L’entrée en vigueur de NIS 2 sera au cœur des échanges de la 10e Université d’été d’Hexatrust qui se déroule le 5 septembre 2024 à Paris. Quelques jours avant ce moment important, nous avons interrogé Dorothée Decrop Déléguée générale d’Hexatrust, association qui regroupe et fédère les entreprises européens de la cybersécurité, du cloud de confiance et du digital.
Comment appréciez vous le projet de NIS2 soumis par la Commission européenne ?
NIS 2, qui vient remplacer la directive NIS 1 de 2016, est une réponse très attendue à l’explosion de la cybermenace. En effet, l’usage quotidien du numérique dans nos sociétés présente des risques grandissants de sécurité qui concernent aussi bien les individus que les entreprises ou les administrations. Dans la mesure où les cyberattaques ne cessent d’augmenter et mettent en péril la survie de nombreuses organisations, Hexatrust estime que NIS 2 représente bien plus qu’une simple réglementation “technique” : c’est une réforme de gouvernance des organisations indispensable à nos économies à l’ère du numérique et des défis sécuritaires inhérents.
Si elle est de plus en plus considérée, la sécurité numérique n’est pas encore une priorité pour les organisations, en témoignent les 4 à 5% du budget annuel des projets informatiques des ETI, collectivités locales et établissements de santé pour la cyber, encore trop loin des 10% appelés de ses vœux par l’ANSSI. La montée en puissance que va amener la mise en conformité à la directive NIS 2 laisse espérer une approche coordonnée et globalisée de la cybersécurité pour protéger efficacement les données de nos citoyens.
Quelles sont les difficultés que vous relevez pour la mise en application ?
NIS 2 est une opportunité à saisir pour la jeune filière cyber française. Pour autant, sa mise en application présente plusieurs défis, à commencer par la détermination des entités concernées, à deux niveaux :
– les entités concernées directement : l’ANSSI a estimé à 15 000 leur nombre, mais il est probable que de nombreuses d’entre-elles aient des difficultés à identifier le fait qu’elles soient dorénavant concernées par la directive, qui touche plus de secteurs et de plus de structures que la première directive NIS. Nul n’est censé ignorer la loi, néanmoins, comme il s’agit de l’auto-déclaration, Il est important que les pouvoirs publics soient pro-actifs auprès des nouvelles entités pour s’assurer que ces dernières ne soient pas surprises par l’entrée en application de NIS 2.
– la chaîne de sous-traitance qui va être impactée par la directive : cette chaîne de sous-traitance passe encore sous le radar, et appelons à ce qu’un soutien leur soit apporté pour se mettre en conformité lors que cela sera nécessaire. Il est indispensable d’envisager des solutions d’accompagnement pour ces PME dont les données doivent bénéficier du même niveau de protection que toute autre entité.
Dans la mise application de la directive, notre crainte première tient à la définition à venir des “incidents importants”, ceux qui doivent être notifiés à l’ANSSI : il s’agira de placer le curseur au bon endroit pour éviter que l’on se retrouve à un nombre de notification impossible à traiter par l’Autorité, qui ne serait plus en mesure d’identifier les menaces, noyées dans la masse.
Quelles propositions pouvez vous faire ?
Hexatrust participe depuis plusieurs mois aux concertations organisées par la Commission Européenne, l’ANSSI et le législateur français sur la directive et sa transposition en droit français. Cela nous a permis de développer plusieurs propositions.
Nous suggérons en premier lieu un travail de sensibilisation, en créant un groupe de travail dédié à l’identification et la pré-sensibilisation des acteurs amenés à se déclarer, puis à plus long terme en intégrant les risques cyber dans le document unique d’évaluation des risques professionnels (DUERP) ce qui permettra un vrai changement de paradigme pour les salariés et chefs d’entreprise.
En second lieu, nous pensons fondamental de mettre en place un réel accompagnement des entreprises dans la mise en application de la directive, avec notamment le développement de lignes directrices spécifiques à la gestion des relations contractuelles avec les sous-traitants, la création de guidelines pour une lecture commune, ou encore la recommandation de produits et services certifiés par l’ANSSI.
Enfin, pour que NIS 2 reste pertinent dans le temps, nous appelons à mettre à jour régulièrement les obligations des entités pour rester en phase avec l’évolution de la cybermenace. Cela devra se faire en associant les professionnels de la filière cyber par l’intermédiaire des Comités stratégiques de filières, syndicats et groupements professionnels du secteur, par exemple.
Quels sont les enjeux pour vos membres et les acteurs de la cybersécurité ?
Qu’il s’agisse de nos membres ou des autres acteurs de la filière cyber française et européenne, NIS 2 représente une opportunité importante qui doit à la fois permettre de valoriser les acteurs nationaux et européens de la cyber et pourquoi pas de participer à la construction de consortium européens et renforcer nos choix numériques stratégiques.
Propos recueillis par Patrice Remeur