Avec l’évolution rapide de la technologie et l’augmentation constante des cyberattaques, la sécurité des systèmes d’information est devenue une priorité absolue. Mais êtes-vous concerné(e) par la Directive NIS2 ?
Mise en place par l’Union européenne, la directive NIS2 vise à renforcer cette sécurité en imposant des mesures strictes et en élargissant le champ d’application des obligations de cybersécurité.
Dans cet article, nous allons passer en revu son rôle, les changements par rapport à l’ancienne directive, vos obligations, les sanctions en cas de non-respect, etc. Nous aborderons les mesures de sécurité NIS2 essentielles à mettre en place et nous vous donnerons des pistes de réflexion pour bien réparer l’arrivée de la Directive NIS2.
1. Directive NIS2 en résumé
1.1. Cybersécurité à tout prix !
La cybersécurité englobe l’ensemble des technologies, processus et pratiques conçus pour protéger les systèmes informatiques des cyberattaques, dommages et accès non autorisés.
Vos réseaux au sens large, vos divers appareils de communication (PC, mobiles, objets connectés…), vos programmes et vos données sont particulièrement visés.
Chiffres de la cybercriminalité
En France, le panorama de la cybermenace 2023 de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) révèle une hausse constante de la cybercriminalité :
« L’espionnage s’est maintenu à un niveau élevé avec une augmentation significative du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles »
Et les chiffres illustrent l’urgence de renforcer votre niveau de sécurité informatique :
« Le nombre total d’attaques par rançongiciel est supérieur de 30 % à celui relevé sur la même période en 2022 » (Source : ANSSI).
Les attaques les plus courantes comprennent les logiciels malveillants, les attaques par déni de service distribué (DDoS), le phishing et le rançongiciel. Ce dernier est un logiciel malveillant qui chiffre vos données entreprise et vous demande une rançon pour les restituer.
Le Cybersecurity Act introduit NIS2
Face à cette augmentation des cyberattaques, la protection des systèmes d’information est devenue cruciale pour les entreprises et administrations.
La Directive NIS 2 ou 2022/2555, introduite par l’Union européenne, vise à renforcer la sécurité et la résilience des réseaux et des systèmes d’information. Cette dernière fait partie du règlement européen Cybersecurity Act (UE 2019/881.
Définition des directives NIS
L’acronyme NIS pour Network and Information Security, désigne l’ensemble des mesures et dispositifs techniques mis en place pour la sécurité des réseaux et des systèmes d’Information.
En 2016, la première Directive NIS 1 a établi les règles pour la protection des infrastructures critiques des opérateurs de services essentiels à l’économie et à la société. NIS 1 concernait jusqu’à présent des entreprises telles qu’EDF, Crédit Agricole, SNCF, Orange, Cap Gemini, Cdiscount… pour n’en citer que quelques-unes. Mais dans un contexte de recrudescence inédit des menaces sur l’espace numérique, elle ne suffit plus !
1.2. Les directives NIS2 vs NIS1 !
La nouvelle directive NIS 2 vient renforcer le niveau de cybersécurité des acteurs économiques et administratifs des pays membres de l’Union Européenne. Dans le cadre du projet de transposition NIS 2, l’ANSSI a notamment réalisé sur plusieurs mois des consultations auprès des entreprises et collectivités vitales et essentielles pour assurer sa mise en œuvre.
NIS2 apporte plusieurs changements par rapport à la directive NIS initiale :
-
L’entrée de nouveaux acteurs
D’une part, NIS 2 englobe de nouvelles catégories d’entités et non plus seulement les opérateurs de services essentiels.
En effet, l’évolution de l’espace numérique nécessite d’inclure des acteurs fournissant des services numériques : commerce électronique, réseaux sociaux, services de cloud, etc.
-
Des mesures renforcées
D’autre part, NIS 2 apporte une redéfinition des obligations et des responsabilités des acteurs du secteur numérique.
Les entités bénéficieront notamment des règles mieux définis en matière de gestion des incidents, de continuité des activités, et de protection des données. Les exigences accrues imposeront également une évaluation des risques cyber.
1.3. Quelle est la date d’entrée en vigueur de la directive NIS 2 ?
Publiée le 27 décembre 2022 au Journal Officiel de l’Union Européenne, la directive NIS 2, prévoit un délai de 21 mois pour que chaque État membre de l’UE transpose en droit national les différentes exigences réglementaires.
Le projet de loi de transposition de la directive NIS 2 a ainsi été présenté en Conseil des ministres le 15 octobre 2024. Ce projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » a pour objectif d’inciter les organisations et les entreprises à se préparer.
2. Directive NIS2 : Qui est concerné ?
2.1. Secteurs d’activités visés par NIS 2
La directive NIS 2 s’appliquera sur le territoire français aux administrations, aux collectivités territoriales et aux entreprises publiques et privées de la PME au grand groupe côté en bourse.
Au total, 18 secteurs d’activités ont été retenus pour leur impact sur le bon fonctionnement de la société et de l’économie : les « secteurs hautement critiques » d’une part et les « secteurs critiques » d’autre part.
Secteurs d’activités concernés Directive NIS 2 (source : Monespacenis2.cyber.gouv.fr)
2.2. Votre entité est-elle concernée par la directive NIS 2 ?
Si vous remplissez les 3 critères suivants, alors vous êtes concerné(e) par la directive NIS2 :
- Plus de 50 employés
- Un chiffre d’affaires annuel de plus de 10 millions €
- Une activité dans l’un des 18 secteurs critiques ou une activité de sous-traitance pour l’un de ces secteurs.
