Alors que la directive NIS2 entre progressivement en vigueur, un nouveau paysage réglementaire se dessine pour des milliers d’organisations européennes. En France, les OSE (Opérateurs de services essentiels) deviennent des EE et EI (Entités de services essentielles et importantes). Ce changement de terminologie se traduit par un élargissement ambitieux : plus de 10 000 entités sont désormais concernées, là où seules quelques centaines l’étaient jusqu’alors. Décryptage.
Si cette évolution marque un tournant pour la cybersécurité en Europe, elle représente aussi une formidable opportunité : celle de repenser notre modèle de souveraineté numérique en s’appuyant sur un écosystème local, robuste, et adapté aux besoins réels des organisations. La directive NIS2 a pour objectif de simplifier et d’unifier ce cadre en introduisant deux catégories communes à tous les pays de l’UE : les entités essentielles (EE) et les entités importantes (EI). Ces termes remplacent progressivement les appellations OSE ou Opérateurs de service essentiel (européennes) et complètent le régime des OIV ou Opérateurs d’importance vitale (national).
NIS2 : une réponse exigeante
La directive impose des obligations strictes. Les entités concernées doivent renforcer la sécurisation de leurs accès, mettre en place une surveillance continue de leur système d'information, établir des plans de réponse aux incidents, contrôler leur chaîne de sous-traitance et garantir une conformité juridique renforcée.
Autrement dit, la cybersécurité n’est plus une affaire de spécialistes. Elle devient un impératif stratégique, imposé à ces acteurs critiques de notre économie que sont les EE et EI.
Or, beaucoup de ces organisations, notamment parmi les ETI, les collectivités ou les établissements de santé, ne disposaient jusqu’alors ni des ressources ni de la maturité nécessaire pour intégrer un tel niveau d’exigence. Elles se retrouvent aujourd’hui au pied du mur, face à des obligations complexes, dans un environnement déjà contraint.
Face à NIS2, la souveraineté n’est plus une option
L’un des enseignements les plus clairs de cette évolution réglementaire, c’est qu’il devient de plus en plus risqué de dépendre exclusivement d’acteurs extra-européens pour assurer la sécurité de nos infrastructures critiques et entreprises.
La souveraineté numérique devient de facto une nécessité opérationnelle. Elle permet de garder la maîtrise des données sensibles, de garantir la conformité aux réglementations locales, d’assurer une réactivité accrue en cas d’incident, et de pouvoir s’appuyer sur des fournisseurs capables de comprendre les spécificités juridiques et techniques du marché.
Pourtant, dans les faits, les solutions les plus répandues sont souvent conçues hors d’Europe, difficilement compatibles avec le droit français et la réglementation européenne, complexes à déployer et pilotées à partir de bases de données mondiales, peu adaptées aux réalités locales.
Sécurité, simplicité, souveraineté et risques juridiques : les piliers d’une cybersécurité européenne
Pour répondre aux enjeux de NIS2, les solutions de Security Service Edge (SSE) jouent un rôle essentiel pour la sécurisation des infrastructures. Il faut néanmoins qu’elles soient adaptées aux exigences de sécurité et aux attentes particulières des organisations européennes.4 points de vigilances sont à considérer :
- Le Zéro Trust : Internet est devenu un espace trop dangereux pour laisser n’importe quel utilisateur avec n’importe quel device se connecter à n’importe quel contenu. Il faut opter pour des solutions capables de bloquer par défaut l’accès à tout contenu qui n’a pas fait l’objet d’une analyse préalable et considérée comme légitime. Il s’agit d’appliquer l’approche Zero Trust non seulement aux utilisateurs, mais aussi aux contenus. Cela nécessite une parfaite connaissance des comportements des utilisateurs européens.
- La simplicité : les organisations européennes sont confrontées à une pénurie de compétences et une inflation des normes. Elles doivent donc s’équiper de solutions simples à exploiter et à administrer.
- La souveraineté : Les solutions non européennes, notamment US, sont soumises à des lois extraterritoriales (Cloud Act, etc …) qui rentrent en contradiction avec le RGPD. Par ailleurs, ces solutions accèdent aux données les plus sensibles et secrètes des organisations.
- Les risques juridiques : l’Europe dispose de particularités juridiques notamment sur les contenus illicites, le droit du travail… et elles ont tendance à s’amplifier. Les solutions européennes y sont généralement sensibles, elles réduiront donc les risques juridiques.
Un enjeu collectif : soutenir le tissu industriel cyber souverain
Les donneurs d’ordre, DSI, RSSI, collectivités, doivent intégrer la souveraineté dans leur choix pour assurer la meilleure conformité à NIS2. Elles répondront mieux à leurs attentes. Le choix de la souveraineté européenne c’est aussi une réduction du risque de dépendance aux gros éditeurs américains qu’elle soit technologique ou financière.
Pour réussir, une mobilisation de l’ensemble de l’écosystème est indispensable. Les intégrateurs et partenaires technologiques doivent aussi faire le pari des solutions locales, interopérables et pérennes. Ils doivent, pour cela, les proposer dans leurs catalogues. Enfin, l'État doit jouer son rôle de catalyseur en fléchant une commande publique stratégique vers des solutions souveraines. À l’instar de l’appel à projets lancé par l’ANSSI pour renforcer la cybersécurité locale.
Par Alexandre Souillé, fondateur d’Olfeo
