Le compte à rebours est lancé : il ne reste plus que 5 mois avant l’entrée en vigueur de la directive NIS 2.0 sur la cybersécurité. Cette réglementation européenne s’appliquera aussi bien aux PME, aux collectivités territoriales qu’aux grands groupes du CAC 40. Quelles sont ses exigences ? Quelles sanctions en cas de non-respect ? Comment s’y préparer et mettre son système d’information en conformité ? Découvrez nos recommandations pour vous accompagner dans cette transition cruciale.
NIS 2 donne des sueurs froides aux DSI. Publiée en décembre 2022, la directive NIS 2 (Network and Information Security) doit s’appliquer en France très prochainement, le 17 octobre 2024. Son objectif ? Renforcer la cybersécurité des entreprises dans l’ensemble de l’Union.
À cette fin, elle s’appuie sur la directive NIS 1 déjà en vigueur en augmentant les exigences de sécurité et en élargissant son champ d’action à un plus grand nombre d’entreprises et d’organisations.
La directive NIS 2 a pour particularité de mettre en jeu la responsabilité des dirigeants dans la gestion des incidents cyber (art. 20 de la directive). Autrement dit, le dirigeant, mais aussi toutes les personnes physiques des organes de direction (par ex. le comité exécutif) peuvent être déclarées responsables de la cybersécurité de l’entité assujettie (art. 32 et 33).
Quelles entreprises sont concernées par NIS 2 ?
La directive NIS 2 s’appliquera à 18 secteurs d’activité (contre 7 pour la NIS 1). Les entreprises se répartissent en 2 catégories, selon 3 critères, le secteur d’activité, le nombre d’employés et le chiffre d’affaires :
- Les entités essentielles (EE)
- Les entités importantes (EI)
Plus de 20 000 entités françaises devraient être concernées, des administrations de toute taille et des entreprises allant de la PME au groupe du CAC 40.
Les entités ne seront plus désignées par arrêté, mais par les critères ci-dessous (secteur d’activité, nombre d’employés, chiffre d’affaires).
Taille
de l'entreprise | Nombre d'employés | Chiffre d'affaires (en M€) | Secteurs hautement critiques | Secteurs critiques
|
Micro-entreprises et PME | ≤ 50 | < 10 | Non concernées par NIS 2 | |
PME | 51-249 | 10-49 | Entités Importantes (EI) | |
ETI et grandes entreprises | ≥ 250 | ≥ 50 | Entités Essentielles (EE) | Entités Importantes (EI) |
Les 18 secteurs d’activité sont répartis selon leur criticité :
- Les secteurs hautement critiques : eau potable, transport, santé, énergie, marché financier, banque, infrastructure numérique, déjà concernés par NIS 1. À ceux-là s’ajoutent la gestion des eaux usées, l’espace, les services TIC (y compris les sites d’e-commerce) et les administrations publiques (centrales, régionales et locales).
Selon les critères de taille (nombre d’employés, CA), ce seront soit des EE, soit des EI.
- Les autres secteurs critiques : services postaux et d’expédition, gestion des déchets, denrées alimentaires, recherche et enseignement supérieur, fabrication, production et distribution de produits chimiques, fournisseur numérique.
Ces secteurs ne comprennent que des EI.
Au niveau national, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui mettra en œuvre le NIS 2. L’autorité nationale en matière de cybersécurité et de cyberdéfense accompagnera les entités concernées tout en exerçant une activité de contrôle.
L’ANSSI propose un test pour vérifier si son organisation est concernée par la directive NIS 2.
Quelles sont les exigences de NIS 2 ?
La directive NIS 2 s’inspire fortement de la norme ISO 27001 qui certifie les protocoles de gestion des risques. Les organisations concernées par NIS 2 devront fournir certaines informations à l’ANSSI, mettre en place des mesures adaptées de gestion des risques (analyse et plan de gestion des risques).
De plus, les entreprises doivent signaler tout incident de cybersécurité majeur sous 72 heures à l’ANSSI. Cela nécessite de posséder l’infrastructure technique et organisationnelle pour les détecter et y répondre.
Comment se préparer à NIS 2 ?
1. Vérifier que son organisation est concernée
La première étape consiste à vérifier que son organisation est concernée en répondant au test proposé par l’ANSSI (voir plus haut).
2. Évaluer l’état actuel de la cybersécurité
La seconde consiste à évaluer l’état actuel de la cybersécurité de l’organisation. Pour cela, les entités peuvent :
- Réaliser un audit de sécurité : identifier les points faibles et les lacunes dans les dispositifs actuels de sécurité. Par exemple, une PME peut découvrir qu’elle n’a pas de politique de mot de passe robuste, ce qui pourrait la rendre vulnérable aux attaques par force brute.
