Dans notre monde interconnecté, la cybersécurité est devenue une préoccupation majeure pour toutes les organisations. Selon Statista, plus de 181 zettaoctets de données devraient être accessibles via Internet en 2025, démontrant l’importance des enjeux liés à la cybersécurité. Ainsi, les entreprises doivent s'adapter au risque récurrent de vol et d'utilisation abusive des données.

Deux nouvelles réglementations européennes, la directive NIS2 et la loi sur
la cyber-résilience (Cyber ​​Resilience Act), répondent à la menace des cyberattaques. Les entreprises ont encore du mal à appréhender l'impact sur leurs projets et à déterminer quel niveau atteindre afin de répondre à ces enjeux.

La directive sur la sécurité des réseaux et de l'information (NIS 2)

La directive européenne NIS 2, transposée par les États membres depuis le 17 octobre 2024, permet de renforcer la sécurité des infrastructures de réseau et uniformise le niveau de cybersécurité dans l'UE. Applicable aux organisations privées et publiques de plus de
50 employés et réalisant un chiffre d’affaires supérieur à 10 millions d’euros, NIS 2 cible les entités fournissant des services ou des biens sensibles ainsi que celles ayant des infrastructures critiques.

Pour rappel, NIS 2 est une extension de la directive NIS de 2016 (NIS-D), qui avait répertorié sept secteurs critiques, comme l'énergie, la santé, les transports, les banques et les services financiers. NIS 2 étend ce champ d'application à 18 secteurs, impliquant plus de 100 000 organisations européennes supplémentaires.

Principales exigences

Prise en compte de nouveaux champs d’actions : En plus de minimiser l'impact des incidents sur les bénéficiaires des services, les organisations doivent mettre en place des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité du réseau.

Évaluation de la supply chain : Les organisations sont tenues d'évaluer les risques en cybersécurité de leurs chaînes d'approvisionnement mais aussi de leurs échanges avec leurs fournisseurs. Aujourd'hui, un fournisseur victime d’une infraction peut aussi impacter les organisations avec lesquelles il est en relation. Plus grave, même si ce fournisseur est situé en dehors de l'UE, l’entreprise peut être tenue pour responsable
en cas de non-conformité.

Transfert de responsabilité : NIS 2 introduit la notion de transfert de responsabilité en matière de conformité vers les individus au sein de l'organisation. Pour la première fois, les représentants légaux sont tenus pour personnellement responsables notamment d’un point de vue financier s'ils ne respectent pas les directives légales de NIS 2.

Nouvelles procédures : Elles concernent principalement la mise en place de contrôles, la notification des infractions et des sanctions en cas de non-conformité.

Loi sur la cyber-résilience (Cyber Resilience Act)

Récemment ratifiée par le Parlement européen, la loi sur la cyber-résilience devrait être mise en œuvre au cours des trois prochaines années. Alors que NIS 2 se concentre sur la cybersécurité organisationnelle, la loi sur la cyber-résilience concerne les industriels et les fournisseurs de produits comportant un « élément numérique connecté ». Elle instaure un cadre de cybersécurité uniforme pour ces produits, englobant à la fois le matériel et les logiciels et s'appliquera à une large gamme de produits, des babyphones
aux applications mobiles.

Exigences clés

Normes de cybersécurité des produits : En vertu de la loi sur la cyber-résilience, les produits numériques vendus dans l'UE devront respecter et garantir la prise en compte des exigences de sécurité uniformes dès la conception et la planification du projet, puis lors du processus de fabrication et ce, jusqu’à son développement final.

Le devoir de diligence : Les fabricants et les vendeurs de logiciels auront l’obligation de respecter un certain niveau de vigilance pour garantir la sécurité tout au long du cycle de vie du produit. Ils devront veiller à ce que ces produits restent sécurisés en fournissant régulièrement les mises à jour nécessaires.

Transparence accrue : Les produits conformes à ces normes seront labellisés par le « marquage CE ». Les consommateurs et les entreprises pourront ainsi choisir en connaissance de cause les produits qu'ils utiliseront.

Les défis de la conformité

Même si certaines organisations disposent déjà de mesures de sécurité conformes aux nouvelles législations, beaucoup d’autres devront procéder à des changements importants au cours des prochaines années.

Impact financier : Selon l'UE, les entreprises devront investir environ 5 % de leur chiffre d'affaires global pour se conformer à ces nouvelles réglementations : cela couvrira des dépenses telles que le recrutement d'experts en cybersécurité, l'installation de nouveaux matériels et logiciels et la mise à jour des processus de cybersécurité.

Technologie : Les organisations devront investir de manière significative dans des outils de cyberdéfense comme des applications de détection et de réponse (EDR), des pare-feux d'application Web (Web Application Firewalls) et des systèmes de surveillance des informations et des événements de sécurité (Information and Event Monitoring).

Changements culturels et comportementaux : Le plus grand défi à relever sera de changer les mentalités des employés et la culture organisationnelle de l’entreprise en matière de cybersécurité. Pour que les nouveaux investissements technologiques soient efficaces, les employés devront comprendre l’importance de la cybersécurité et adhérer aux nouveaux processus.

Aller au-delà de la conformité réglementaire : Si la législation est essentielle, elle ne peut pas, à elle seule, protéger totalement les entreprises contre les cybermenaces. Les organisations doivent intégrer la cybersécurité dans leurs activités de base et aligner les programmes de cybersécurité sur les objectifs de l'entreprise.

Pour un avenir plus sécurisé

L'objectif principal de la directive NIS 2 et de la loi sur la cyber-résilience est de réduire de manière significative l'incidence et l'impact financier des cyberattaques. La directive NIS 2 sensibilise à la nécessité de sécuriser les services essentiels, tandis que la loi sur la cyber-résilience ciblera les fabricants, en veillant à ce que les produits numériques ne présentent pas de vulnérabilités susceptibles d'être exploitées. Les organisations doivent protéger leurs données de manière proactive, mettre en place des processus solides. Elles doivent aussi encourager une culture de sensibilisation à la cybersécurité auprès de leurs collaborateurs pour se protéger efficacement contre le vol de données
et les attaques de systèmes.

Malgré les coûts substantiels de la mise en conformité, ces dépenses restent mineures par rapport aux éventuels dommages causés par les cyberattaques. La Commission européenne a estimé le coût de la cybercriminalité à 5 500 milliards d'euros à l'économie mondiale en 2020, et considère qu'une entreprise sur huit a déjà été touchée. Ce chiffre ne peut qu'augmenter, car les attaques par rançongiciel sont de plus en plus fréquentes et les nouvelles technologies multiplient les possibilités d'attaque.

L'action individuelle des organisations les plus sensibilisées ne suffit pas : il faut impérativement cyber protéger des chaînes d'approvisionnement complètes si l’on veut atténuer le risque de cyberattaques. C'est pourquoi la législation est importante. Non seulement elle donne des orientations sur les normes de protection requises, mais elle conduit également à une action collective en vue d'un objectif commun. Cet aspect est essentiel en matière de cybersécurité, car la violation d'un produit ou d'une organisation impacte souvent l'ensemble d'un écosystème. Le respect des réglementations NIS 2 et CRA représente une étape cruciale dans le renforcement de la cybersécurité dans l'UE.

Par Vincent Lomba, Responsable de la cybersécurité des produits chez Alcatel-Lucent Enterprise