chajamp - stock.adobe.com
Que faut-il attendre (ou pas) de NIS 2 ?
Alors que la transposition de NIS 2 en droit français se fait toujours attendre, quelles seront les conséquences de la directive européenne sur la sécurité des entreprises ? Beaucoup vont devoir resserrer les boulons, se convertir à une gestion du risque digne de ce nom et intégrer la dimension cyber dans leur stratégie de résilience.
On va beaucoup parler de NIS 2 dans les prochains mois, car la date limite de transposition du texte européen, fixée au 17 octobre 2024, approche rapidement. En attendant le texte définitif, que va réellement changer NIS 2 pour les entreprises ? Le niveau de protection des entreprises va-t-il réellement s’accroître de manière significative ? Pour Aurélia Delfosse et Nicolas Pierre, les experts en conformité de l’ESN spécialisée Advens, la teneur de la directive européenne est claire : « il s’agit d’améliorer drastiquement le niveau de cybersécurité des entreprises européennes et d’endiguer, ou du moins fortement ralentir les cyberattaques et leurs intrusions un peu trop faciles, amenant les conséquences que l’on connaît ».
Ces experts soulignent que, dans la ligne directrice de NIS 1, cette nouvelle occurrence reste généraliste, mais plus précise quant aux mesures à mettre en place. « Contrairement à NIS 1, qui avait laissé libre cours aux pays de “choisir” les mesures à appliquer – amenant la disparité que l’on connaît des transpositions –, NIS 2 cherche à effacer cet écart et précise les mesures (ou familles de mesures) qu’il faut respecter. Les transpositions seront donc assez limitées et se devront de respecter et d’adresser ces mesures ».
Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), la directive NIS 2 marque un changement de paradigme tant à l’échelon national qu’européen. Dans la pratique, NIS 2 élargit les objectifs et le périmètre d’application de la directive pour apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés qui affectent de plus en plus d’entités trop souvent mal protégées. On retrouve désormais parmi les cibles privilégiées des cybercriminels des entités telles que des collectivités territoriales, des hôpitaux ou encore des PME. L’autorité française estime que cette extension du périmètre est sans précédent en matière de réglementation cyber.
Les 4 obligations de NIS 2
Si on entre dans le détail du texte, NIS 2 introduit 4 grandes obligations : une obligation de gestion des risques, un devoir de divulgation des vulnérabilités, un pouvoir de sanction de l’Anssi et une obligation de reporting.
Garance MathiasAvocate associée, Mathias Avocats
Garance Mathias, avocate associée chez Mathias Avocats, précise que pour le volet gestion des risques, la directive fixe une liste précise d’exigences qui impose des mesures, notamment : les analyses de risques, les politiques de sécurité des systèmes d’information (SI), les procédures de gestion des incidents, les mesures de maintien de l’activité lors des périodes de crise, l’usage d’outils de chiffrement des données, etc. « La fiabilité et l’efficacité des différentes procédures seront soumises à un contrôle périodique effectué grâce à des audits », précise-t-elle.
En outre, la nouvelle réglementation impose une obligation de gestion des risques associés à l’ensemble des organismes tiers appartenant à la chaîne logistique des acteurs concernés par la directive.
Cette notion va avoir des conséquences extrêmement vastes puisqu’un fournisseur qui échappe a priori à NIS 2 sera concerné par la directive dès lors qu’il signe un contrat avec un acteur qui doit être en conformité.
En outre, NIS 2 reprend le processus de Vulnerability Disclosure issu de NIS quant à la divulgation des vulnérabilités et il élargit les prérogatives de contrôle des États membres avec un contrôle ex-ante pour les entités essentielles, et un contrôle ex-post pour les entités importantes. La directive prévoit aussi des mécanismes de surveillance plus exigeants à l’égard des autorités nationales afin d’harmoniser les régimes de sanction.
Le pouvoir de sanction de l’Anssi va porter notamment sur la responsabilité des dirigeants. Car, en cas de violation fréquente des obligations de cybersécurité, les États membres pourront prévoir des sanctions d’ordre pénal. Qui plus est, des sanctions financières pourront être infligées aux entreprises prises en faute. Les plafonds des sanctions sont de 7 millions d’euros ou 1,4 % du chiffre d’affaires (CA) mondial total pour une entité importante et de 10 millions d’euros ou 2 % du CA mondial total pour une entité essentielle.
Enfin, les obligations en matière de reporting disposent que les organisations concernées devront bénéficier d’une équipe dont au moins une personne sera chargée de la gestion des incidents. En cas d’incident, le délai sera de 24 h seulement pour émettre une première alerte auprès du Centre de réponse aux incidents de sécurité informatique (CSIRT) désigné. Il faudra alors pouvoir indiquer si l’incident « a été causé par une action illicite ou malveillante ou pourrait avoir un impact transfrontalier ». 72 h après l’incident, il faudra apporter des précisions avec l’évaluation de l’impact réel.