Pour aller plus loin, la directive NIS 2 comprend des annexes 1 et 2 dans lesquelles vous trouverez en détail les secteurs, les sous-secteurs et les types d’entité concernés.
2.3. Comprendre les EE et EI avec NIS2
Pour garantir une proportionnalité de traitement, la directive NIS2 distingue deux catégories d’entités selon leur degré de criticité, leur taille et leur chiffre d’affaires (pour les entreprises).
- D’une par, vous avez les Entités Essentielles (EE). Elles jouent un rôle critique et doivent se conformer aux obligations les plus strictes de la directive.
- Et d’autre part, les Entités Importantes (EI). Ces dernières doivent adopter des mesures de sécurité rigoureuses pour protéger leurs systèmes et réseaux.
La règlementation s’appuie sur ces deux typologies, EE ou EI, pour définir des objectifs adaptés et proportionnés aux enjeux de chacune.
3. Directive NIS2 : Quels sont les obligations pour mon organisation ?
La directive NIS2 vous donne l’occasion de faire le point sur les équipements, les technologies et les bonnes pratiques utiles pour protéger votre structure.
3.1. Exemple de mesures de sécurité
Vous trouverez ci-dessous des mesures de sécurité et des technologies intéressantes à déployer et à cumuler pour une communication efficace :
- Audit de cybersécurité :
Réalisez des audits réguliers pour identifier les vulnérabilités et mettez en œuvre des mesures correctives.
- Chiffrement des données :
Protégez vos données sensibles, vos données archivées et vos informations en utilisant des techniques de chiffrement avancées. De même pour vos échanges, privilégiez des moyens de communication professionnels.
Notamment, ceux reposant sur des protocoles exigeants à l’exemple de la solution hybride LTE et PMR offrant une résilience renforcée.
En utilisant des outils de communication sécurisés, vous minimisez les risques d’interceptions et de fuite de données confidentielles.
- Solutions d’authentification multifactorielle :
Renforcez l’accès aux systèmes d’information en adoptant des méthodes d’authentification à plusieurs facteurs (Exemple : Authentificator pour la messagerie professionnelle…).
Mettez également en place une politique de mot de passe dans le respect des bonnes pratiques . A cet effet, vous avez : les logiciels de stockage de mot de passe, une politique de mot de passe unique à un utilisateur et un accès, etc.
- Formation du personnel :
Sensibilisez vos employés aux bonnes pratique cybersécurité que vous déployez. Et insistez sur l’importance de protéger les données sensibles, e-mails, formulaires et documents transitant en ligne ou sur des interfaces SaaS, etc.
- Protection des locaux :
De plus, pensez à assurer la sécurité physique aux infrastructures informatiques de votre organisation et définissez les seules personnes habilitées (bases de données, serveurs…).
3.2. Sanctions en cas de non-respect des obligations NIS2
Conformément à la directive, des actions de supervision seront assurées pour vérifier que vous respectez vos obligations.
Le cas contraire, la directive NIS2 prévoit des recours et des sanctions financières définies selon le type d’entité par l’article 31 du décret :
« Les États membres veillent à ce que les violations des obligations énoncées à l’article 18 ou à l’article 20, conformément aux paragraphes 2 et 3 du présent article, soient soumises à des amendes administratives d’un montant maximum s’élevant à au moins 10 000 000 EUR ou à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle ou importante appartient, le montant le plus élevé étant retenu ».
3.3. Directive NIS 2 : Comment être accompagné ?
Vous avez besoin de conseils ou d’assistance pour la mise en conformité à la directive ?
N’hésitez pas à consulter le service numérique « MonEspaceNIS2 » qui propose notamment un test vous permettant de savoir si votre organisation est concernée.
De plus, l’ANSSI fournit des ressources pour vous aider à sécuriser votre organisation et à sensibiliser vos collaborateurs.
Enfin, pour vous conformer aux exigences de la Directive NIS2, vous pouvez également faire appel à des experts. Ils vous aideront à évaluer les risques, élaborer des stratégies de sécurité et mettre en œuvre des solutions adaptées à votre structure.
Que retenir des directives NIS
En conclusion, la directive NIS2 marque une avancée majeure dans la lutte contre les cyber menaces en Europe.
En renforçant les obligations de cybersécurité, elle vise à protéger les infrastructures critiques et les services essentiels contre les cyberattaques. Sa transposition est l’occasion pour vous de déployer des mesures préventives et des outils de protection de vos systèmes d’information. Cela entraînera une augmentation de vos dépenses en sécurité.
Selon un rapport de Cybersecurity Ventures, les coûts mondiaux liés à la cybercriminalité devraient atteindre des sommets. Le rapport les estime à 10,5 trillions de dollars par an d’ici 2025 ! Alors qu’ils s’élevaient à 3 trillions de dollars en 2015 (Source Cybersecurity Magazine).
Mais l’investissement est crucial pour protéger vos données sensibles contre les cyberattaques. Vous avez pour exemple, en 2020, l’entreprise française Sopra Steria, leader européen de la transformation numérique. Cette dernière a subi une cyberattaque par rançongiciel Ryuk. Cette attaque a interrompu les services pendant plusieurs semaines et causé un impact financier estimé à environ 50 millions d’euros !
Avec une cybersécurité en constante évolution, vous devez impérativement comprendre les exigences NIS2. En mettant en place les mesures appropriées, vous protégez les ressources numériques de votre entreprise ou administration.