La Directive NIS 2 : comment se préparer ?
27 décembre 2024
Le 17 octobre 2024, la nouvelle directive NIS 2 est entrée en vigueur en Europe. Celle-ci prévoit, pour les PME, de nouvelles obligations relatives à la cybersécurité. Alors que l’intelligence artificielle défie les entreprises sur la gestion de leurs données, cette réglementation arrive à un moment clé pour la compétitivité des entreprises.
La cybercriminalité
La cybercriminalité recouvre l’ensemble des délits et crimes commis à l’encontre ou par le biais des systèmes d’information. Les menaces sont permanentes. Un cybercriminel cible potentiellement des grands groupes avec des données sensibles. Mais, pour y parvenir, il passe par le chemin le plus facile pour lui : un fournisseur, un prestataire ou un acteur de la chaîne de valeur moins protégé et moins sensibilisé.
La cybercriminalité est constituée de tout un écosystème. Son chiffre d’affaires est évalué à 4 à 5 fois celui du marché mondial de la drogue. Les cybercriminels s’attaquent par défaut aux systèmes d’information vulnérables : qu’ils soient non ou mal protégés. Le chemin d’une attaque cyber est très documenté. Les experts connaissent les différentes méthodes systématiquement utilisées.
La directive NIS 2
La directive NIS 2 a augmenté le nombre d’entreprises concernées par les obligations de sécurisation des systèmes d’information, que ce soit par l’élargissement à de nouveaux secteurs (35 secteurs concernés) ou par l’abaissement de la taille des entreprises (50 salariés). Au-delà des critères définis dans les textes officiels, toutes les entreprises vont devoir appliquer des obligations de base.
Les obligations et les exigences ont également été renforcées pour les entreprises directement ciblées par la directive. Ainsi, la sensibilisation des salariés pour les former aux bons usages et à la détection des problèmes y est annexée, parce que l’humain est la faille principale des risques cyber. La sécurité des systèmes d’information doit être la seconde brique. Il est à noter que toutes les structures collectant des données personnelles sont déjà concernées par le Règlement de protection des données (RGPD entré en vigueur le 25 mai 2018), qui contient en son sein de fortes obligations de sécurité.
Des sanctions directes sont prévues dans NIS 2 et sont très élevées (sanction pénale pour le dirigeant, 2 % du CA de l’entreprise…), mais également des sanctions indirectes, surtout pour les TPE-PME (perte de réputation, de marchés…). L’écosystème va progressivement exiger que les entreprises se protègent face aux menaces cyber comme une démarche qualité. La cybersécurité est un nouveau processus. Elle ne doit pas être considérée comme une obligation immuable à remplir. Elle est mouvante et doit être intégrée aux nouvelles façons de prduire.
Êtes-vous concerné par NIS 2 ?
Les entités directement impliquées par NIS 2 se répartissent en deux catégories : 10 secteurs dits essentiels et 8 secteurs dits importants. Les obligations vont dépendre de cette typologie. Parmi les secteurs essentiels, on relève l’administration publique. Parmi les secteurs importants, on compte, entre autres, les industries agroalimentaires ou de manufacture et les fournisseurs de services numériques.
Ainsi, il convient de savoir si votre entreprise est directement concernée ou non par ces nouvelles obligations. Pour cela, il suffit de remplir un test disponible sur le site MonespaceNIS2.
On mentionnera cependant que si vous réalisez des prestations pour une entité concernée par NIS 2, vous êtes susceptible d’être interrogé sur vos mesures de sécurité. En effet, toute la chaîne de valeur doit pouvoir justifier des mesures prises pour limiter les failles.
Comment se préparer à NIS 2 ?
Les entreprises vont devoir évaluer leur situation et mettre en place des mesures concrètes pour assurer leur prise en compte des risques cyber sur les plans juridique, technique et organisationnel.
Les obligations reposent sur trois piliers :
• La gestion de la sécurité des risques
Les éléments de sécurité à prévoir sont multiples et diffèrent d’une entité à une autre. Néanmoins, certaines actions de principe se dégagent :
- analyser les risques en incluant les fournisseurs et les partenaires ;
- tester la vulnérabilité puis mettre à niveau son système d’information ;
- sensibiliser et former les salariés ;
- mettre en place un plan de reprise d’activité informatique (PRA) comprenant un environnement de secours et une sauvegarde opérationnelle.
• L’information sur les mesures prises
La conformité doit être documentée pour en informer l’ANSSI, en cas de contrôle ou de demande de preuve lors d’un incident. Cela comprend notamment :
- le plan de reprise d’activité informatique et les résultats des tests du PRA,
- la liste des dispositions dans les contrats,
- le rapport d’audit interne,
- la liste des formations et sensibilisations des salariés.
• La déclaration des incidents
Une des nouvelles obligations consiste à tenir informée l’autorité de contrôle (l’ANSSI en France) en cas de constatation d’une faille de sécurité. Pour la remplir, il convient donc d’établir un plan de gestion des incidents.
Au-delà des obligations légales, la Fédération Cinov encourage tous ses membres à se renseigner et à mettre en place de nouvelles mesures pour renforcer la sécurité de leur système d’information afin de se prémunir d’une attaque et de ses conséquences économiques.