Lorsque les États membres de l’UE appliqueront NIS2, les entreprises concernées devront s’assurer que toutes leurs interfaces externes seront protégées, tout comme les applications utilisées pour interagir avec les clients et les fournisseurs.
La nouvelle directive sur la sécurité des réseaux et d’information (NIS), qui impose de nouvelles exigences plus strictes, exige des entreprises de l’UE qu’elles prennent la cybersécurité au sérieux.
Dans moins d’un an, la nouvelle directive NIS2 obligera de nombreuses entreprises à assurer la sécurité complète de leurs systèmes internes et à protéger leurs interfaces externes contre les attaques et le vol de données.
Cette directive met l’accent sur la gestion des risques, la production de rapports et la capacité de récupération et prévoit des amendes en cas de non-conformité qui pourraient s’élever à 10 millions d’euros ou à 2 % du chiffre d’affaires annuel global (le montant le plus élevé étant retenu).
Mais ces amendes pourraient n’être que la partie émergée d’un iceberg financier bien plus important.
La directive NIS2 concernera en effet un groupe d’entreprises beaucoup plus large que la précédente. Son impact se fera sentir au sein des chaînes d’approvisionnement. La cybersécurité deviendra une priorité dans les processus d’achat et pourrait influencer de manière significative la sélection des entreprises à l’heure d’accorder de nouveaux contrats.
Malheureusement, la plupart des entreprises ne possèdent pas les compétences internes requises pour gérer les nombreuses exigences de cette nouvelle directive, sachant que leurs systèmes s’étendent de plus en plus sur divers environnements cloud et qu’un grand nombre d’employés continuent de travailler à distance.
La directive NIS2 exige une visibilité totale
Applicable à toutes les entreprises de plus de 50 salariés et dont le chiffre d’affaires annuel dépasse 10 millions d’euros, la directive NIS2 s’appliquera aux télécommunications, à l’alimentation, à la gestion des déchets, aux plateformes numériques, aux organismes publics et aux services de livraison.
Elle aura également un impact majeur sur les services essentiels couverts par la première réglementation NIS, à savoir l’énergie, la santé, les services bancaires et les transports.
Lorsque les États membres de l’UE appliqueront NIS2, les entreprises concernées devront s’assurer que toutes leurs interfaces externes seront protégées, tout comme les applications utilisées pour interagir avec les clients et les fournisseurs.
En cas de violation, ces entreprises devront soumettre un rapport d’alerte 24 heures après avoir eu connaissance d’un incident, suivi d’une première évaluation dans les 72 heures et un rapport définitif dans un délai d’un mois.
Il est donc essentiel que les entreprises aient une visibilité totale concernant leurs activités et leurs interfaces numériques avec les clients, les partenaires et les fournisseurs.
Dans un monde idéal, un cadre réglementaire de ce genre ne serait pas nécessaire car la plupart des transactions commerciales se déroulent déjà en ligne. Les chefs d’entreprise devraient déjà exiger ce niveau de transparence.
Néanmoins, de nombreuses entreprises de petite taille concernées par la nouvelle directive ne disposent pas toujours d’un système de sécurité et des outils de reporting nécessaires pour s’y conformer. De plus, il est peu probable qu’elles disposent des compétences et des ressources nécessaires pour créer et développer ces outils en interne.
Il va sans dire que les entreprises sont contraintes de mettre en place des systèmes faciles à mettre en œuvre pour respecter les exigences de NIS2, et ce, sans que cela n’affecte l’expérience de leurs clients ou de leurs partenaires.
Elles auront notamment besoin d’une console centralisée d’où elles pourront gérer l’ensemble de leur portefeuille d’applications.
Pour les grandes entreprises, ce n’est pas non plus une promenade de santé. Cette réglementation de la sécurité renforcée présente un défi majeur : sécuriser et surveiller une infrastructure numérique répartie sur plusieurs clouds et centres de données internes reste extrêmement complexe.
Actuellement, la plupart de ces entreprises déploient des applications et leurs composants de microservices dans plusieurs environnements.
Le front-end d’une application peut s’exécuter dans un cloud public, tandis que le back-end peut se trouver dans un centre de données interne. D’ailleurs, les employés se connectent de plus en plus souvent à des systèmes et à des applications situés dans des lieux différents, tels que leur domicile ou des espaces de coworking.
Pour sécuriser cet environnement numérique complexe et se conformer à la norme NIS2, de nombreuses entreprises auront besoin d’un service géré capable de couvrir divers environnements cloud, informatiques et réseau.
Même si le temps passe vite, il est encore temps d’agir.
Les États membres de l’UE doivent intégrer la nouvelle directive dans leur législation nationale avant le 18 octobre 2024, la course est donc lancée pour toutes les entreprises concernées. Elles doivent s’assurer que leurs systèmes de sécurité et de surveillance sont suffisamment performants pour éviter de se voir infliger des amendes et, surtout, de préserver leur réputation en cas de non-respect des normes.
Heureusement, la technologie dont elles ont besoin pour évoluer dans ce nouveau cadre réglementaire est déjà disponible
