La directive européenne NIS2, qui sera transposée dans le droit français en octobre 2024, imposera à un très grand nombre d’entreprises et collectivités de renforcer leurs mesures de cybersécurité contre les cyberattaques. Elle fait suite à NIS1, entrée en vigueur en 2018, et se montre beaucoup plus ambitieuse. Elle élargit considérablement son périmètre, tout en imposant de nouvelles obligations avec, à la clé, des sanctions pour les entités imprévoyantes. C’est le prix à payer pour, enfin, contrer les cybercriminels, toujours plus performants et mieux outillés.
Les cyberattaques sont toujours plus nombreuses et plus dramatiques pour les entreprises qui les subissent, tant les cybercriminels se montrent inventifs, déterminés et même professionnels dans leur activité. Il ne se passe pas une semaine sans que tel hôpital soit bloqué dans son travail, telle base de données pillée ou divulguée sur Internet ou telle unité de production mise hors d’état de fonctionner. C’est ce qui a conduit l’Europe à promulguer une directive extrêmement ambitieuse : NIS2, comme Network and Information Security version 2, qui fait suite à NIS1, en changeant radicalement de paradigme.
Entre 10 et 12 000 entités directement concernées en France
Tout d’abord, NIS2 conduit à un élargissement sans précédent du périmètre de la directive. « Alors que NIS 1 ciblait environ 1 100 entreprises en France, NIS 2 va en concerner entre 10 000 et 12 000 », résume Yannick Leroux, commercial spécialiste en cybersécurité chez Schneider Electric. Elles seront sélectionnées en fonction de leur secteur d’activité et de leur taille.
Au total, 18 grands secteurs ont été retenus, à l’intérieur desquels sont listés 33 sous-secteurs et pas moins de 600 types d’activités considérées comme critiques. Parmi celles-ci, seules seront retenues les entités comptant plus de 50 salariés ou réalisant un chiffre d’affaires supérieur à 10 millions d’euros ou encore ayant un total du bilan supérieur à 10 millions d’euros. Les petites entreprises ne sont pas directement concernées par la directive.
La proportionnalité des exigences
Toutes les entités régulées ne seront pas logées à la même enseigne. Une règle de proportionnalité conduira, lors des transpositions nationales, à des niveaux d’exigence différents selon que les opérateurs seront assimilés à :
– des entités essentielles. On y retrouve les entreprises déjà régulées par NIS 1, auxquelles NIS2 ajoute l’hydrogène, les réseaux de chaud et de froid, les eaux usées, la gestion interentreprises des TIC, ainsi que les administrations et collectivités territoriales. Et tous ces opérateurs seront de taille intermédiaire ou grande, c’est-à-dire avec un effectif supérieur à 250 salariés, un chiffre d’affaires supérieur à 250 millions d’euros ou un total du bilan supérieur à 43 millions d’euros.
– des entités importantes. Elles relèvent de secteurs qui n’étaient pas compris dans NIS1, qu’elles affichent une taille moyenne, intermédiaire ou grande. « C’est là que figure l’élargissement le plus important du périmètre de la directive, remarque Yannick Leroux. On notera en particulier la future régulation des activités de fabrication, appliquées à quasiment tous les domaines : chimie, alimentaire, électronique, construction de machines, automobile… ». La cybersécurité est sans doute un enjeu majeur. L’industrie est devenue une cible importante à protéger des cybercriminels.
S’auto-déclarer auprès de l’ANSSI
Avec NIS1, c’était l’autorité de régulation – à savoir l’ANSSI pour la France – qui notifiait aux entreprises qu’elles devaient appliquer la directive. Avec NIS2, ce sont les entités qui auront la charge de se déclarer d’elles-mêmes comme étant concernées, et donc à réguler. Dans un premier temps, leurs responsables devront donc répondre à la question : « suis-je concerné ? ». Pour les y aider, l’ANSSI met en ligne un outil d’autoévaluation.
