Chronique NIS V2 - Episode 1
Introduction
La directive NIS V2 a été adoptée le 27 décembre 2022 au journal officiel. La mise en vigueur de la directive NIS V2 approche maintenant à grands pas, puisque celle-ci sera effective le 17 octobre 2024.
Les entreprises, notamment dans les secteurs critiques, mais pas seulement, doivent se préparer à répondre à un cadre de cybersécurité plus exigeant. Mais au lieu de considérer celle-ci comme une contrainte réglementaire, on pourrait peut être voir cette directive européenne comme une véritable opportunité business ! En effet, elle permet de structurer la sécurité des systèmes d’information, renforcer la résilience face aux cybermenaces, et d’autre part instaurer une confiance durable avec les parties prenantes internes (les métiers, les équipes sécurité, la DSI, la Direction) et externes (clients, partenaires, et régulateurs).
Aujourd’hui, les menaces sont de plus en plus nombreuses, sophistiquées, et NIS V2 propose un cadre clair pour les anticipés et y faire face, du moins autant que possible !
A titre d’exemple, un secteur particulièrement touché a été celui de la santé. L’ANS a explicité dans son rapport de cyber malveillance 2023 que 581 incidents de cybersécurité ont été signalés, dont 50 % étaient d’origine malveillante. Les attaques par rançongiciel ont augmenté de 10 % par rapport à l’année précédente. Plusieurs établissements de santé ont dû fonctionner en mode dégradé, parfois pendant plusieurs jours, ce qui a directement impacté la prise en charge des patients. Ces faiblesses ont révélé la nécessité d'une révision en profondeur du cadre réglementaire, ce qui a conduit à la création de NIS V2.
Retour sur NIS V1 : une base solide, mais perfectible
Adoptée en 2018, la première directive NIS avait pour but d’harmoniser les pratiques de cybersécurité au sein de l’Union européenne. Cependant, elle a rapidement montré ses limites. Du fait qu’il n’existe pas référentiel d’exigences claires, chaque pays a interprété et appliqué la directive différemment, créant des écarts notables autant sur les critères éligibilité, les niveaux de sécurité attendus, ainsi que les modalités de contrôles des entreprises. De plus à cette période les priorités étaient mises davantage sur la LPM (Loi de Programmation Militaire) et la crise COVID-19.
NIS V2 a été conçue pour harmoniser davantage les exigences à l’échelle européenne et offre un cadre plus rigoureux et plus cohérent.
Quels secteurs sont concernés par la directive NIS V2 ?
Le champ d'application de NIS V2 est plus large que celui de la première directive.
Elle distingue deux catégories principales d'entreprises : les entités essentielles et les entités importantes.
Les entités essentielles (hautement critiques)
Les entités essentielles regroupent des secteurs vitaux comme :
Les fournisseurs de réseaux de communication électronique,
Les administrations publiques,
Les prestataires de services numériques.
Mais pas que... !
Ces entreprises doivent respecter des critères spécifiques : elles comptent au moins 250 employés, ou réalisent un chiffre d’affaires supérieur à 50 millions d’euros, ou affichent un bénéfice annuel d’au moins 10 millions d’euros.
Les entités importantes (critiques)
Les entités importantes, quant à elles, incluent des secteurs stratégiques tels que les transports, l’énergie, ou encore les infrastructures numériques... Elles doivent avoir 50 employés ou plus et un chiffre d’affaires supérieur à 10 millions d’euros ET être référencées dans les secteurs d'activités spécifiés en annexe 1 ou 2 de la Directive. Ces entreprises sont également soumises à des exigences strictes, même si les sanctions en cas de non-conformité sont moins élevées que pour les entités essentielles.
Synthèse des entités éligibles à NIS V2
En synthèse l’éligibilité des entités à NIS V2 est résumée dans ce tableau :
En pratique, cela signifie que de nombreuses entreprises, auparavant non concernées par NIS V1, devront désormais se conformer aux exigences de NIS V2.
Si vous êtes incertain de votre éligibilité, il est possible de vérifier cela via le simulateur en ligne mis à disposition par l’ANSSI : https://monespacenis2.cyber.gouv.fr/simulateur.
Quelles sont les principales mesures à adopter ?
La mise en conformité avec NIS V2 repose sur plusieurs mesures essentielles. Ces dernières ne visent pas seulement à répondre aux exigences réglementaires, mais aussi à renforcer la sécurité globale des entreprises.
Politique de sécurité
Une politique de sécurité claire, documentée et validée par la direction doit être mise en place et suivie de manière continue. Cette politique couvre les différents aspects de la sécurité, notamment la gestion des accès, la protection des informations et la réponse aux incidents.
Analyse des risques
L’analyse des risques est au cœur de la stratégie de conformité. Il ne s'agit pas simplement de lister les menaces potentielles. Chaque entreprise doit évaluer avec soin l'impact que ces menaces pourraient avoir sur ses activités.
Une analyse des risques bien menée permet de hiérarchiser les priorités et d’allouer les ressources nécessaires aux domaines les plus critiques et de disposer d’éléments tangibles pour permettre à la Direction de faciliter les prises de décisions au regard de la stratégie de l’entreprise, des attentes des parties intéressées et des enjeux de sécurité.
Gestion des incidents
Les entreprises doivent être capables de détecter, rapporter et gérer les incidents de sécurité de manière efficace. Cette gestion inclut une obligation de notification auprès de l’ANSSI en cas d’incident majeur :
Un signalement précoce dans les 24 heures suivant la détection de l’incident,
Une notification complète sous 72 heures,
Un rapport final à fournir dans un délai de 30 jours.
Sécurité dans la chaîne d'approvisionnement
La sécurisation de la chaîne d’approvisionnement est un autre élément essentiel de NIS V2. Les entreprises doivent s'assurer que leurs partenaires et fournisseurs respectent également des normes de sécurité strictes. Cela inclut l’intégration de clauses de sécurité dans les contrats et la mise en place de contrôles réguliers pour surveiller les risques liés aux sous-traitants.
Un maillon faible dans la chaîne d'approvisionnement peut exposer toute l'organisation à des attaques, il est donc crucial d'adopter une approche proactive pour surveiller ces interactions.
Hygiène de sécurité
L'adoption de pratiques d’hygiène de sécurité contribue à réduire les risques. Cela inclut des pratiques simples mais efficaces, telles que des règles strictes pour l’utilisation des équipements et la gestion des accès.
Sensibilisation et formation à la sécurité
La sensibilisation/formation des employés est un aspect clé pour "réduire" les erreurs humaines. Des programmes de formation continue doivent être mis en place pour sensibiliser tous les niveaux, y compris les membres de la direction, à l'importance de la sécurité de l'information. Des exercices pratiques permettent également de tester la réactivité des équipes face aux incidents.
Authentification renforcée
Les entreprises doivent renforcer la sécurité de l'accès à leurs systèmes avec des mécanismes d'authentification forte (MFA).
Continuité d'activité
Un plan de continuité d’activité doit être mis en place pour garantir la résilience des opérations en cas d’incident majeur.
Gestion de la conformité
Afin de réaliser efficacement l’analyse de risques, évaluer l’application de la politique de sécurité et assurer l’amélioration continue en matière de sécurité, il est important d’évaluer les pratiques de sécurité existantes. Cet exercice consiste à identifier les écarts entre les bonnes pratiques recommandées par NIS V2, la politique de sécurité de l’entreprise et les mesures déjà en place. Cela permet de suivre de manière continue la conformité et de s'assurer que les mesures de sécurité sont efficaces et adaptées à l'évolution des menaces.
Il ne s'agit pas uniquement de cocher des cases pour répondre aux exigences, mais de créer une culture de la cybersécurité au sein de l’entreprise, où les bonnes pratiques sont suivies, ajustées et constamment réévaluées. Ce suivi est un pilier essentiel pour garantir que les mesures ne soient pas statiques mais évoluent avec le contexte technologique.
⇒ A noter que la transposition de la Directive NIS V2 par l’ANSSI (autorité de contrôle française), sous forme de référentiel de sécurité, précisera les exigences de sécurité à mettre en œuvre.
Le rôle accru de l’ANSSI et le renforcement des contrôles
Avec NIS V2, les autorités de contrôle comme l’ANSSI jouent un rôle renforcé. Désormais, elles pourront réaliser des inspections sur place ou à distance pour vérifier la conformité des entreprises, même en l'absence d'incident de sécurité. Les entités essentielles seront soumises à des contrôles réguliers, tandis que les entités importantes seront davantage inspectées en cas d’incident ou de signalement.
L’ANSSI sera également chargée de remonter des informations à la Commission Européenne, notamment via des rapports statistiques sur les incidents et la conformité des entreprises. Cette approche permettra une meilleure coordination entre les États membres et une réponse plus rapide face aux cybermenaces émergentes.
Sanctions en cas de non-conformité : des conséquences lourdes
En cas de non-conformité, les sanctions sont dissuasives :
Des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes. Ces chiffres montrent bien l'importance d'adopter une approche proactive pour éviter les risques financiers et réputationnels.
Des sanctions administratives telles que :
Injection de remédiation en cas de non-conformité (délai imposé).
Demande de suspension temporaire ou non des certifications.
Demande de suspension temporaire d'exercer des responsabilités dirigeantes de l’entité (personne physique).
Demande de rendre publics certains aspects des violations de la directive.
⇒ A noter que les modalités d’application des sanctions administratives évoquées, transposées dans le droit français, ne sont pas encore détaillées à ma connaissance.
Au-delà des sanctions, c’est aussi la réputation de l’entreprise et la sécurité des usagers qui est en jeu. En 2023, 12 % des incidents dans le secteur de la santé ont mis en danger la vie des patients, ce qui montre à quel point la cybersécurité est un enjeu crucial, bien au-delà des aspects purement financiers.
L’adoption d’une stratégie de conformité proactive, associée à une amélioration continue des pratiques de sécurité, est non seulement un moyen d’éviter les amendes, mais aussi une façon de montrer que l’entreprise est prête à affronter les défis numériques de demain.
Une opportunité à saisir
NIS V2 va au-delà d'une simple obligation légale. Elle constitue une opportunité unique pour les entreprises de se structurer davantage, moderniser les pratiques de sécurité, renforcer leur compétitivité et d'améliorer leur réputation afin de répondre aux attentes business. Dans un environnement où la cyberattaque peut nuire gravement à l'image d’une organisation, se conformer à NIS V2 envoie un message clair : l’entreprise prend la sécurité au sérieux et est capable de protéger les données et les systèmes critiques.
La conformité à NIS V2 renforce également la confiance des clients et des partenaires. Dans un marché où la sécurité est devenue un critère majeur, les entreprises capables de prouver qu'elles respectent des normes strictes se démarquent nettement de la concurrence.
Les sanctions en cas de non-respect sont sévères, mais une conformité rigoureuse permet de transformer cette obligation en avantage compétitif.
Je vous dis à bientôt pour un prochain épisode de la chronique NIS V2 !
Si vous souhaitez échanger sur la manière dont NIS 2 impacte votre organisation ou si vous avez des questions sur la mise en conformité, n’hésitez pas à laisser un commentaire ou me contacter !
Comments