Dans une volonté de renforcer la cybersécurité des entreprises à l’échelle du continent, l’Union européenne a adopté la directive NIS 2. Si l’ancien texte NIS 1 se concentrait sur des acteurs importants et les grandes entreprises, le nouveau texte élargit considérablement le champ d’action en intégrant les TPE et PME notamment celles agissant en tant que sous-traitants pour des entités plus importantes.
Une mise à jour législative qui induit aussi des obligations strictes pour de nombreux secteurs. Mais que change concrètement NIS 2 pour les petites et moyennes entreprises ? Quelles seront les nouvelles contraintes à respecter et comment les sous-traitants sont-ils affectés par ces changements ? Comment se préparer pour atteindre la conformité ? Décryptage de la directive.
NIS 2 : une nouvelle directive pour renforcer la cybersécurité des entreprises
Ces dernières années ont vu une augmentation significative des cyberattaques avec un changement de stratégie notable de la part des cybercriminels. Si traditionnellement, les cyber attaquants ciblaient les grands groupes, de plus en plus de petites et moyennes entreprises sont désormais concernées. Une tendance observée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui montre dans son Panorama de la Cybermenace 2022 que plus de 40 % des incidents impliquent des organisations de petites tailles, notamment des PME, TPE et ETI. Des chiffres également confirmés par Orange Cyberdéfense. Dans son « Security Navigator 2024 », l’entreprise révèle que les cyberattaques par ransomware touchent en majorité les grandes entreprises (40 %), les TPE (25 %) et les PME (23 %). Au niveau des secteurs, l’industrie manufacturière est le plus touchée, avec 32,43 % des incidents, suivis de la vente au détail et le commerce (21,73 %), ainsi que les services professionnels, scientifiques et technologiques (9,84 %).
Autre changement chez les groupes de cybercriminels, les cyberattaques se concentrent aussi sur les chaînes de sous-traitance afin de cibler des acteurs plus importants. Une stratégie malheureusement efficace, car la gestion de la sécurité informatique des sous-traitants au sein des grands groupes n’est souvent pas la priorité. Pour faire face à ces enjeux, l’Union européenne a décidé la mise en place de la directive NIS 2 en remplacement du texte NIS voté en 2016 qui n’était plus adapté aux nouvelles réalités. Avec trois évolutions majeures, la directive NIS 2 a pour but :
- De renforcer et d’harmoniser la posture de cybersécurité des entités à travers l’Europe.
- D’harmoniser les mesures et les mécanismes de réponses face aux incidents de sécurité.
- D’étendre le champ d’application pour couvrir un plus large éventail d’entreprises et de secteurs.
À noter que le nouveau texte sera mis en application en France au plus tard en octobre 2024.
Mon entreprise est-elle concernée par la directive NIS 2 ?
Contrairement à NIS 1 qui laissait la liberté aux États membres de choisir quelles entreprises étaient concernées, la directive NIS 2 introduit deux classifications, les Entités Essentielles et les Entités Importantes.
- Entités essentielles : Cela concerne les grandes entreprises avec plus de 250 employés et réalisant plus de 50 millions d’euros de chiffre d’affaires annuel.
- Entités importantes : Cette catégorie vise les moyennes entreprises, avec un effectif compris entre 50 et 250 employés et un chiffre d’affaires entre 10 et 50 millions d’euros.
La nouvelle directive NIS 2 concerne désormais dix-huit secteurs d’activité parmi lesquels on retrouve :
- Santé
- Banque
- Finance
- Transport
- Eau potable
- Eau usée
- Énergie
- Infrastructure numérique
- Entreprise télécoms
- Administration publique
- Aérospatial
- Industries de l’agroalimentaire
- Fabrication
- Industries des produits chimiques
- Gestion des déchets
- Services postaux et d’expédition
Un changement d’échelle qui va concerner un grand nombre d’acteurs. À titre de comparaison, en France, la nouvelle directive va désormais cibler une diversité d’organisations, depuis les administrations publiques jusqu’aux grandes entreprises cotées au CAC40, en passant par les PME, soit environ 600 types d’entités différentes. À noter que toutes les entreprises opérant dans le domaine des infrastructures numériques, incluant les fournisseurs de services informatiques cloud et les réseaux de diffusion de contenu, sont classées comme Entités Essentielles, indépendamment de leur taille. Autre point d’importance, certaines petites et moyennes entreprises de moins de 50 employés, telles que les fournisseurs de services DNS ou de gestion de noms de domaines, sont également désignées comme Entités Essentielles.
La directive s’applique aussi à la sous-traitance
Cette nouvelle mouture étend son champ d’application aux sous-traitants, reconnus comme de nouveaux vecteurs potentiels de cyberattaques. Ceci implique que les entreprises doivent désormais vérifier et assurer que leur chaîne d’approvisionnement respecte des standards de sécurité pour prévenir tout risque de compromission.
