14 décembre 2022
ESET se félicite de la décision des législateurs européens d’avoir adopté la seconde directive sur la sécurité des réseaux et de l’information (NIS2) visant à renforcer la cyber-résilience dans l’ensemble de l’Union. La nouvelle législation est une réponse à la dépendance croissante des secteurs critiques à l’égard du numérique, et à leur plus grande exposition aux cybermenaces.
La directive désormais approuvée remplace la directive NIS introduite en 2016 en tant que toute première législation sur la cybersécurité à l’échelle de l’UE. La directive NIS2 a un champ d’action plus étendu et touche davantage d’entités dans les secteurs « hautement critiques », tant publics que privés, tels que l’énergie, les transports, les banques, l’eau et les eaux usées. De nouvelles obligations sont prévues pour d’autres secteurs, tels que l’industrie manufacturière, l’industrie alimentaire, l’industrie chimique, la gestion des déchets, les services postaux et les services de colis.
Les entreprises classées dans la catégorie « hautement critiques » devront prendre des mesures techniques et opérationnelles pour se conformer à NIS2, notamment concernant :
- La gestion de la réponse aux incidents
- La sécurité de la chaîne d’approvisionnement,
- Le chiffrement
- La communication des vulnérabilités,
- L’analyse des risques,
- L’évaluation et l’audit des stratégies de cybersécurité,
- La planification de la gestion de crise
Ces mesures visant à assurer leur continuité d’activités. De plus, en cas de cyber incident, ces entités devront également soumettre une notification initiale dans les 24 heures et des informations plus détaillées dans les 72 heures. La directive NIS2 prévoit des amendes en cas de non-respect, y compris la suspension de la certification et l’engagement de la responsabilité personnelle pour les postes de direction, conformément aux législations nationales.
Enfin, NIS2 établit également le réseau européen d’organisations de liaison en cas de cybercrise, EU-CyCLONe, afin de permettre la coopération entre les agences et les autorités nationales chargées de la cybersécurité. Chaque État membre sera également tenu d’identifier clairement un point de contact unique pour le signalement des cyber incidents.
Les PME sont-elles également tenues de s’y conformer ?
La directive NIS2 s’applique selon plusieurs critères, dont la taille des organisations et leurs secteursleur secteur d’activité. Ainsi, toutes les moyennes et grandes entreprises, telles que définies par la recommandation de la Commission 2003/361/CE, qui opèrent dans les secteurs couverts par la présente directive ou fournissent des services également couverts, relèvent de son champ d’application ». Bien qu’elle exclue les petites et micro-entreprises de l’obligation de se conformer aux nouvelles règles, certaines exceptions s’appliquent, par exemple, pour les PME des secteurs des réseaux de communication électronique ou des services de communication électronique accessibles au public, des fournisseurs de services de confiance ou des administrateurs de registres de noms de domaines de premier niveau (TLD).
Prenons la question sous un autre angle. Pourquoi les petites et moyennes entreprises devraient elles tout de même s’intéresser à NIS2 ? Celles-ci sont de plus en plus souvent la cible d’attaques en raison de leurs ressources de sécurité limitées. Ces attaques peuvent avoir un effet en cascade sur les entités avec lesquelles elles sont en relation, qui sont, elles, bien mieux protégées. Les États membres devraient, via leurs stratégies nationales de cybersécurité, aider les petites et moyennes entreprises à relever les défis auxquels elles sont confrontées, pour qu’elles ne deviennent pas les maillons faibles d’une chaine de plus en plus forte. Ils devraient mettre en place un point de contact pour les petites et moyennes entreprises au niveau national ou régional fournissant des conseils et une assistance aux petites et moyennes entreprises, ou les orientant vers les organismes appropriés, pour obtenir des conseils et une assistance en ce qui concerne les questions de cybersécurité. (www.cybermalveillance.gouv.fr en France, ainsi que les CSIRT régionaux)
En mars de l’année dernière, l’Alliance DIGITAL SME, le plus grand réseau de PME de l’UE dans le domaine des TIC, a publié une prise de position en réaction à la consultation sur la proposition de NIS2, saluant la nouvelle directive, mais alertant également sur l’impact indirect de NIS2 sur les PME.
