la loi NIS 2 entre en vigueur, un tsunami pour les entreprises et les collectivités
Il ne se passe pas une semaine sans une cyberattaque majeureobligeant les autorités à adapter leur législation au fil du temps pour protéger leurs entreprises et leurs infrastructures publiques. Cet impératif a poussé le Parlement européen à adopter en 2016 la directive NIS (pour Réseaux et systèmes d’information), dont l’application a débuté en 2018. Son objectif était d’imposer une certaine norme de cybersécurité aux entreprises opérant dans des secteurs d’importance vitale ou stratégique, comme l’énergie, l’alimentation ou encore les services financiers. .
Mais avec l’évolution rapide du domaine de la cybersécurité, le NIS s’avère déjà obsolète. Alors que les grandes entreprises et les agences gouvernementales ont considérablement renforcé leurs cyberdéfenses, les cybercriminels ont découvert une nouvelle astuce pour les contourner : cibler les entreprises plus petites et plus vulnérables situées en amont et en aval de la chaîne de valeur. Et qui ne relevait pas des exigences du NIS.
Ainsi, en 2020, le Cyberattaque contre le fournisseur de logiciels SolarWinds a permis aux cybercriminels de pirater plusieurs branches du gouvernement fédéral américain. Et en juillet dernier, c’est une mise à jour défectueuse du logiciel de cybersécurité CrowdStrike qui a paralysé plus de 8,5 millions de PC exécutant Windows, le système d’exploitation dominant de Microsoft.
15 000 entités concernées au lieu de 500
D’où la nécessité d’étendre le champ d’action de la SRI à un plus grand nombre d’acteurs.
» Une cyberattaque peut aujourd’hui transiter par n’importe quel élément de la chaîne de valeur d’une entreprise. Il est donc important d’élever le niveau de cyber-hygiène pour tous les partenaires, au niveau européen, afin d’avoir une homogénéité susceptible de prévenir plus efficacement les cyberattaques. », note Eddy Sifflet, expert NIS 2 chez Check Point France, un logiciel de cybersécurité.
En effet, la directive NIS 2, adoptée en novembre 2022 à Bruxelles et qui s’applique automatiquement dans l’Union européenne à partir du 17 octobre, apporte un véritable changement d’échelle. Le nombre d’entités concernées passera ainsi de 500 à 15 000, et de 15 000 à 100 000 dans l’Union européenne, pour prendre en compte, entre autres, les sous-traitants de la chaîne d’approvisionnement.
La nouvelle loi touche davantage les PME, et le champ d’activité a été étendu à 18 secteurs, dont la santé, les transports, la gestion des déchets, les prestataires de services numériques ou encore les communes de plus de 30 000 habitants.
NIS 2 introduit un « règle de taille » pour identifier les entités réglementées, ce qui signifie que « toutes les moyennes et grandes entités opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application », selon le Conseil de l’UE.
La France tarde dans sa transposition
Comme d’habitude, les États membres ont eu deux ans pour transposer la directive européenne dans leur droit national et en clarifier les contours. Mais alors que le date limite arrive, la France n’est pas prête. Le projet de loi de transposition n’a été présenté en Conseil des ministres que le 15 octobre. Un retard dû notamment à la dissolution de l’Assemblée nationale.
La Commission supérieure du numérique et des postes (CSNP) a alerté début octobre sur les enjeux de la transposition de la directive NIS 2 en France, avec l’ANSSI qui travaille depuis plusieurs mois sur un document qui devrait permettre cette transposition. Reste à le faire voter par l’Assemblée nationale, ce qui s’annonce délicat dans le contexte de division que connaît le pays.
La France n’est pas le seul mauvais élève de l’UE : à ce jour, seuls 3 pays sur 27 (Belgique, Croatie et Hongrie) ont publié leur loi de transposition. Les entreprises auront alors jusqu’au 31 décembre 2027 pour s’y conformer.
Une liste de bonnes pratiques à adopter
Les entreprises concernées devront adopter un ensemble de mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information.
» Nous y trouverons tout ce qui touche à la formation et à la sensibilisation à la cyber-hygiène, puisque nous savons à quel point le facteur humain est déterminant. Ce travail doit également cibler le management pour mettre en place une véritable gouvernance et stratégie de cybersécurité, les équipes informatiques ne étant plus les seules concernées, ni les seules responsables. », constate Eddy Sifflet.
L’écrasante majorité les cyberattaques sont en fait rendues possibles par l’échec humain. » Mais aussi des mesures plus technologiques comme la mise en place du cryptage, la sécurité des communications, qu’il s’agisse des appels, des SMS, ou des visioconférences. Ou la mise en place d’une véritable politique de droits et d’autorisations sur les systèmes : faire en sorte que pour accéder aux applications, on ait des droits spécifiques et non plus un accès par défaut à l’ensemble du système d’information. On parle d’une approche Zero Trust, ou ZTNA », ajoute-t-il.
