Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du niveau de criticité, la mise en œuvre peut devenir un projet conséquent, onéreux et exigeant en termes techniques, en fonction de la maturité initiale de l’entreprise.
Aujourd’hui, les systèmes d’information (SI) ne sont pas seulement le cœur des entreprises ; ils sont le champ de bataille sur lequel se jouent la sécurité des organisations. Depuis l’adoption de NIS 2 en janvier 2023, il s’y joue la sécurité informatique de l’Union Européenne.
Les activités sont de plus en plus numérisées, et les interconnexions entre systèmes et entités sont multipliées. L’utilisation généralisée des technologies de l’information et de la communication expose davantage la société dans son ensemble aux cybermenaces.
NIS1 avait pour objectif d’assurer un niveau de sécurité élevé, et commun, pour les réseaux et les SI de l’Union Européenne (UE). Toutefois, au vu de l’évolution rapide du paysage numérique depuis sa mise en application en 2016, NIS1 s’est vite vue dépassée.
La directive NIS2 reprend, complète et améliore ainsi la précédente directive en corrigeant les lacunes identifiées – comme le manque de cohérence entre les Etats membres et les différents secteurs, le faible niveau de connaissance commune des risques cyber ou encore l’absence de réaction commune en cas de crise.
A l’aube de son entrée en vigueur en France en octobre 2024, il est donc important pour les entreprises de se renseigner sur les sujets suivants.
Suis-je concerné par la directive NIS2 ?
NIS 1 s’étendait, dans un premier temps, aux secteurs les plus critiques – tels que l’énergie, les transports, banques, infrastructures de marchés financiers, le secteur de la santé, la fourniture et distribution d’eau potable ainsi que les infrastructures numériques.
Pour faire face à la hausse des cybermenaces et la professionnalisation des groupes d’attaquants, NIS2 cherche aujourd’hui à étendre ce périmètre ; en ajoutant des secteurs qui ont beaucoup évolué numériquement ces dernières années, et dont la sécurité de leurs systèmes devient un impératif. Il s’agit là des eaux usées, de l’espace, de l’administration publique, des services postaux et d’expédition, de la gestion des déchets, de la chimie, de l’alimentation, de la fabrication, de la recherche, et des fournisseurs numériques.
Les entreprises concernées seront divisées en 2 catégories : les entités importantes (EI) et les entités essentielles (EE). Cette distinction permet de proposer un niveau d’obligation adapté, et proportionné, selon leur niveau de criticité.
La directive concerne ainsi tout type d’entreprise, des PME aux grands groupes du CAC 40, mais aussi les administrations publiques. Elle offre la possibilité aux Etats membres d’inclure les collectivités territoriales ou toute autre entreprise spécifique dont l’activité nécessiterait une sécurisation accrue.
Aussi, la directive exige un niveau de sécurité minimal pour tous les acteurs de la chaîne d’approvisionnement d’une entreprise concernée par NIS2, même si ces derniers ne correspondent pas aux critères initiaux. L’objectif : lutter contre les attaques par rebond. Ces dernières consistent à utiliser et infecter les acteurs tiers, souvent moins bien protégés et matures, pour corrompre les systèmes de leur cible principale.
NIS2 : une directive plus exigeante
La nouvelle directive renforce les exigences de sa prédécesseuse, et dresse un ensemble de mesures qui doivent être prises en compte par toutes les entités concernées. Ces mesures incluent notamment des politiques liées à l’analyse des risques et la PSSI (Protection des Systèmes d’Information), la gestion des incidents grâce à un processus de notification d’incident plus strict, la mise en place de plans de continuité d’activité (PCA) et de reprise d’activité (PRA), la sécurisation des sauvegardes et la gestion des crises, la sécurité de l’acquisition, ainsi que le développement et la maintenance des réseaux et SI.
Elles incluent aussi le traitement et la divulgation des vulnérabilités, l’évaluation des mesures de gestion des risques cyber, la sécurité de la chaîne d’approvisionnement, les politiques et procédures liés à la cryptographie, la sécurité des ressources humaines, les politiques de contrôle d’accès, la gestion des actifs, l’adoption de solutions d’authentification à plusieurs facteurs (MFA) ou continues, ou encore l’utilisation d’outils de communication sécurisés et de systèmes de communication d’urgence en cas de crise.
Par ailleurs, la responsabilité personnelle des incidents sera désormais attribuée aux chefs d’entreprise, qui seront aussi dans l’obligation de se former sur le sujet. Les équipes de direction devront approuver les mesures de cybersécurité, et assumer la responsabilité en cas de violation de la directive. NIS2 souhaite, par cette mesure, induire l’appropriation des risques par les cadres de la direction afin de garantir une meilleure gouvernance des risques.
Une cohésion des états membres renforcée
La directive NIS 2 ne fait pas que réglementer le niveau de sécurité des entreprises. Elle encourage aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, notamment par le lancement officiel du réseau CyCLONe (Cyber Crisis Liaison Organisation Network) – qui rassemble l’ANSSI et ses homologues européens.
Ce réseau poursuit deux objectifs. Le premier, permettre des consultations sur les stratégies nationales de réponse, et le second : permettre une analyse d’impact coordonnée sur les conséquences d’une crise cyber d’ampleur ou de crise informatique transfrontalière.
Le réseau CyCLONe de l’UE contribue à la mise en œuvre du plan d’action de la Commission pour une réaction rapide en cas d’incident ou de crise de cybersécurité transfrontalière de grande ampleur.
Une obligation et un pouvoir confiés aux autorités nationales
La transposition française de la directive doit être effectuée avant fin octobre 2024, et la mise en conformité sera obligatoire. NIS2 confère aux autorités nationales le pouvoir de contrôler la mise en conformité de la directive : une grande nouveauté par rapport aux différentes réglementations.
L’ANSSI n’aura plus seulement un rôle de conseil, elle jouera dorénavant un rôle de surveillance et de supervision de la mise en œuvre de la directive. L’ANSSI pourra ainsi émettre des avertissements et des ordres à l’encontre des entités contrôlées, qui ne respectent pas la directive NIS 2.
Si ceux-ci ne suffisent pas, l’ANSSI peut établir des amendes administratives – qui seront à minima de 10 millions d’euros ou de 2% du chiffre d’affaires annuel mondial pour les entités essentielles, et de 7 millions d’euros ou de 1,4% du chiffre d’affaires annuel mondial pour les entités importantes.
Une mise en application imminente : comment bien se préparer ?
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du niveau de criticité, la mise en œuvre peut devenir un projet conséquent, onéreux et exigeant en termes techniques, en fonction de la maturité initiale de l’entreprise.
Toutefois, les mesures de sécurité présentes dans NIS2 sont semblables à celles contenues dans les normes de la famille ISO/27000 ou de la norme américaine NIST. Être certifié ISO 27001, ou faire appel à des prestataires qualifiés par l’ANSSI permettra aux entreprises de valider directement leur conformité vis à vis d’une majeure partie de la directive. Pour la mise en conformité, l’ANSSI conseille fortement d’être accompagné par des experts.
Enfin, certaines entreprises ne répondant pas aux critères initiaux peuvent se retrouver soumises à la directive, si elles sont actrices de la chaîne d’approvisionnement d’une entreprise concernée par NIS2. Il est donc conseillé, à toute entreprise exerçant cette fonction, d’évaluer l’éligibilité de leurs clients à la directive et d’effectuer une mise en conformité NIS2, le cas échéant.
Cela leur permettra d’éviter de subir les engagements « clés en mains » fournis par leurs clients grands comptes, qui pourraient s’avérer être trop engageants et dangereux pour leur activité.
