La directive NIS 2 (Network and Information Systems) a pour but de renforcer la cybersécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle impose des obligations minimales en matière de cybersécurité et de déclaration d’incidents aux opérateurs de services essentiels (OSE) ainsi qu’aux fournisseurs de services numériques (FSD). Pour faire face à l’évolution constante des menaces, les responsables européens ont décidé d’élargir la portée de la directive NIS 2.
La directive NIS 2 est un texte législatif adopté par le Parlement et le Conseil de l’Union européenne le 14 décembre 2022, et qui vise à renforcer le niveau de cybersécurité dans l’Union. Elle remplace et abroge la directive NIS 1, et élargit le périmètre des entités soumises à des obligations de sécurité et de signalement des incidents, en couvrant des secteurs tels que l’énergie, les transports, la santé et les infrastructures numériques. Elle crée également une structure de gestion de crise cyber au niveau européen, appelée CyCLONe, qui rassemble les autorités nationales compétentes en matière de cybersécurité. La directive NIS 2 doit être transposée dans les législations nationales des États membres dans un délai de deux ans à compter de son entrée en vigueur, soit avant le mois de janvier 2024.
En France, 29 % des organisations ne mènent pas d’analyse des risques
La directive NIS 2 impose aux États membres de l’UE d’adopter ses dispositions avant janvier 2024 et de formuler des plans détaillés pour leur mise en œuvre. Elle met la responsabilité sur les dirigeants d’établir des critères et exigences en matière de cybersécurité, surtout pour les organisations qui sont cruciales pour l’économie et qui desservent une grande partie de la population. Les amendes pour non-conformité peuvent être substantielles.Une étude réalisée par Nozomi Networks, en collaboration avec Vanson Bourne, auprès de 300 décideurs en matière de sécurité IT d’entreprises de plus de 500 employés en Allemagne, France, Suède et Pays-Bas, révèle des défis considérables en matière de conformité. Les responsables interrogés soulignent la nécessité de sécuriser les systèmes au-delà des réseaux informatiques traditionnels, notamment dans les secteurs des infrastructures critiques.
Selon l’étude, le chemin à parcourir pour mettre en œuvre la directive NIS 2 semble tortueux. Alors qu’une visibilité totale sur tous les équipements et réseaux est cruciale pour être mieux protégé, et en conformité, 81 % des responsables interrogés déclarent que leur organisation manque de programmes associés à l’identification des équipements et à la gestion de l’inventaire. En France, 29 % des organisations ne mènent actuellement pas d’analyses des risques, un chiffre inquiétant quand on sait à quel point les systèmes et réseaux organisationnels (OT et IoT) des organisations des secteurs des infrastructures critiques sont régulièrement la cible de cyberattaques.
Le RSSI en première ligne
Selon l’étude, la responsabilité de la sécurisation des technologies opérationnelles (OT) et des systèmes IoT ne repose pas uniquement sur le responsable de la sécurité des systèmes d’information. Un peu plus du tiers des répondants (35 %) confie cette tâche au RSSI, 24 % à l’ensemble du département IT, et 18 % à l’OT, entre autres. Sur ce sujet, les disparités sont criantes, par exemple, le rôle du RSSI est plus important en France (43 %) qu’Allemagne (21 %).En matière de cybersécurité, les organisations présentent des lacunes, surtout en ce qui touche à leur Système d’information d’importance vitale (SIIV). Pour avoir une meilleure surveillance de leurs réseaux OT et IoT, il est impératif pour ces organisations d’adopter une approche de sécurité proactive. Cependant, l’étude indique que seulement la moitié des organisations suit un planning pour effectuer et actualiser l’analyse des risques associés à leur SIIV. De plus, 34 % le réalisent de façon occasionnelle. La France fait figure de mauvais élève, car 29 % des organisations sondées n’effectuent pas du tout d’analyse des risques. C’est le taux le plus élevé de l’étude. À titre de comparaison, ce taux est de 4 % en Allemagne et aux Pays-Bas et de 15 % au niveau mondial.
La conformité reste un défi considérable
Face à des acteurs malveillants toujours plus performants, cette extension du périmètre prévue par NIS 2 est sans précédent en matière de contraintes pour les entreprises. Pour preuve, seulement 6 % des organisations sont conformes à la directive NIS 1, celle de 2016. Cela suggère que la mise en œuvre de la directive NIS 2 représente un défi considérable pour de nombreuses organisations, notamment en termes de coût, de compatibilité, de sécurité et de formation. La mise en conformité qui implique l’achat de nouveaux équipements, la mise à niveau des logiciels existants, la maintenance et le support technique. Il faut aussi ajouter au coût de la conformité, celui d’éventuelles sanctions en cas de non-respect.De plus, la compatibilité de NIS 2 avec les systèmes d’information existants peut poser des problèmes techniques, car il faut assurer l’interopérabilité, la cohérence et la qualité des données échangées entre les différents acteurs. Il faut aussi veiller à ce que les performances et la disponibilité des services ne soient pas affectées par l’intégration. La formation du personnel est une autre contrainte pratique, parce qu'il faut sensibiliser les utilisateurs aux enjeux et aux bonnes pratiques liés à l’utilisation des nouveaux systèmes d’information. Il faut aussi leur fournir les compétences nécessaires pour exploiter efficacement les fonctionnalités de NIS 2, ainsi que pour résoudre les éventuels problèmes rencontrés. Sur ce point le retard est considérable, car, les responsables IT estiment que la formation est le domaine d’action de la directive NIS 2 dans lequel leur organisation est le plus en retard : seuls 7 % estiment leur organisation prête.
Alors que le paysage de la cybersécurité devient de plus en plus multiforme, la conformité sera une opportunité pour encourager l’amélioration de la sécurité dans tous les domaines, notamment l’économie et la sécurité nationale. Les mandats permettront de faire appliquer la nouvelle législation, et l’UE pourra infliger des amendes conséquentes à ceux qui ne se conformeraient pas à la directive.