Garance Mathias, avocat à la Cour, associée chez Mathias Avocats :
« Un point important du texte est l’introduction de la notion de gouvernance du risque. L’entreprise ou la collectivité va devoir mener un audit du risque informatique qu’elle supporte et se mettre en conformité par rapport à ce niveau de risque directement lié à son secteur d’activité, son organisation, sa taille. C’est une approche nouvelle pour de nombreuses structures. Cela va demander de gros efforts en termes de sensibilisation et de formation de la part des acteurs de la filière cyber ».
Beaucoup d’entreprises vont devoir hausser leur niveau de protection
La volonté de l’Europe est de tirer vers le haut le niveau de sécurité des entreprises de manière globale. Du fait des obligations que le texte va fixer, se mettre en conformité va représenter un bond en avant, notamment pour les PME et TPE impliquées dans la chaîne logistique des entités importantes et entités essentielles.
« Sur le plan cyber, l’idée n’est pas de réinventer la roue », prévient Gérôme Billois, Partner chez Wavestone. « Il n’y aura pas de mesures de sécurité exceptionnelles ; ni du jamais vu. L’idée n’est pas de se protéger de toutes les menaces de manière absolue, mais d’améliorer le niveau de résilience de l’ensemble des entreprises concernées ».
Le texte va pousser les entreprises qui ne s’y sont pas encore livrées à mener une analyse du risque et gérer leurs incidents de sécurité. « Pour tous ces thèmes, on dispose de solutions, on sait comment faire. La directive n’impose pas telle ou telle brique de cybersécurité et il y aura donc plusieurs chemins pour se mettre en conformité. Ainsi, le texte n’impose pas la mise en place d’un EDR ou d’un XDR, car dans deux ans ces solutions auront sans doute changé… Tout l’enjeu sera de savoir où le texte va placer le curseur », explique Gérôme Billois.
Pour cet expert en cybersécurité, la plus grande difficulté réside dans la découverte des systèmes d’information, une problématique commune aux PME comme aux grands comptes qui éprouvent beaucoup de difficultés à dresser un inventaire à jour de toutes leurs ressources IT.
Gérôme Billois, partner chez Wavestone :
« Une difficulté apparue avec le texte NIS, c’est que chaque pays a fait sa propre déclinaison de la directive européenne. Ce problème va se répéter à plus large échelle sur NIS 2. Des sociétés présentes dans plusieurs pays européens vont devoir se mettre en conformité, mais avec des règles qui peuvent varier d’un pays à l’autre. Nous avons dû trouver des solutions pour la mise en œuvre de NIS et nous allons être confrontés de nouveau à ce problème sur NIS 2 ».
Les PME et les ETI ont plusieurs dizaines d’applications sur des centaines de serveurs et vont devoir faire l’inventaire de toutes ces ressources. Elles devront ensuite traiter tous les sujets de cybersécurité portant sur l’authentification, la sécurité des réseaux, des postes de travail, etc. Des sujets qui sont mieux maîtrisés, peut-être plus simples en termes de conformité et sur lesquels les entreprises pourront sans doute pousser le curseur un peu plus loin que celui imposé par le texte.
Jamal Basrire, Partner, Leader for Cyber & Cloud Transformation pour PwC France & Maghreb, estime qu’une première prise de conscience a déjà eu lieu dans les entreprises sur ce sujet de la cybersécurité du fait des nombreuses cyberattaques qui ont émaillé l’actualité ces derniers mois : « notre enquête annuelle sur la cybersécurité, Digital Trust Insights, a montré qu’il y a eu beaucoup d’améliorations sur la posture cyber des entreprises, sur toutes ses dimensions, l’identification, la protection, la détection, la réponse, la réaction et même les capacités de reconstruction de l’entreprise en cas de cyberattaque majeure. C’est le seul élément positif. Maintenant, la question que l’on peut se poser est : va-t-on assez vite ? »
Introduire la cyber dans la gestion de crise et la reprise d’activité
La réglementation est l’un des principaux facteurs d’amélioration de la posture de sécurité et NIS 2 devrait pousser les entreprises à s’améliorer sur de nombreux plans, notamment sur la continuité des activités et la gestion de crise.
Jamal BasrirePartner, Leader for Cyber & Cloud Transformation, PwC France & Maghreb
« Les entreprises concernées vont devoir mettre en place un cadre de résilience complet, qui couvre la dimension continuité d’activité qu’on retrouve assez largement dans les entreprises aujourd’hui, mais qu’il va falloir formaliser, en intégrant la dimension cyber. De même, il faut intégrer la cyber dans la construction des plans de reprise après sinistre et de gestion de crise, ce qui n’est pas toujours le cas dans les entreprises chez qui nous sommes amenés à intervenir. Et enfin une troisième grande dimension, c’est la dimension maîtrise des risques liés aux tiers qui est un sujet sur lequel l’ensemble du marché n’est pas très bon actuellement », estime Jamal Basrire.
L’expert cite le secteur financier en exemple avec le texte DORA (Digital Operational Resilience Act) sur lequel des analyses d’écarts sont en cours : « on constate que même dans des secteurs plutôt matures comme les services financiers, cette dimension est plutôt un parent pauvre. Avec NIS 2, on peut s’attendre à ce que la cyber soit intégrée plus largement qu’elle ne l’est aujourd’hui. Cela va permettre à l’ensemble de l’écosystème de gagner en maturité ».