AVIS D’EXPERT – La surexposition des entreprises aux cyberattaques rend la conformité aux règles de sécurité plus cruciale que jamais. Adoptée en janvier 2023, la Directive NIS 2 – qui vise à harmoniser et à renforcer la cybersécurité des infrastructures critiques sur le marché européen – promet d’avoir un impact majeur. Et d’ici octobre 2024, tous les Etats membres devront l’appliquer dans le cadre de leur législation nationale. Monique Becenti, référente NIS 2 chez Zimperium, nous liste ici les 8 points clés à retenir sur NIS 2.
- La mise en œuvre de NIS2 est justifiée par des arguments solides.
Les cyberattaques se sont multipliées dans l’UE comme dans la quasi-totalité du reste du monde et coûtent de plus en plus cher aux entreprises. La Commission européenne a donc décidé de renforcer la directive initiale, NIS. L’article 1 de NIS2 donne un aperçu succinct de l’objectif recherché : établir des « mesures visant à obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur. » - NIS2 est un référent non négociable.
NIS2 traduit la volonté de la Commission européenne d’établir un niveau de sécurité commun, suffisant et évolutif s’appliquant à toutes les entreprises concernées. L’article 5 stipule notamment que la directive « n’empêche pas les États membres d’adopter ou de maintenir des dispositions assurant un niveau plus élevé de cybersécurité… ». Néanmoins, la directive NIS2 doit être considérée comme le strict minimum en matière d’obligation et comme une exigence incontournable et non négociable pour la sécurité.
- NIS2 impacte un large éventail de secteurs. Contrairement à la version initiale, la directive NIS2 s’applique à la quasi-totalité des entités contribuant au fonctionnement quotidien de l’UE ou à la vie de ses citoyens. Les constructeurs automobiles, les distributeurs de produits alimentaires, les banques, les détaillants, les transporteurs, les agences de gestion des déchets, etc., sont ainsi désormais concernés.
- NIS2 s’applique à tous les appareils connectés en réseau. NIS 2 s’applique à « tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés » ainsi qu’aux systèmes dans lesquels des « données numériques [sont] stockées, traitées, récupérées ou transmises ». Les équipes de sécurité doivent donc prendre en compte les ordinateurs de bureau et portables, les dispositifs IoT, les imprimantes, les téléphones mobiles et les tablettes. À cela s’ajoutent aussi les bases de données et applications d’entreprise et les applications mobiles. Les appareils et les applications doivent pouvoir résister à toutes les cyberattaques, notamment les attaques inconnues ou de type « zero-day » qui ciblent les appareils mobiles.
- La directive NIS2 met les équipes de direction face à leurs responsabilités. Selon l’article 20 en cas de non-conformité la responsabilité des «organes de direction des entités essentielles et importantes. » En conséquence, il incombe aux directions d’approuver les mesures de cybersécurité et d’en assumer la responsabilité en cas de violation de la directive. L’objectif est de créer un sentiment d’urgence concernant la mise en œuvre de la directive et de définir clairement les responsabilités en cas de non-respect.
- Les obligations de la directive NIS2 sont exhaustives. L’article 21 énonce les obligations relatives à l’analyse des risques et à la sécurité des systèmes d’information, notamment la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la continuité des activités et l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Dans tous ces domaines, les équipes devront mettre en place des flux de travaux et des technologies robustes et auditables.
- NIS2 s’applique à toute l’UE et au-delà de ses frontières. Toute entité régie par la directive NIS2 doit assumer la responsabilité de « la sécurité de la chaîne d’approvisionnement, notamment les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Les organisations qui collaborent ou souhaitent collaborer avec des entreprises de l’UE, devront impérativement respecter les normes NIS2 et attester des dispositifs de sécurité mis en place.
- Le non-respect de NIS2 implique de lourdes sanctions. Selon l’article 33, en cas de non-conformité, les dirigeants de la Commission européenne peuvent recourir à des mesures de contrôle qui peuvent être coûteuses et s’accompagner d’une charge de travail importante. Mieux vaut anticiper et mettre en place des mesures de sécurité dans le cadre d’une initiative mûrement réfléchie et planifiée. L’article 34, quant à lui, stipule qu’en cas de violation, les États membres peuvent infliger des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent d’une entreprise, le montant le plus élevé étant retenu.
Certes, les entreprises se sont déjà informées et ont réfléchi à l’application de NIS 2 en 2023 mais désormais, elles vont devoir réagir. La mise en conformité avec cette nouvelle directive représentera un effort important et généralisé pour les entreprises et leurs équipes de sécurité. Et le renforcement de la sécurité des appareils et des applications mobiles jouera également un rôle majeur dans cette initiative.
Monique Becenti, référente NIS 2 chez Zimperium