Les enjeux de la cybersécurité

Les cyberattaques constituent aujourd’hui une menace omniprésente pour les entreprises et autres organisations.

Pouvant entrainer des conséquences potentiellement dévastatrices, les cyberattaques peuvent affecter les activités sur différents plans :

• Les finances : interruptions de business entrainant des pertes directes et coûts de récupération. 
• La réputation : diminution de la confiance des clients et partenaires. 
• Les opérations : interruption d’activités et dommages matériels. 

Quelques chiffres clés

• 49 % des entreprises françaises ont été victimes d’au moins une cyberattaque réussie en 2023. 
• Le phishing est responsable de 60 % des incidents, suivi par l’exploitation de failles de sécurité à 43 %. 

Ces chiffres soulignent l’urgence de renforcer les mesures de protection pour éviter des interruptions majeures d’activité ou des pertes de données critiques. 

Face à ces menaces, l’Union européenne a élaboré une réponse ambitieuse : la directive NIS2. 

Qu’est-ce que la directive NIS2 ?

La directive NIS (Network and Information Security) a été rédigée dans l’optique de renforcer la cybersécurité à l’échelle européenne, en mettant en place des mesures qui garantissent un niveau de sécurité adapté et proportionné au risque encouru.

NIS1 : une coopération à l’échelle européenne

La directive NIS 1 a été la première directive européenne de cybersécurité. Adoptée en juillet 2016, son but est d’assurer un niveau de cybersécurité élevé des acteurs stratégiques de l’UE et de renforcer les capacités de coopération des États membres sur ce sujet.

La directive se déclinait ainsi en trois volets :

• Obligation pour les États membres de définir une stratégie nationale
• Obligation pour les États membres de désigner une autorité nationale compétente
• Mise en place du Groupe de Coopération (CG) et création du CERT

Face aux évolutions rapides de la cybermenace, le NIS1 a rapidement atteint ses limites, ce qui a poussé l’Europe à passer à la vitesse supérieure avec la directive NIS2.

NIS2 : un cadre réglementaire renforcé

La directive NIS2 impose un cadre réglementaire renforcé pour la cybersécurité des organisations par rapport à NIS1.

Cette évolution vise à garantir un niveau élevé de sécurité dans les systèmes critiques et responsabiliser les entreprises face aux cybermenaces. 

Publiée en novembre 2022, elle s’applique à des milliers de structures en Europe. 

Composée de 46 articles de loi, la directive NIS2 pose un cadre légal complet, sur la même forme que le RGPD.

Les points clés de NIS2

• Article 21 : mesures techniques et organisationnelles pour gérer les risques cyber (sécurité des SI, continuité d’activité, chaîne d’approvisionnement).
• Article 20 : responsabilisation des dirigeants en cas de non-conformité. 
• Article 23 : signalement obligatoire des incidents sous 24 heures, suivi d’un rapport détaillé sous un mois.

Qui est concerné par la directive NIS2 ?

La directive NIS2 élargit le périmètre de la NIS1 en ajoutant 11 secteurs supplémentaires, portant leur nombre à 18.

Les secteurs d’activité concernés sont ainsi répartis en deux annexes, en fonction de leur degré de criticité.

La directive classe ensuite les entreprises appartenant à ces secteurs en fonction de leur taille et de leur activité pour ainsi définir :

• Des entités essentielles
• Des entités importantes

Découvrez si vous êtes concernés sur le site de l’ANSSI !

La mise en conformité

Les attendus de NIS2

Afin de répondre à la directive, l’ANSSI a mis en place une liste de dix mesures à respecter, que l’on peut regrouper en quatre leviers :

• Gouvernance : intégrer la cybersécurité au plus haut niveau décisionnel. 
• Protection des SI : mettre en place des outils et processus adaptés. 
• Défense : réagir rapidement aux incidents grâce à des plans documentés. 
• Résilience : prévoir la continuité des activités et la communication en cas de crise. 

La mise en place de ces mesures de sécurité peut permettre aux entreprises de définir des politiques relatives à la sécurité des SI et à l’analyse des risques. Ainsi, les dix mesures définies sont les suivantes :

1. Définir les politiques relatives à la sécurité des SI et à l’analyse des risques
2. Prévoir la gestion des incidents
3. Assurer la continuité des activités (sauvegardes, PRA, gestion des crises)
4. Maitriser la sécurité de la chaîne d’approvisionnement (fournisseurs/prestataires)
5. Garantir la sécurité de l’acquisition, du développement et de la maintenance des SI
6. Evaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
7. Suivre les bonnes pratiques de base (l’hygiène cyber et la formation à la cybersécurité)
8. Définir des politiques et des procédures relatives à l’utilisation de la cryptographie
9. Sécuriser les ressources humaines, les accès et les actifs
10. Mettre en œuvre des solutions d’authentification fortes (MFA, …), des solutions de communications vocales, vidéo ou textuelles sécurisées

Les délais à respecter pour NIS2

Les entreprises ont un délai de 3 ans pour se conformer, avec un début initialement prévu en octobre 2024.

A ce jour, la transposition nationale de la directive a pris du retard, mais les mesures à appliquer étant connues, il est d’ores et déjà possible de débuter sa mise en conformité.

La plateforme « Mon Espace NIS2 » de l’ANSSI sera disponible prochainement pour faciliter les déclarations. 

Les sanctions en cas de non-respect de la directive NIS2

Comme toute directive, des sanctions sont prévues en cas de non-respect. Ces dernières sont définies en fonction de la catégorie de l’entreprise concernée : entité essentielle ou entité importante (se référer au tableau présenté ci-dessus).

Ainsi, les non-conformités à la directive NIS2 sont passibles de sanctions financières : 

• Entités essentielles : jusqu’à 10 M€ ou 2 % du CA annuel mondial. 
• Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA annuel mondial. 

L’accompagnement Adventiel 

La directive NIS2 impose aux entreprises de prendre des mesures concrètes pour sécuriser leurs systèmes et chaînes d’approvisionnement.

La mise en conformité peut sembler complexe. C’est pourquoi Adventiel propose un accompagnement sur mesure structuré en quatre étapes clés : 

• État des lieux : audit des infrastructures et procédures existantes. 
• Évaluation des risques : identification et priorisation des menaces. 
• Traitement des risques : mise en œuvre de plans d’action. 
• Suivi et amélioration continue : surveillance des évolutions et ajustements réguliers. 

Grâce à une méthodologie adaptée, Adventiel aide les PME et ETI à répondre efficacement aux exigences de la directive NIS2 tout en renforçant leur résilience face aux cybermenaces. 

Vous souhaitez en savoir plus ? Contactez-nous !

Visionnez également le replay de notre webinaire sur le sujet !