Lors d’un entretien avec ESET, James Philpot, chef de projet chez DIGITAL SME, a noté que la première chose que les PME devraient faire pour « comprendre leurs besoins spécifiques afin de renforcer leurs pratiques de cybersécurité est de consulter leur centre national de cybersécurité (ANSSI en France) ainsi que les guides et recommandations de l’ENISA ». Il peut cependant être plus ou moins facile d’obtenir les bonnes informations, car les États membres fournissent des ressources différentes. Néanmoins, la directive NIS2 prévoit que les États devraient fournir un soutien et des ressources, principalement pour aider les organisations à obtenir une compréhension détaillée du champ d’application de cette législation et de savoir si leurs clients y seront soumis, ce qui permettra de planifier à l’avance.
Transformer les défis en opportunités.
« Les fournisseurs risquent d’être les plus perturbés, et il peut être difficile pour certaines entreprises de disposer des moyens techniques nécessaires, mais surtout de comprendre les exigences de signalement et la manière dont la directive NIS2 interagit avec d’autres législations, » explique M. Philpot.
« Mais d’une manière plus générale, nous devons être positifs à ce sujet, » et « les efforts visant à améliorer le niveau de cybersécurité dans les entreprises européennes sont généralement bien accueillis. » La seule mise en garde, alerte M. Philpot, concerne le niveau de « mise en œuvre et de soutien, et la manière dont cela sera géré fera en fin de compte la différence entre une législation qui aide les PME et une législation qui constitue un fardeau réglementaire. »
ESET et DIGITAL SME sont convaincus que ce nouveau cadre pourrait être une opportunité. « Oui, ce peut être une opportunité, et des solutions techniques sont disponibles en Europe pour assurer le niveau de cybersécurité requis, mais les entreprises doivent éviter de rechercher le nom le plus connu ou l’offre la moins chère, qui tend à provenir de l’extérieur de l’Europe. » C’est pourquoi il est si important « d’associer soutien et ressources pour tirer parti de cette législation et renforcer l’innovation européenne ».
Les PME peuvent également s’adresser à leur CSIRT local (délégué régional de l’ANSSI, www.cybermalveilance.gouv.fr, …), pour pallier certaines des lacunes d’autres organismes nationaux, ou tirer parti de ressources telles que le site web DIGITAL SME/guide SBS, le Guide DIGITAL SME sur les contrôles de sécurité de l’information ou les certificats de cybersécurité.
Vers des entreprises plus sûres.
Le Rapport d’ESET sur le sentiment de sécurité numérique des PME, a révélé que si 83 % des PME estiment que la cyberguerre est une menace bien réelle et que 71 % ont une confiance de moyenne à élevée dans leur capacité à enquêter sur la cause profonde des cyberattaques, 43 % considèrent le manque de sensibilisation des salariés comme étant la principale cause d’inquiétude, tandis que l’adoption réelle des solutions d’EDR (détection et réponse sur les endpoints), qui apportent une aide spécifique dans ce domaine, n’est que de 32 %.
Comme le note également M. Philpot dans sa conversation avec ESET, « les conséquences des cyber incidents sont bien connues » lorsqu’il s’agit des PME :
- Fuites de données,
- Impact financier considérable,
- Perte de confiance des clients.
Ainsi, « d’une manière plus générale, nous devons être positifs » à l’égard de NIS2. Cette directive jouera à minima un rôle important en matière de sensibilisation, car même les entreprises qui « ne sont pas tenues de s’y conformer pourront acquérir une plus grande compréhension. »
La directive NIS2 sera applicable dès que les États membres de l’UE l’auront transposé dans leur droit national, d’ici octobre 2024. Néanmoins, les organisations devraient s’y préparer le plus tôt possible, non seulement pour être à temps dans le processus de mise en œuvre, mais également pour tester différentes bonnes pratiques de traitement des incidents, de politiques de contrôle et de méthodologie en matière de signalement. Avant tout, la directive NIS2 définit un niveau minimum commun de cybersécurité en Europe, qui doit être considéré comme un tremplin, pas un obstacle.