En 2016, l'Union européenne (UE) a tenté pour la première fois d'inciter ses États-membres prendre en main leur cybersécurité. Cette initiative a donné naissance à la directive sur la sécurité des réseaux et de l'information, ou NIS. Son objectif : lutter contre les menaces qui pèsent sur les systèmes et réseaux d'information et sont susceptibles de perturber les services, les processus et les utilisateurs de l'économie numérique. La directive définissait un ensemble minimal de mesures de sécurité à respecter par les fournisseurs de services numériques et essentiels – énergie, banque, santé et distribution d'eau.
Ces règlements ont eu un effet positif sur le paysage de la cybersécurité. Ils ont stimulé les investissements et établi des bonnes pratiques fondamentales dans ce domaine. Il restait toutefois des fossés considérables à combler. La directive ne décrit pas avec suffisamment de clarté la manière dont les États-membres doivent traduire les pratiques dans leur législation nationale, et la catégorisation des entreprises qui entrent dans son champ d'application souffre d'un certain flou.
Il faut se souvenir que les règlements de la directive NIS initiale s'inscrivaient dans un paysage numérique très différent de celui d'aujourd'hui. La généralisation du télétravail et des pratiques hybrides a offert aux acteurs malveillants un terrain de jeu idéal pour exercer leur créativité. Ils ont d'ailleurs grandement élargi la portée de leurs attaques et diversifié leurs cibles.
Le paysage des menaces évolue constamment.
Les années qui ont suivi la mise en œuvre de la première directive NIS ont été difficiles pour les équipes informatiques et de sécurité. Mais la décennie qui s'est ouverte avec la pandémie de Covid-19 les a confrontées à de nouveaux défis. Si les prévisions en matière de sécurité sont justes, le voyage ne sera pas sans heurts. Récemment, lors du dernier Forum économique mondial (FEM) à Davos, en Suisse, un expert en cybersécurité de l'université d'Oxford a évoqué une « tempête cybernétique ».
Dans un précédent article, nous avons abordé les principaux facteurs qui façonnent le paysage cybernétique mondial : l'évolution du scénario de cybersécurité, la montée en puissance des technologies avancées et les crises géopolitiques. Rappelons également que le nombre de cyberattaques en Europe n'a cessé d'augmenter, incitant l'Europe à revoir sa directive dans une optique de résilience. Le but n'est plus seulement de fournir une base de référence claire pour la gestion des risques, mais aussi d'imposer des conséquences financières en cas de non-conformité. Une fois NIS 2 en vigueur, les entreprises s'exposent en effet à une amende de 10 millions d'euros ou de 2 % de leur chiffre d'affaires mondial total – le montant le plus élevé sera retenu.
NIS 2 : il est temps de passer aux choses sérieuses
La nouvelle version de la directive européenne sur la cybersécurité, NIS 2, est plus large, plus claire et mieux armée pour faire face aux évolutions à venir. Le nombre de secteurs couverts par la directive passe de 19 à 35, afin d'intégrer de nouveaux domaines cruciaux pour l'économie et la société. Un critère de taille a été ajouté afin de couvrir toutes les moyennes et grandes entreprises des secteurs sélectionnés. Les règles autorisent également les États-membres à inclure des organisations plus petites dans le champ d'application de la réglementation, s'ils jugent qu'elles représentent un risque de sécurité important.
En pratique, la directive NIS 2 élargit le champ d'application initial – énergie, santé, transports, finance, distribution d'eau et infrastructure numérique – pour inclure la fabrication de produits alimentaires et de médicaments, la gestion des déchets et les services postaux, entre autres. Des aspects auparavant négligés, tels que les sous-traitants et les fournisseurs de services tiers, sont également couverts par la réglementation. Et comme c'est le cas pour le RGPD et d'autres directives du même ordre, les entreprises qui ne sont pas établies dans l'UE, mais qui offrent leurs services sur son territoire, sont soumises à la directive et responsables en cas d'infraction.
Le Parlement européen a publié ces mesures en novembre dernier et fixé à 2024 l'échéance de leur mise en place. Ces efforts témoignent de la volonté de l'UE de protéger l'économie de ses États-membres contre la menace bien réelle de l'escalade des cyberattaques. La responsabilité de ces plans incombe aux dirigeants et aux parties prenantes, tant dans le secteur privé que public. Il faudra impérativement mettre les systèmes, les processus, les réseaux, les appareils et les utilisateurs en conformité avec la directive, et ce parcours sera semé d'incertitude.
Prochainement : éléments clés et bonnes pratiques de conformité
Dans cette série d'articles, nous allons analyser les implications de NIS 2 pour les équipes informatiques et de sécurité. Nous explorerons la portée et les conséquences de la réglementation, du point de vue des responsables comme des services techniques. En attendant, commençons par préciser que les règles s'appliqueront aux entités déjà couvertes, ainsi qu'à toute entité de plus de 50 employés et dont le chiffre d'affaires annuel dépasse 10 millions d'euros dans les secteurs concernés. Dans nos prochains articles, nous approfondirons les implications de la directive pour votre organisation. Nous mettrons également en évidence les aspects clés de NIS 2 à implémenter en priorité, ainsi que les bonnes pratiques de conformité.
par catégorie :
Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.