Directive NIS 2 : anticiper pour mieux se conformer

Il ne reste que quelques mois pour se mettre en conformité avec la directive européenne NIS 2[1](Network & Information Security) dont l’objectif est de renforcer la cybersécurité du marché européen. Que contient cette directive ? Qui sont les acteurs concernés ? Que doivent-ils faire concrètement ? Jacques-Bruno Delaroche, manager avant-vente cybersécurité chez Exclusive Networks, répond à toutes nos questions !

La directive NIS 2 entre en vigueur cette année. En quoi consiste-t-elle ?

Il s’agit d’une évolution de la norme européenne Network & Information Security qui fixe un cadre permettant d’assurer un niveau de sécurité minimum pour les réseaux et systèmes d’information de l’Union Européenne de façon homogène. Adoptée en 2016 et transposée en France en 2018, la directive NIS concernait les opérateurs de services essentiels (OSE), c’est-à-dire les entreprises dont l’interruption de services aurait un impact significatif sur l’économie et/ou la société française. Mais les récentes crises, dont celle du Covid, sont passées par là… nous obligeant à revoir la notion d’essentialité. Nous nous sommes collectivement aperçus que si certains services comme la gestion des déchets, la distribution alimentaire, l’accès à internet ou encore l’approvisionnement en produits pharmaceutiques, ne fonctionnaient plus, c’est tout un pan de société qui est en défaut. La raison d’être de NIS 2 est ici : étendre le périmètre des entreprises dont la sécurité des réseaux et systèmes d’information est primordiale au bon fonctionnement de la société.

« De nombreuses entreprises en France vont devoir se conformer à NIS 2, mais pour l’instant peu se sentent vraiment concernées. »

Jacques-Bruno Delaroche

Ce changement de paradigme est conséquent ! Quand la directive NIS ne concernait qu’environ 300 OSE en France, NIS 2 englobe plus de 15 000 structures. Cela constitue une vraie réponse à la menace cyber, et une opportunité pour nombre d’entreprises de mieux se protéger, individuellement et collectivement. Concrètement, la mise en conformité avec NIS 2 implique pour les entreprises de mettre en place des outils, de surveiller davantage leurs infrastructures numériques, de s’assurer que leurs partenaires tiers répondent aux exigences numériques demandées, et de déclarer leurs incidents de sécurité à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). C’est un programme ambitieux, mais absolument nécessaire pour les entreprises, et par extension, pour les citoyens européens.

Qui est concerné par cette nouvelle directive ?

Plusieurs critères permettent d’identifier les entités concernées par NIS 2. Premièrement, le secteur d’activité : 18 domaines sont désormais régulés et environ 600 types d’entités différentes, depuis les transports, à l’eau potable en passant par les services postaux et d’expédition ou encore les fournisseurs numériques. Le second critère repose sur la taille de l’entreprise et son chiffre d’affaires : NIS 2 concerne les entreprises de plus de 50 salariés et ayant un chiffre d’affaires supérieur à 10 millions. Pour les entreprises publiques, c’est le bilan annuel qui est pris en compte. Enfin tous les opérateurs DNS (services de noms de domaine) sont concernés.

Par exemple, un hôpital qui génère plus de 43 millions de budget annuel devra se conformer à NIS 2. Une petite boulangerie, même si son secteur d’activité (production, transformation et distribution de denrées alimentaires) entre dans le cadre de NIS 2, ne devra pas répondre à la réglementation, contrairement à son distributeur de farine dont la défaillance aurait des conséquences sur un écosystème plus important.

Que doit-on faire si l’on est concerné par la directive NIS 2 ?

En France, l’autorité qui a la charge d’accompagner les entreprises dans leur mise en conformité avec la directive NIS 2 est l’ANSSI. Leur site internet regorge d’information et de conseils. Se rapprocher de l’ANSSI constitue ainsi la première étape. Immédiatement après, il convient de prendre du recul sur son activité pour mettre en place un plan de sécurité qui s’inscrit dans le temps, et qui est adapté à l’organisation. Avoir une vision claire, des objectifs, un échéancier : c’est cela qui permet de positionner les investissements au bon endroit. Différents opérateurs ou consultants peuvent assister les décideurs dans cette étape (l’ANSSI peut recommander des acteurs sur le marché). Parallèlement, chaque entreprise doit nommer des personnes chargées de remonter les incidents à l’ANSSI et la Cnil (Commission nationale de l’informatique et des libertés).  Enfin – et seulement une fois le diagnostic établi – l’entreprise doit mettre en place les outils adéquats pour sa sécurité numérique.

« Chaque entreprise doit concevoir un plan de sécurité adapté à ses réseaux et systèmes d’information. On parle toujours de sur-mesure en matière de cybersécurité. »

Jacques-Bruno Delaroche

L’entrée en vigueur en France de la directive NIS 2 est prévue au plus tard en octobre 2024. Cela signifie que toutes les entreprises concernées doivent au moins avoir une feuille de route et un correspondant Cnil désigné à cette date. Il ne faut pas trop traîner…

Que risque-t-on en cas de non-respect ?

J’ai la conviction que le but de l’ANSSI n’est pas d’être punitive, mais bien de faire comprendre l’importance de la sécurité informatique et d’une politique globale de lutte contre la cybercriminalité. Néanmoins, la loi prévoit des amendes en cas de non-respect. Pour les opérateurs de services essentiels, elles s’élèvent à 2% du chiffre d’affaires. Pour les autres entreprises, elles peuvent atteindre 1,4% du chiffre d’affaires. C’est conséquent ! Évitons collectivement de jouer avec le feu, pour limiter les amendes d’une part, mais surtout pour renforcer ensemble notre sécurité informatique.

Un dernier conseil à prodiguer ?

« Réfléchir avant d’agir : c’est mon principal conseil ! »

Jacques-Bruno Delaroche

Il faut se renseigner et rester en veille sur le sujet ! La connaissance est la première des sécurités. Se renseigner passe par la mise en place de mécanismes de mise à jour, de sensibilisation des utilisateurs, de formation des équipes techniques… mais aussi par l’observation des usages dans l’écosystème. Cela permet de dresser sa propre liste de questions, et d’aller ensuite chercher les réponses en sollicitant des intégrateurs ou des consultants. Réfléchir avant d’agir, c’est mon seul vrai conseil. L’urgence et la panique étant les pires ennemies de la cybersécurité !

[1] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555

Par Jacques-Bruno Delaroche, mars 2024