La nouvelle directive introduit également des obligations de déclaration et d’information après un incident. Les entités concernées disposeront désormais d’un délai de 24 heures pour émettre une première alerte auprès de l’autorité compétente (dans le cas de la France, l’ANSSI), et préciser s’il existe une possibilité d’impact. transfrontalier. Puis, dans les 72 heures suivant l’incident, ils doivent le détailler et donner une évaluation de son impact.
Une source contactée par La Tribune suggère que le texte de l’ANSSI sera légèrement plus restrictif que la directive européenne sur ce point, notamment en donnant plus de détails quant aux éléments à inclure dans la notification de l’incident.
Améliorer la coordination au niveau européen
L’objectif de NIS 2 est en effet aussi de favoriser la circulation de l’information entre les différents pays européens après une cyberattaque, afin d’en limiter les répercussions.
» Si une entreprise A est victime d’une cyberattaque, elle doit communiquer avec ses pairs, pour les avertir et savoir si eux aussi n’ont pas été victimes, en disant «J’ai eu ça. Etes-vous bien protégé ? Avez-vous mis en place les bonnes mesures ? Nous avons pu parer l’attaque, ou rétablir le service d’une manière ou d’une autre… » C’est vraiment un travail qu’il faut faire à l’échelle européenne. », explique Eddy Sifflet.
Un réseau de communication spécifique et sécurisé, appelé CyCLONe (pour Réseau d’organisations de liaison en cas de cyber-crise) a été mis en place dans cette optique.
Le texte entend également proposer une homogénéisation des CERT (Équipe d’intervention en cas d’urgence informatique), centres d’intervention mobilisés lors d’une crise. » De nombreux centres d’expertise en cas de cyberattaque existent déjà, principalement au sein d’entreprises privées. La réponse cyber est désormais pilotée par un interlocuteur unique dans chaque État membre – il existe donc un CERT-FR, piloté par l’ANSSI pour le cas de la France. L’une des ambitions de NIS 2 est de créer un réseau européen pour coordonner leur action et standardiser les réponses aux incidents de sécurité au sein de l’Union européenne. », explique François-Pierre Lani, avocat spécialisé dans le numérique au cabinet Derriennic Associés.
Imposer des mesures proactives
Autre changement introduit par NIS 2 : la proactivité des démarches. Auparavant, c’était l’ANSSI qui était chargée d’auditer le niveau de cyber-résilience des entreprises. C’est désormais aux entreprises de s’auto-évaluer et de s’auto-déclarer, l’ANSSI jouant un rôle de veille.
En cas de non-respect des obligations de sécurité, la directive prévoit des amendes allant de 7 à 10 millions d’euros ou de 1,4% à 2% du chiffre d’affaires total, selon le degré d’importance de l’entité. concerné. Autre nouveauté : la directive introduit la responsabilité pénale des dirigeants en cas de non-respect des obligations dictées par la loi. Avec un risque de surcharge pour les chefs d’entreprise, selon François-Pierre Lani.
« Entre les différents textes européens qui ont vu le jour autour des systèmes d’information, il existe des risques cumulés de sanctions pour les entreprises. Entre le RGPD, l’AI Act, désormais NIS 2 avec ses propres sanctions, DORA qui complète NIS 2 avec la résilience opérationnelle des banques et assurances, avec des risques de sanctions aussi… Les DSI et RSSI font face à une réglementation qui ne l’arrêt et les risques de sanctions qui, cumulés, peuvent représenter plus de 50% du chiffre d’affaires de l’entreprise. Dans ce contexte, un manager ne peut plus se passer du poste de responsable de la conformité au sein de son entreprise. »
Le Royaume-Uni adopte sa propre loi sur la cybersécurité
Outre-Manche, le gouvernement britannique travaille actuellement sur son propre projet de loi, le Cyber Security and Resilience Bill. Encore sous forme de projet, il doit être soumis au Parlement début 2025 et devrait partager de nombreuses similitudes avec NIS 2, afin de renforcer également la cohésion entre les entreprises britanniques et européennes.
Le texte britannique devrait toutefois comporter quelques subtiles différences avec la directive européenne, notamment en ce qui concerne la déclaration obligatoire des cyberincidents et la finalité qu’elle vise.
» Les deux textes ont en commun de mettre l’accent sur la communication avec les autorités suite à un cyberincident. Mais les objectifs affichés diffèrent légèrement. NIS 2 rend cette déclaration nécessaire pour évaluer l’impact immédiat (…), tandis que le texte britannique contient davantage de précisions sur la fourniture au gouvernement de meilleures données sur les cyberattaques. », explique James Hodge, vice-président groupe & Chief Strategy Advisor chez Splunk, spécialiste de l’observabilité des données.
Et d’ajouter : « Cela vient selon moi du fait que le gouvernement britannique considère qu’il ne peut assurer seul la cyber-résilience, et que son rôle doit plutôt être de partager l’information le plus possible pour permettre aux acteurs de s’améliorer en apprenant sans cesse de leurs erreurs. Une légère différence de philosophie entre le Royaume-Uni et l’UE, mais l’objectif reste finalement le même : prendre conscience de l’importance technique et stratégique de la cybersécurité.
