Dans le contexte des élections européennes, le ton n’est pas qu’à la politique nationale ou étrangère mais aussi plus que jamais à celle de la sécurité et de la mise en conformité dans la gestion des données. Et les entreprises n’ont plus que quelques mois pour s’y conformer à condition d’utiliser la bonne méthode.
Une réglementation durcie et enrichie pour répondre à la numérisation croissante des économies européennes
Malgré ses apports indéniables au sein de l’UE en matière de cyber-résilience depuis son adoption en juillet 2016, la directive NIS avait aujourd’hui besoin d’être modifiée car elle n’offrait plus une réponse assez solide et flexible face à l’évolution toujours plus rapide et protéiforme du paysage numérique. Mais aussi parce qu’elle comportait de trop grandes disparités dans les cadres juridiques adoptés par les Etats membres de l’UE en termes de cybersécurité. Par exemple sur des procédures de contrôle trop variables ou bien encore sur des sanctions financières pour le moins différentes en cas de non-conformité avec des montants pouvant osciller, selon les pays, de 10 000 à 19 millions € !Née d’une étude menée, dès fin 2020, par la Commission européenne afin de corriger cette hétérogénéité et de combler les lacunes identifiées (telle que l’absence de réaction commune en cas de crise majeure), la directive NIS2 est depuis entrée en vigueur en janvier 2023 pour une mise en pratique effective au sein de l’UE dès octobre 2024. Autant dire demain ou presque à l’échelle des paramètres d’une entreprise ! Et par rapport à la première mouture NIS le ton est au durcissement et à l’enrichissement des procédures, en étendant notamment le champ des entités concernées ou en resserrant les obligations de notifications d’incidents.
Des processus de notifications d’incidents plus cadrés et plus resserrés dans le temps
Modification notable dans le champ d’applications habituel des réglementations européennes, ce sera dorénavant, avec l’adoption de la directive NIS2, aux entreprises éligibles – soit celles de plus de 50 employés et dont le chiffre d’affaires est supérieur à10 millions € – de se faire connaître auprès des autorités nationales compétentes. Pour la France, il s’agira de l’Anssi (l’Agence nationale pour la sécurité des systèmes d’informations) qui n’aura dès lors plus seulement un rôle de conseils mais aussi de surveillance et de contrôle de la bonne exécution de la NIS2.
En résumé, charge sera donnée aux entreprises concernées de signaler tout incident de sécurité informatique survenu au sein de leurs services, qu’il soit mineur ou majeur, selon un processus strict de notification obéissant à des formats de rapports précis et à des délais impartis. Là où la première version de NIS n’exigeait aucun délai spécifique ni aucun format rigide de notification, la NIS2 imposera un cadre ferme et préétabli. Soit en quelques mots : un premier signalement de l’incident sous 24h après la détection, puis une évaluation détaillée sous 72h offrant un panorama complet de l’ampleur des dégâts et des efforts de réponse déployés, enfin sous 1 mois un rapport final synthétisant les causes de l’incident, les réponses apportées et les enseignements retirés en matière de cybersécurité.
Plus que des avertissements administratifs ou des pénalités financières qui pourraient vite grever les chiffres d’affaires des entreprises sanctionnées, sans compter l’atteinte à leur réputation, cette importance critique du processus de notification dans la NIS2 vise à accélérer et à mieux faciliter les échanges d’informations qu’auparavant. De même qu’il ambitionne de mettre encore plus l’accent sur une amélioration constante de la connaissance et de la sensibilisation en matière de cybersécurité au sein des Etats membres de l’UE.
Bien sûr, selon la taille de la société concernée et son appartenance à un secteur d’activité considéré comme « important » ou « essentiel » à la bonne marche du pays, les entreprises éligibles répondront à des exigences réglementaires proportionnées à leur niveau de criticité. Mais quelles qu’elles soient, celles-ci iront toujours dans le sens d’un renforcement des procédures sur l’analyse des risques, d’une mise en place de solides PCA/PRA, ou bien encore d’une sécurisation renforcée des infrastructures de sauvegardes ou des chaines d’approvisionnement.
Des défis et des enjeux nécessitant l’accompagnement de sociétés expertes
A plus d’un titre, les organisations concernées par la NIS2 auront des enjeux de taille lors de leur passage à l’échelle. D’abord parce qu’elles seront nombreuses à être impactées. Si par exemple la première directive NIS concernait en effet quelques 300 entités en France, ce chiffre devrait être au final multiplié par 20 ou 30 d’après l’Anssi. Des PME aux grands groupes, des administrations centrales aux collectivités territoriales, ce seront désormais quelques 160 000 entités, à l’échelle de l’UE et dans 18 secteurs d’activités différents, qui devront répondre dès octobre prochain aux conditions de la NIS2.Cet élargissement des « candidats » tient à deux critères surtout. D’abord l’accroissement des domaines d’activités concernés, au-delà des seuls secteurs jugés « hautement critiques ». Mais aussi et surtout l’extension du périmètre d’applications de la NIS2 à tous les acteurs de la chaine d’approvisionnement dans un esprit de co-responsabilité. Parce que les acteurs de la chaine logistique sont de plus en plus ciblés par les cyber-attaques pour atteindre les clients finaux, un fournisseur non éligible à la directive pourrait désormais le devenir via son client qui y est soumis. Et quand on sait encore que la responsabilité personnelle des dirigeants sera désormais engagée face aux incidents survenus et à leur bonne gestion des risques, les enjeux à mettre en œuvre ne laissent guère de doute.
En un mot, choisir la bonne stratégie restera plus que de mise ! Et l’Anssi conseille d’ailleurs fortement les entreprises françaises à se faire accompagner par des sociétés expertes pour réussir cette transition. De grands acteurs de l’informatique, spécialisés dans des solutions de gestion et de sécurité des données, peuvent être des bons partenaires pour répondre aux nombreuses exigences demandées par la NIS2 sur la résilience opérationnelle. Pour éviter les déconvenues en matière de cybersécurité, le temps est plus que jamais à la réunion des savoirs.
Par Guillaume de Landtsheer, Vice-Président et Directeur Général de NetApp