L’obligation de sécuriser l’IT et l’OT
Les systèmes d’information des entreprises, c’est-à-dire leurs outils de gestion et leurs bases de données (cf. IT, comme Information Technology) sont de plus en plus connectés aux systèmes de contrôle commandes des outils physiques (cf. OT, comme Operationnal Technology), utilisés pour la fabrication, la distribution d’énergie, la ventilation, etc. Si bien qu’une cyberattaque menée contre une base de données de gestion peut très bien franchir un pont et aller infecter l’outil de production d’une usine ou la climatisation du bloc opératoire d’un hôpital. Ou inversement.
Avec NIS1, les entreprises définissaient par elles-mêmes les services qu’elles considéraient comme critiques. Avec NIS2, la démarche devient plus prescriptive sur ce sujet. Dans la mesure où de nombreuses cyberattaques utilisent l’interconnexion des systèmes, les efforts en matière de cybersécurité devront porter sur l’ensemble des systèmes IT et OT. « Des concertations sont en cours entre l’ANSSI et les représentants des différents secteurs d’activité pour préciser les systèmes OT qui vont être retenus lors de la transcription nationale de la directive, souligne Yannick Leroux. Par exemple, la question se pose de savoir si la climatisation des hypermarchés sera prise en compte. Si oui, cela va représenter beaucoup de travail pour les DSI de la grande distribution ».
Sécuriser la chaîne d’approvisionnement
Les cybercriminels utilisent souvent les fournisseurs des entreprises critiques pour pénétrer dans le système d’information de celles-ci. Par exemple, la clé USB ou le micro-ordinateur qu’un technicien de maintenance doit connecter au réseau de son client pour faire son travail peut très bien véhiculer, à son corps défendant, un malware. C’est pourquoi la directive NIS2 introduit une nouvelle obligation pour les entités régulées : celle de sécuriser leur chaîne d’approvisionnement. Elles devront à la fois se protéger et vérifier que leurs fournisseurs font de même. Une entreprise ou une administration essentielle ou importante pourra exiger de ses fournisseurs qu’ils soient sécurisés. C’est ainsi que NIS2 va irriguer l’ensemble du tissu économique du pays.
Comme le précise Yannick Leroux : « un risque de déréférencement pèse sur les entreprises de taille intermédiaires (ETI), fournisseurs d’entité essentielles ou importantes. Si bien que les entreprises ayant déjà engagé leur mise en conformité avec la directive se verront conférer un avantage compétitif majeur parmi les multiples compétiteurs composant les chaînes d’approvisionnement ».
Un régime de sanction très dissuasif
Dernière évolution importante de la directive : les sanctions. Comme NIS1 n’avait pas atteint les résultats escomptés – trop d’entités n’ayant pas pris la mesure du risque – elles sont particulièrement durcies. Les amendes pourront atteindre 7 M€ pour les entités importantes et 10 M€ pour les entités essentielles. Et, parmi d’autres pénalités comme l’annulation de certaines certifications, des interdictions d’exercer pourront frapper les directions générales. « Par ailleurs, les assureurs vont d’eux-mêmes intervenir dans le processus, note Yannick Leroux. Ils vont demander à leurs clients de se protéger, sous peine de voir leur police d’assurance augmenter drastiquement, voire être supprimée ». De même, la mise en conformité avec NIS2 assurera la préservation de la valeur de future de l’entreprise aux yeux des analystes financiers.
De nombreux points encore en suspens
La transposition de la directive dans le droit français sera l’occasion de préciser de nombreux points encore en suspens à travers une co-construction avec les représentants des entreprises, collectivités et administrations régulées. Ces précisions concerneront :
– la définition précise du périmètre, certains cas particuliers méritant un traitement différencié,
– les interactions entre l’ANSSI et les entités en matière d’accompagnement comme de contrôle,
– et bien sûr les mesures de cybersécurité à mettre en œuvre.
Pour ces dernières, outres les nouveautés importantes mentionnées plus haut, le cadre général reprendra globalement ce qui préexistait avec NIS1, tout en le renforçant. Citons l’analyse des risques, la gestion des incidents, les plans de sauvegarde et de reprise d’activité, la gestion des accès distants, la cyberhygiène et la formation du personnel, les solutions d’authentification, la cryptographie, etc.
Nous entrons dans une nouvelle ère en matière de cybersécurité. Gageons que les entreprises, collectivités territoriales et administrations sauront se saisir de cette opportunité pour échapper aux attaques des cybercriminels.
Ajouter un commentaire