En janvier 2023, l’Union européenne a franchi une étape majeure en matière de cybersécurité avec l’adoption de la directive NIS 2 (Network and Information Security, version 2), une initiative destinée à harmoniser le niveau de défense contre les cybermenaces de ses 27 pays membres. Cette directive impose aux entreprises une mise à niveau significative de leurs mesures de sécurité pour lutter contre les cyberattaques modernes.
Les acteurs malveillants gagnent en nombre et en sophistication et l’intégration de la cybersécurité dans sa stratégie ne doit plus être optionnelle. Nous en parlions déjà il y a quelques années, la sécurité informatique doit être prise en compte à tous les niveaux d’une entreprise et notamment dans le domaine industriel et de l’IoT.
La directive NIS2 est donc une opportunité unique pour dynamiser à la fois le secteur économique et les institutions publiques nationales.
Cette directive incite les pays membres de l’Union européenne à intensifier leur collaboration dans la gestion des crises liées à la cybersécurité. Elle se distingue particulièrement en établissant un cadre structuré pour le réseau CyCLONe, un groupement qui réunit l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France avec ses équivalents à travers l’Europe, mettant en lumière une stratégie de coopération renforcée.
Prévue pour entrer en vigueur au 17 octobre 2024 en France, la directive NIS 2, portée par l’ANSSI, s’appliquera à un large éventail d’entités, essentielles au fonctionnement des services stratégiques tels que l’énergie, les transports, et les infrastructures digitales au sens large.
Qu’est-ce que NIS 2 ?
Première version entrée en vigueur en 2016, la directive NIS 1 proposée par l’ANSSI a été instaurée pour améliorer la cybersécurité dans l’UE face aux cybermenaces croissantes dues à la digitalisation et à l’interconnexion de notre société. Les obligations qui étaient introduites par NIS 1 étaient :
- Obligation de à l’ANSSI des incidents de cybersécurités associés aux systèmes des services essentiels
- mise en œuvre de règles de sécurité strictes
- coopération des sociétés lors des audits et contrôles réalisés par l’ANSSI
NIS 2 apporte entre autre 3 nouveautés cruciales :
- Elargissement des acteurs touchés par la directive
- Une proportionnalité dans les règles de sécurité
- Obligation de signalement des incidents « importants » dans les 24h
Un champ d’application élargie
Les secteurs concernés historiquement par la NIS 1 étaient les grands groupes rattachés à :
- la distribution de l’eau
- le secteur de l’énergie
- les infrastructure numérique
- les infrastructures des marchés bancaires et financiers
- les établissements de santé
- le secteur du transport.
NIS 2 vise à élargir le champ d’application à plus d’acteurs clés en exigeant la déclaration d’incidents de sécurité et la mise en œuvre de mesures de sécurité de la part « des opérateurs de services essentiels et des fournisseurs de service numérique ». Article 14 – Décret n° 2018-384
Ainsi les secteurs comme les administrations publiques, les télécommunications, les plateformes de réseau sociales, les services de transport ou encore le secteur spatial et de la défense rentre dans les secteurs critiques. Retrouvez la liste, dans le texte officiel, au nombre de 18.
Un point important de cette nouvelle directive est qu’elle s’appliquera désormais aussi aux entreprises privées. Cela signifie que de nombreuses entreprises, petites ou grandes devront suivre les nouvelles règles établies par cette réglementation.
Toutes les entreprises de plus de 50 salariés réalisant plus de 10 millions d’euros de chiffre d’affaires dans les secteurs spécifiés sont dorénavant concernées. Les PME et collectivités territoriales peuvent également être impactées.
Une proportionnalité dans la mise en place des règles de sécurité
La directive NIS 2 distingue désormais deux catégories d’importances stratégiques :
- les secteurs » essentiels « , comme l’énergie, les transports, et la santé
- les secteurs « importants « , incluant l’industrie alimentaire et les fournisseurs numériques
L’Agence nationale de la sécurité des systèmes d’information (ANSSI*) s’appuiera sur cette notion pour établir des exigences spécifiques adaptées à chaque catégorie d’entités.
Les obligations des entreprises
Elle introduit de nouvelles obligations pour les entreprises concernées s’agissant du traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.
Tests et audits de sécurité
La NIS2 impose la réalisation régulière de tests et d’audits techniques, y compris des tests d’intrusion et des scans de vulnérabilités, afin d’évaluer l’efficacité des mesures de sécurité déployées.
Signalement des incidents de sécurité
Approche en deux étapes : les entreprises concernées doivent effectuer un premier signalement à l’ANSSI dans les 24 heures suivant l’incident via un rapport préliminaire. Ce rapport doit ensuite être complété par un rapport final dans un délai maximal d’un mois.
Sécurité de la supply chain
Les entreprises concernées doivent examiner les pratiques de cybersécurité en vigueur avec leurs fournisseurs et prestataires de services. C’est particulièrement sur ce point que les petites et moyennes entreprises peuvent être impactées par cette nouveauté.
Gestion des risques cyber
Les entités doivent accorder une attention particulière à la formation de leurs décideurs en matière de gestion des risques. NIS2 souligne également l’obligation pour le corps managérial de contribuer au processus de validation des mesures de gestion des risques cyber.
Quelles évolutions concernant la lois française ?
Adoptée en novembre 2022, l’évolution du nombre d’entreprises concernées en France passe de 300 entreprises à plus de 10 000.
La France, qui a entamé une phase de consultation pour le second semestre 2023, doit intégrer ces changements dans sa législation nationale d’ici le 17 octobre 2024.
Il est donc primordial de s’informer et lancer ce chantier stratégique autour de la sécurité informatique dès maintenant.