- Évaluer les risques : une analyse des risques déterminera les menaces potentielles et leur impact sur l’organisation. Par exemple, une entreprise de transport pourrait identifier que ses systèmes de gestion de flotte sont susceptibles aux cyberattaques qui pourraient perturber ses opérations.
- Cartographier les actifs : identifier les actifs critiques et les infrastructures essentielles pour comprendre où concentrer les efforts de sécurité. Par exemple, une entreprise de santé devra identifier ses bases de données patients comme des actifs critiques nécessitant une protection renforcée.
3. Mettre en place des mesures de sécurité renforcées
Ensuite, en fonction des résultats de l’évaluation initiale, les entreprises peuvent mettre en place des mesures de sécurité renforcées :
- Mise à jour des politiques de sécurité. Par exemple, une PME pourrait instaurer une politique exigeant des mises à jour régulières des logiciels pour éviter les vulnérabilités.
- Amélioration des contrôles et des systèmes de détection (pare-feu avancé, EDR…) ou de chiffrement
- Gestion plus robuste des identités et des accès (IAM). Par exemple, un e-commerçant peut implémenter l’authentification multifactorielle (2FA) pour sécuriser les accès de ses clients.
4. Renforcer sa résilience organisationnelle
L’entité pourra également renforcer sa résilience organisationnelle :
- Développer des plans de continuité (PCA) et de reprise d’activité (PRA). Par exemple, une entreprise de commerce électronique doit avoir un plan pour continuer à traiter les commandes même si son site web est attaqué.
- Mettre en place des procédures de gestion des incidents. Par exemple, une entreprise de fabrication pourrait mettre en place un processus pour isoler rapidement les systèmes compromis afin de minimiser les dommages.
- Former et sensibiliser le personnel : sensibiliser tous les employés aux bonnes pratiques de cybersécurité et organiser des formations régulières pour le personnel. Par exemple, apprendre au personnel à repérer des e-mails de phishing.
Enfin, elle devra assurer la conformité et une surveillance continue par des audits de sécurité réguliers, des communications suivies avec l’ANSSI, etc.
Quelles sanctions en cas de non-conformité au NIS 2 ?
Contrairement à NIS 1, la directive NIS 2 prévoit un volet de sanctions en cas de non-conformité des entités assujetties. Ces sanctions peuvent être très lourdes, notamment en ce qui concerne les amendes.
Par exemple, une PME qui ne signalerait pas un incident de sécurité majeur pourrait faire face à des amendes représentant un pourcentage significatif de son chiffre d’affaires annuel, à l’image de ce qui est prévu dans le règlement général sur la protection des données (RGPD). De plus, l’ANSSI pourra imposer des sanctions administratives telles que des ordonnances de mise en conformité.
Les sanctions prévues sont au maximum de
- 10 M€ ou 2 % du CA mondial pour les entités essentielles (EE) le montant le plus élevé étant retenu
- 7 M€ ou 1,4 % du CA mondial pour les entités importantes (EI)
le montant le plus élevé étant retenu
À cela s’ajoutent d’autres sanctions possibles :
- Des alertes envoyées aux clients d’une entité concernant les risques potentiels
- Des mesures administratives comme des injonctions de mise en conformité, des suspensions d’activité, des retraits d’autorisations…
- Des injonctions judiciaires ordonnant à l’entité de se conformer par le biais de mesures spécifiques.
Les dirigeants des EE peuvent être interdits d’exercice en cas de non-conformité. Il importe donc que ces dirigeants se forment à la gouvernance de la cybersécurité.
Quel est le coût de la mise en conformité ?
Ce coût peut varier considérablement selon la taille de l’organisation et son état de préparation à la mise en conformité. À cela s’ajoutent le nombre d’équipements numériques et le nombre de personnes responsables de la cybersécurité.
Les coûts à prendre en compte concernent : les audits de sécurité, les mises à niveau technologiques, la formation du personnel et éventuellement le recours à des consultants externes.
La directive NIS 2 représente un défi majeur pour les organisations, mais également une opportunité d’améliorer leur cybersécurité et leur résilience face aux menaces. Pour les RSSI, DSI et dirigeants de PME, se préparer à cette directive implique une évaluation rigoureuse des dispositifs de sécurité actuels, la mise en œuvre de mesures de sécurité robustes, et un engagement pour une amélioration continue. La directive NIS 2 impose également une obligation de formation en cybersécurité aux dirigeants ainsi qu’une sensibilisation des membres du personnel.
En suivant ces étapes, les organisations pourront non seulement se conformer à la directive NIS 2, mais aussi renforcer leur posture de sécurité globale.