Que se passe-t-il en cas de non-respect
Un autre aspect de la directive NIS 2 est l’introduction d’un mécanisme contraignant. En France, l’ANSSI pourra mener des audits pour contrôler le respect de la directive NIS 2 et pourra imposer des injonctions aux entreprises qui ne se conforment pas aux exigences. Ignorer ou ne pas adhérer aux nouvelles réglementations peut entraîner des coûts supplémentaires pour l’entreprise.
Sanctions financières
Pour les entreprises qui ne respectent pas la nouvelle directive, le texte prévoit des amendes allant de 2 % du chiffre d’affaires annuel pour les entités essentielles et à 1,4 % pour les entités importantes.
Perte de marché
Les sous-traitants non conformes à la directive NIS 2 risquent de se voir refuser des contrats par les entités essentielles ou importantes, car ces dernières doivent assurer leur propre conformité et ne pourront donc s’associer à des partenaires qui ne respectent pas les normes de sécurité exigées.
Perte de certification et interdiction d’exercer
Si l’ANSSI identifie une violation, elle pourra suspendre provisoirement la certification ou l’autorisation d’une entité essentielle. Dans les cas les plus extrêmes, l’agence peut même imposer une interdiction temporaire d’exercer des fonctions de direction pour le directeur général ou le représentant légal de l’entreprise.
Quelles vont être les nouvelles obligations ?
Avec la directive NIS 2, les comités exécutifs des entreprises sont légalement responsables des questions de cybersécurité. Cela signifie que la direction doit s’assurer de la conformité aux normes de cybersécurité et pourrait être tenue responsable en cas de manquements.
Formation à la cybersécurité pour la direction et les employés
L’une des composantes de NIS 2 est de renforcer le niveau de maturité en matière de cybersécurité à la fois pour les organes de direction ainsi que les employés. Les entités importantes et essentielles devront donc mettre en place des formations au risque cyber pour leurs salariés. Cela peut passer par la mise en place de campagnes de simulation de phishing, conçues pour tester et améliorer la capacité des employés à détecter les tentatives d’hameçonnage. Les ressources humaines en collaboration avec les Responsables Sécurité des Systèmes d’Information (RSSI) peuvent également mettre en place des questionnaires réguliers sur les bonnes pratiques en matière de cybersécurité pour évaluer les connaissances des employés et de la direction.
Gestion des risques de cybersécurité
Les entreprises devront adopter des mesures pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. Ces mesures, choisies en fonction des technologies actuelles et des standards européens et internationaux, doivent être proportionnées aux risques encourus, en tenant compte de la taille de l’entité, de la probabilité et de la gravité des incidents, ainsi que de leur impact sociétal et économique.
Parmi ces mesures, on retrouve :
- Élaboration et mise en œuvre de politiques d’analyse des risques et de sécurité des systèmes d’information.
- Maintien de la continuité des activités, incluant la gestion des sauvegardes et l’élaboration de Plan de Reprise d’Activité (PRA).
- Sécurisation de la chaîne d’approvisionnement en évaluant et en contrôlant les risques liés aux fournisseurs et prestataires de services.
- L’utilisation d’outils de chiffrement ainsi que des solutions d’authentification multifacteur.
Une collaboration avec les autres entreprises
Afin d’améliorer la réponse aux cyberattaques, la directive NIS2 encourage les entreprises à intensifier leur collaboration. Autrement dit, les entreprises partagent volontairement des informations de cybersécurité, telles que les vulnérabilités, les profils des menaces et les modes opératoires des cybercriminels. Un partage qui sera encadré afin de ne pas divulguer de données sensibles, mais suffisant pour contribuer efficacement à la réduction des cyberattaques.
Gestion, déclaration et notification des incidents majeurs
La gestion des incidents de sécurité est désormais renforcée. En France, un système de notification à l’ANSSI est prévu, avec des critères spécifiques concernant le contenu et les étapes de cette notification. Les entités concernées doivent signaler rapidement tout incident majeur à leur CSIRT (Computer Security Incident Response Team), avec une alerte initiale dans les 24 heures et une notification complète dans les 72 heures après avoir pris connaissance de l’incident.
Comment les TPE/PME peuvent se préparer ?
Bien que la directive NIS 2 apporte de nombreux changements, elle comprend également un mécanisme de proportionnalité pour éviter d’imposer des exigences trop lourdes aux TPE/PME, qui peuvent ne pas avoir les compétences ou le budget nécessaires pour se mettre à jour. En France, l’ANSSI soutient ces petites et moyennes entreprises dans leur mise en conformité en fournissant un accompagnement spécifique. À ce titre, le guide sur la cybersécurité pour les TPE/PME constitue une excellente ressource de départ pour ces entreprises.
À retenir
La directive NIS 2 va impliquer de nombreuses entreprises, y compris les TPE et PME. Avec une obligation de cybersécurité, toutes les sociétés, quelles que soient leurs tailles, doivent prendre des mesures pour sécuriser leur système d’information. Si la tâche semble difficile pour les petites structures, la directive intègre un mécanisme de proportionnalité. Les entreprises doivent donc commencer à se préparer dès maintenant pour rester conformes et sécurisées. Vous souhaitez savoir si votre entreprise est concernée par NIS 2 ? N’attendez plus et contactez les experts Net4business pour prendre rendez-vous.