit national par les Etats membres est fixée au plus tard le 17 octobre 2024.
publicité
Les entreprises sont-elles prêtes à répondre aux exigences de NIS 2 ?
L’enjeu ? Une préparation accrue face aux cybermenaces. D’après l’Anssi, la directive devrait s’appliquer à des milliers d’entités appartenant à plus de 18 secteurs et pourtant, selon une étude de Cisco, une fraction minime (7 %) des organisations en France semble prête à affronter ces défis. Ce constat est alarmant, car il est crucial pour elles de se conformer dès à présent à NIS 2 afin d’éviter des amendes et des pénalités potentielles dans un an, qui seront précises et spécifiques aux lois transposées dans les Etats membres de l’Union européenne. D’ores et déjà, la directive donne les indications maximales ci-dessous :
- Des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total sont prévues pour les entités essentielles, et des amendes allant jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total pour les entités importantes.
- En sus des sanctions financières (comme nous le voyons pour la RGPD), la directive prévoit des interdictions temporaires d’exercer des fonctions de direction, en cas de non-respect des obligations de cybersécurité. Les comités de direction et dirigeants seront responsables de la mise en œuvre.
Comment les secteurs public et privé devraient se préparer ?
Pour commencer, les autorités doivent créer des cadres réglementaires clairs et efficaces. Trop souvent, les entreprises sont embourbées dans une bureaucratie contraignante qui entrave plutôt qu’elle n’aide. Il est nécessaire de mettre en place des processus simplifiés, sans sacrifier la rigueur.
Du côté des entreprises, l’approche doit être pragmatique. Les nouvelles réglementations ne doivent pas être perçues comme de simples boîtes à cocher, mais comme des leviers pour améliorer la sécurité. Avec l’avènement du cloud, de la mobilité et du travail hybride, même les PME ont les moyens de renforcer leur posture en matière de cybersécurité. Cela peut passer par des formations plus approfondies des collaborateurs afin de favoriser une prise de conscience plus globale sur les enjeux de la cybersécurité au sein de l’entreprise. Les PME peuvent aussi profiter de services de diagnostic, comme celui proposé par Bbifrance par exemple, qui permet à ces entreprises d’identifier leurs vulnérabilités face aux cybermenaces et de concevoir un plan d’action concret pour combler les failles dans leurs systèmes de sécurité informatique. Les entreprises ont également accès à diverses solutions que les fournisseurs de services et produits de cybersécurité ont peu à peu unifiées et simplifiées, ainsi qu’à des services tels que cybermalveillance.gouv.fr pour les accompagner tout au long de ce processus.
En conclusion, si la directive NIS 2 est un pas dans la bonne direction, elle nous rappelle également l’importance d’une approche proactive en matière de cybersécurité. C’est une responsabilité collective : les régulateurs, les entreprises et les utilisateurs doivent unir leurs forces pour créer un environnement numérique sûr.
