La directive NIS2 entre en vigueur le 17 octobre : elle doit instaurer un nouveau cadre pour renforcer la cybersécurité en Europe. Mais la France, comme de nombreux pays, n'est pas encore prête.
L'Union européenne franchit une nouvelle étape dans sa stratégie de cybersécurité avec l'entrée en vigueur de la directive NIS2 ce jeudi 17 octobre. Le texte doit en théorie marquer une évolution majeure visant à harmoniser et renforcer les pratiques de sécurité numérique à l'échelle européenne. Mais la plupart des pays, dont la France, accusent du retard dans sa transposition. Des experts, certains sollicités par Clubic, nous expliquent les enjeux de cette réforme qui va bouleverser le paysage de la cybersécurité et concerner pas moins de 10 000 entités dans l'Hexagone.
La directive NIS2, c'est quoi ?
La directive NIS2 (Network and Information Security 2) succède à sa première version de 2016, avec l'ambition d'élever significativement le niveau de cybersécurité en Europe. Lors des Assises de la cybersécurité 2024 à Monaco, Thiébaut Meyer, Directeur Stratégies de Sécurité chez Google Cloud, a bien pu nous confirmer qu'il s'agit « d'une démarche qui doit harmoniser et élever le niveau de sécurité pour les entreprises en Europe. »
Cette nouvelle mouture élargit considérablement son champ d'application. « NIS2 englobe un champ élargi visant 600 types d'entités différentes, contre 12 en 2016 », précise Jean-Michel Tavernier, Country Manager France d'Armis. Sont désormais concernés 18 secteurs, répartis entre « critiques » et « hautement critiques », incluant notamment l'énergie, les transports, la santé, mais aussi les infrastructures numériques et l'administration publique. La directive distingue désormais les entités essentielles (comme les fournisseurs de réseaux et administrations publiques) et les entités importantes (transports, énergie, etc.).
L'un des points clés de NIS2 réside dans son approche proactive. David Grout, Directeur des Technologies chez Mandiant - Google Cloud aussi rencontré à Monaco, souligne : « On est plutôt dans une phase de fond qui permet de remonter le niveau global de cybersécurité. » L'objectif n'est plus seulement de réagir aux incidents, mais de prévenir en amont les failles de sécurité. Le but est vraiment d'instaurer une confiance durable entre les entreprises, leurs partenaires et leurs clients. En privilégiant donc l'action à la réaction.
12 octobre 2024 à 11h08
Un niveau de cybersécurité revu à la hausse
NIS2 impose aux entreprises concernées de mettre en place tout un arsenal de mesures pour renforcer leur cybersécurité. Thiébaut Meyer les détaille : « Il faut d'abord être sûr de connaître sa cartographie, son inventaire, savoir ce qu'on protège. Ensuite, les protéger, vraiment, trouver des mesures pour construire de la confiance. Enfin, sur la partie de préparation à l'incident, il faut aussi se préparer pour "le jour où ça arrive" », nous dit-il.
La directive met clairement l'accent sur plusieurs aspects cruciaux : la gestion des incidents, la formation du personnel, la sécurité de la chaîne d'approvisionnement, ainsi que l'authentification renforcée. Et David Grout d'ajouter : « On tire l'ensemble de la population vers le haut, d'un point de vue mise en place de l'hygiène, de la sécurité de base, de la gestion des vulnérabilités. » Les structures concernées devront également mettre en place une politique de sécurité solide, effectuer des analyses de risques régulières, et, comme nous le disions, renforcer leur hygiène de sécurité globale.
Un point central de NIS2 dont on peut aussi parler ici : l'obligation de notification rapide en cas d'incident. « La directive impose aux organisations un délai de notification de 24 heures seulement pour signaler un incident aux autorités compétentes », précise Carl Léonard, Responsable de la stratégie cybersécurité EMEA chez Proofpoint. Cette exigence vise à améliorer la réactivité et la coordination face aux menaces. Par ailleurs, le rôle de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sera renforcé, avec des contrôles et des inspections régulières, ainsi qu'une meilleure coordination avec la Commission européenne.
Des sanctions dissuasives pour les retardataires
Pour s'assurer de l'application effective de ces mesures, NIS2 prévoit un régime de sanctions conséquent. « Les autorités auront la possibilité d'ordonner la cessation de pratiques défaillantes, de rendre publiques les manquements constatés et d'exiger la mise en œuvre de mesures correctives », explique Carl Léonard.
Les amendes peuvent atteindre des montants considérables : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial. Thiébaut Meyer souligne que « ce ne sont pas que les équipes sécurité qui vont entendre parler de NIS2. On aura une prise en compte, une prise de conscience globale. » Les sanctions visent ici à dissuader les entreprises d'adopter des pratiques de cybersécurité laxistes et à les inciter à privilégier la continuité opérationnelle.
La France, une fois de plus en retard… mais c'est (presque) pour la bonne cause
Mais au-delà des sanctions financières, les conséquences pourront être plus lourdes encore. En cas de non-conformité, les autorités pourront par exemple « imposer la suspension temporaire d'un service, écarter un dirigeant de ses fonctions et engager sa responsabilité pour manquement à son obligation d'assurer la sécurité des systèmes d'information », détaille Carl Léonard. L'enjeu dépasse donc le simple aspect financier et touche directement à la réputation de l'entreprise et à la sécurité des usagers.
Malgré tout, la France, comme la majorité des pays européens, ne sera pas prête pour la date butoir du 17 octobre. L'ANSSI a annoncé laisser trois ans aux entités concernées pour se conformer. Une période de transition qui ne doit pas faire oublier l'urgence de la situation. Comme le résume Thiébaut Meyer, « il n'y aura pas de big bang, mais on va accélérer un petit peu sur les mesures concrètes. Puis concernant le texte, on prendra connaissance de sa version définitive un peu à la dernière minute, on s'adaptera ».
La course contre-la-montre est lancée pour les entreprises européennes. Cependant, plutôt que de voir NIS2 comme une contrainte, les entités visées peuvent la considérer comme une opportunité pour moderniser leurs pratiques de sécurité, renforcer leur compétitivité et améliorer leur réputation. Celles qui relèveront ce défi enverront un message clair : elles prennent la sécurité au sérieux et sont prêtes à protéger les données et systèmes critiques dans un monde numérique toujours plus menacé par les cybercriminels.