La Directive NIS2 : coup de pression sur les entreprises en matière de cybersécurité

L’année 2023 marque l’introduction de la Directive NIS2, une grosse mise à jour apportée par l’Union européenne pour renforcer la sécurité des réseaux et des systèmes d’information. Avec une échéance fixée au 17 octobre 2024 pour transposer cette nouvelle loi dans la législation, le compte à rebours est lancé pour les États membres de l’UE.

Contexte : La Directive NIS Originelle

Avant de plonger dans les détails de la Directive NIS2, il est pertinent de comprendre son prédécesseur, la Directive NIS (Network and Information Systems).
Instaurée en 2016, cette directive était la première législation de l’UE consacrée à la cybersécurité. Elle visait à établir un niveau commun élevé de sécurité des réseaux et des systèmes d’information à travers l’Union, en mettant particulièrement l’accent sur les opérateurs de services essentiels dans des secteurs tels que l’énergie, les transports, et la santé, ainsi que sur les fournisseurs de services numériques comme les moteurs de recherche et les plateformes en ligne.
La Directive NIS a mis en place des exigences en matière de sécurité et des mécanismes de notification des incidents pour aider les États membres à répondre aux défis de cybersécurité et à protéger les consommateurs et les infrastructures critiques.

Nouvelle réalité, nouvelles règles

Contrairement à son prédécesseur, la Directive NIS2 élargit son champ d’application au-delà des fournisseurs de services essentiels tels que les secteurs de l’énergie, de la santé, et des transports, pour inclure également divers prestataires de services numériques. Elle impose des mesures de sécurité appropriées pour gérer les risques liés à la cybersécurité et des obligations de report en cas d’incidents de sécurité.
La NIS2 propose un cadre réglementaire solide pour aider les entreprises à naviguer dans un environnement digital complexe. Elle cible toutes les entités, publiques et privées, opérant dans l’UE, qui sont vitales pour l’économie et la société.

Préparation et conformité : les entreprises responsabilisées

La Directive NIS2 impose aux entreprises de mettre en place des politiques et des procédures solides pour l’analyse des risques, la sécurité des systèmes d’information, et l’évaluation de l’efficacité des mesures de gestion des risques en matière de cybersécurité. Elle exige également que l’accès soit désactivé lorsque les employés ou les contractuels cessent de travailler pour l’entreprise, et interdit l’utilisation de comptes génériques.

Dans ce contexte, l’utilisation d’un VPN d’entreprise reposant sur le principe du zéro Trust (ZTNA) utilisant différents systèmes de passerelles afin de sécuriser les points d’accès au réseau devient incontournable.

Par ailleurs, l’adoption de solutions de Détection et Réponse sur les Endpoints (EDR) est vivement recommandée pour fournir une visibilité et un contrôle améliorés sur les activités des systèmes d’exploitation des entreprises, permettant ainsi une réponse rapide en cas d’incidents de sécurité. Les menaces contemporaines telles que les ransomwares et le malvertising nécessitent une attention particulière, car elles peuvent causer des dommages considérables aux opérations des entreprises et à leur réputation, tout en entraînant des coûts de récupération élevés. La Directive NIS2, en établissant un cadre réglementaire plus stricte, vise également à encourager les entreprises à adopter des mesures proactives pour se défendre contre ces menaces persistantes et évolutives.

Sanctions Financières : Un Levier de Conformité

La NIS2 prévoit des sanctions financières sévères en cas de non-conformité. Pour les entités essentielles, l’amende maximale sera d’au moins €10 millions, ou 2% du chiffre d’affaires annuel global. Pour les entités importantes, l’amende maximale sera d’au moins €7 millions, ou 1,4% du chiffre d’affaires annuel global.

Pour conclure

Difficile d’ignorer certaines réalités troublantes du paysage actuel de la cybersécurité. Il semblerait que l’engagement envers la protection des données personnelles varie considérablement d’un secteur à l’autre.

D’un côté, certaines entreprises semblent négliger la valeur intrinsèque des informations personnelles qu’elles détiennent, traduisant ainsi une certaine désinvolture en matière d’investissement dans la cybersécurité.

D’un autre côté, des secteurs indispensables tels que la santé, confrontés à des contraintes budgétaires, peinent à allouer les ressources nécessaires pour renforcer leur cybersécurité. Les récentes attaques par ransomware visant des établissements de santé illustrent tristement cette réalité.

La Directive NIS2 est une avancée significative qui vise à augmenter la résilience et la coopération en matière de cybersécurité au sein de l’UE. Mais c’est également un sacré coup de pression pour beaucoup de PME. Avec l’échéance de 2024 qui approche rapidement, les entreprises doivent agir sans délai pour se conformer aux nouvelles exigences réglementaires et assurer ainsi un environnement numérique plus sûr sous peine de lourdes amendes.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !