La directive NIS2, adoptée par l’Union européenne, impose de nouvelles exigences aux entreprises en matière de cybersécurité. Plus stricte et plus large que sa prédécesseure, elle vise à renforcer la résilience face aux cybermenaces. Quels sont ses objectifs ? Comment les entreprises doivent-elles s’y adapter ?
Pour répondre à ces questions, nos équipes sont allées à la rencontre d’Abou Ndiaye, consultant senior cybersécurité/RSSI freelance et CEO de Licanam Cyber.
SOMMAIRE
Aux prémices de NIS2 : NIS1
La directive NIS1 avait déjà vu le jour avant l’arrivée de sa successeure.
Le terme NIS, pour Network and Information Security, est aussi désigné par le terme SRI en français, pour Sécurité des Réseaux et des systèmes d’Information.
NIS1 est donc une directive européenne. Elle est rédigée par l’UE et est ensuite déclinée localement au sein de chaque Etat pour l’adapter à son environnement, ses contraintes et ses exigences. Chacun des Etats concernés désigne une autorité nationale compétente pour assurer la mise en place et l’audit de la directive ; ainsi que pour mettre en place des groupes de coopération au niveau européen. En France, c’est l’ANSSI qui a été désignée.
Toutefois, contrairement à NIS2, NIS1 ne ciblait que les grands acteurs économiques du marché européen. Ceci se limitait à protéger environ 500 infrastructures critiques en France.
NIS2 : une réponse aux nouveaux enjeux de la cybersécurité
Pourquoi mettre en place cette directive ?
De plus en plus de sociétés se font attaquer de nos jours. En 2023, en France, 34% des entreprises victimes d’attaques étaient des TPE, PME et ETI ; et 24% étaient des collectivités territoriales et locales (mairies, établissements de santé…).
« Ceci montre que les attaquants ont changé de cible : ils ne visent plus que les grandes entreprises, mais aussi les plus petites » explique Abou Ndiaye. Ce constat se généralise à l’ensemble de l’UE.
« On observe une évolution de la menace avec de nouvelles cibles en vue. Le ransomware prend de plus en plus d’ampleur pour les attaquer. C’est pourquoi une évolution de NIS1 était nécessaire à l’échelle européenne » Abou Ndiaye
En quoi consiste NIS2 ?
Adoptée par l’Union Européenne, la directive NIS2 vise à renforcer la cybersécurité des infrastructures critiques et à harmoniser les pratiques entre les Etats membres. En France sa transposition est en cours. En effet, le 11 mars dernier s’est tenu le débat public sur sa transposition au Sénat. Ce dernier l’a validée et transmis à l’Assemblée Nationale.
NIS2 inclut un plus grand spectre de sociétés avec 18 secteurs et sous-secteurs. Elle constitue une étape essentielle dans la sécurisation des écosystèmes.
Cette directive répond ainsi à la hausse de la cybercriminalité en Europe. En effet, les attaques par rançongiciel ont augmenté de 30% entre 2022 et 2023, et touchent tous les secteurs.
NIS2 offre principalement 3 avantages :
- Elle permet d’uniformiser les pratiques, d’aligner les organisations sur les directives qui favorisent la protection et la résilience de manière adaptative.
- En prévenant et atténuant les risques, elle crée de la résilience collective au sein de l’UE afin que tout le monde soit au même niveau de maturité de sécurité.
- Elle permet de mieux comprendre le paysage des risques grâce à une amélioration de la gestion et de l’évaluation des actifs.
« NIS2 renforce les exigences en matière de sécurité au sein de l’UE avec un élargissement de son champ d’application à plus de secteurs d’activités et plus d’entités pour doter l’Europe d’un véritable “bouclier cyber” » Abou Ndiaye
Les cyberattaques ciblées par NIS2
NIS2 entend lutter contre les principaux types de cyberattaques, à savoir :
- Les attaques par rançongiciel, qui exigent une rançon pour rendre des données ou ne pas les diffuser.
- Les attaques par hameçonnage, qui visent les systèmes bancaires en ligne et les données financières des clients.
- Les attaques sur Internet, qui exploitent les vulnérabilités des applications.
- Les attaques de la chaîne d’approvisionnement, qui exploitent les vulnérabilités des produits, services et systèmes de tiers (un fournisseur de logiciels par exemple).
- Les attaques par déni de service distribué (DDoS), qui perturbent les transactions de grande valeur et le traitement de données.
- Les attaques à caractère social, qui exploitent les vulnérabilités humaines.
Qui est concerné par NIS2 ?
NIS2 concerne toutes les organisations offrant des services essentiels. Le champ d’application a été élargi par rapport à NIS1 pour inclure plus de secteurs ainsi que les grandes et moyennes entreprises.
La directive NIS2 définit 2 catégories d’entités régulées : les entités essentielles et les entités importantes.
Ces catégories se définissent selon le secteur d’activité, la taille de l’entreprise, le chiffre d’affaires ou encore le bilan annuel.
Des obligations renforcées pour les entreprises
Les exigences de NIS2
NIS2 impose aux entreprises de structurer leur cybersécurité en définissant une politique claire et en identifiant leurs risques. Elle renforce notamment la gestion des incidents en favorisant l’anticipation des cyberattaques.
De plus, les entreprises doivent obligatoirement remonter les incidents qualifiés d’importants à l’ANSSI et aux CSIRT (Computer Security Incident Response Team) dans des délais bien définis. Ceci permet ensuite d’identifier si un type d’attaque, une technique ou un groupe en particulier cible la France. La transposition de la directive permet de clarifier la notion d’incident important.
Au-delà de la protection interne, NIS2 impose également un contrôle accru sur la chaîne d’approvisionnement. Ceci inclut une rationalisation des obligations de reporting.
Les mesures de surveillance et les exigences d’exécution sont aussi beaucoup plus strictes que celles imposées par NIS1.
Enfin, les organes de direction possèdent davantage de responsabilités avec la mise en place de NIS2.
Quels sont les risques en cas de non-conformité ?
« Les sanctions en cas de non-conformité à NIS2 sont d’autant plus importantes que celles imposées par le RGPD par exemple » nous explique Abou Ndiaye.
En effet, ces dernières sont proportionnelles aux entités : les entités essentielles ont plus d’exigences que les entités importantes. La sanction peut atteindre jusqu’à 2% du chiffre d’affaires mondiale pour les entités essentielles ; et jusqu’à 1,4% pour les entités importantes.
Le membre de la direction, qui a été responsabilisé avec NIS2, peut également être sanctionné. De plus, la société peut aussi se voir retirer un agrément.
Se mettre en conformité : les bonnes pratiques à adopter
Quelles étapes pour anticiper NIS2 ?
Dans un pemier temps, explique Abou Ndiaye, il est nécessaire de se faire accompagner par des experts en cybersécurité afin de définir la démarche à adopter. Il peut aussi être intéressant d’obtenir le sponsorship des dirigeants de l’entreprise.
Ensuite, il est important d’évaluer le niveau de maturité de la société par rapport à NIS2. « L’idée est de faire un constat des mesures de sécurité en place et de les comparer aux exigences pour définir ce qu’il reste à faire concernant NIS2 » souligne Abou Ndiaye.
Enfin, il convient de définir une feuille de route propre à l’organisation et à son environnement, et de l’implémenter.
L’ANSSI se donne 3 ans pour la pleine application de la directive NIS2 en France. En moyenne, il faut compter au minimum 1 an pour une mise en conformité complète de NIS2. En effet, selon le niveau de maturité, le temps nécessaire ne sera pas le même d’une organisation à l’autre.
Si NIS2 est devenue obligatoire depuis sa mise en application le 17 octobre 2024 à l’échelle de l’UE, elle n’a toujours pas été déclinée en France. En effet, l’Assemblée Nationale a reçu la proposition de transposition. Cette dernière apporte des précisions sur les entreprises concernées, les règles de sécurité à appliquer, ainsi que les délais de mise en conformité.
Toutefois, il est recommandé de se lancer dans son application dès que possible puisque plusieurs mesures principales ou règles d’hygiène sont applicables pour tous. Par exemple, NIS2 exige l’application de certaines mesures de sécurité minimales telles que le cryptage des données sensibles.
Le 17 avril 2025, chaque Etat membre devra établir la liste des entités essentielles et des entités importantes.
Quels outils et solutions privilégier ?
Abou Ndiaye recommande avant tout de définir un plan de mise en conformité NIS2. Ce plan démarre par une évaluation des risques et des impacts.
Concernant les solutions à déployer, il est nécessaire de mettre en place des solutions EDR (EndPoint Detection and Response) afin de prévenir, détecter et répondre aux incidents de manière efficace. Plusieurs solutions EDR existent selon les différents besoins.
De plus, notre expert recommande aussi, dans la mesure du possible, d’opter pour des solutions françaises et/ou européennes dans le cadre de cette directive.
Aussi, un grand nombre de solutions concernent la gouvernance ou la gestion des accès, telles que les solutions d’IAM. Il convient à chaque organisation de définir les outils et solutions qui lui seront nécessaires.
Enfin, la formation et la sensibilisation des collaborateurs est primordiale. En effet, l’une des obligations de NIS2 est d’assurer une formation continue en matière de cybersécurité.
NIS2 et opportunités en cybersécurité
L’application de la directive NIS2 va notamment inciter les organisations à recruter de plus en plus d’experts en cybersécurité.
« Etant donné qu’on observe une pénurie de ce type de profils, il y aura à mon avis de plus en plus de formations sur ces sujets, et donc sur le long terme, plus d’emplois » affirme Abou Ndiaye.
Quelles perspectives avec NIS2 ?
NIS2 va permettre d’atteindre un niveau de résilience beaucoup plus important à l’échelle européenne, souligne Abou Ndiaye. Elle va également inciter les entreprises à débloquer du budget pour renforcer la cybersécurité et mieux comprendre son intérêt.
La mise en conformité de NIS2 représente tout de même un chantier de travail conséquent. Les entreprises attendent donc les clarifications pour la planifier, notamment en termes de budget et de ressources.
Cependant, la menace ne cesse d’évoluer, en particulier avec l’essor de l’IA générative ces dernières années. « Lorsque NIS2 a été élaborée, les risques liés à l’IA n’étaient pas aussi présents qu’aujourd’hui. Elle offre à présent de nouvelles opportunités aux cyberattaquants » explique Abou Ndiaye.
« Aujourd’hui, un cyberattaquant n’a plus besoin d’être expert en cybersécurité pour utiliser des solutions d’IA et attaquer une entreprise » Abou Ndiaye
Dans un contexte marqué par la multiplication des cyberattaques et l’aggravation des tensions internationales, la directive NIS2 vise donc à renforcer le niveau de sécurité des SI de nombreuses organisations, aussi bien du secteur privé que public.
