Le compte à rebours est lancé pour la transposition en droit français de la directive européenne NIS 2 (Network and Information Security 2). Elle doit intervenir avant le 17 octobre 2024. Ce texte qui suit la directive NIS 1 renforce fortement les mesures de cybersécurité à prendre dans certaines entreprises, collectivités et institutions de l’Union européenne, avec des obligations proportionnées à leur criticité. L’enjeu humain et financier d’une crise cyber est tel, que toutes les organisations ont intérêt à s’y préparer dès maintenant. Le récent « Guide ultime de survie cyber, ou comment naviguer dans la NIS 2 en toute sérénité » de l’Alliance SPAC les y aide.
La question n’est pas de savoir si vous allez être attaqué, mais quand… Le récent guide publié par l’Alliance SPAC qui regroupe les acteurs majeurs de la sécurité en France, rappelle à quel point le risque cyber devient prégnant. Neuf entreprises sur dix ont été touchées en 2022. À l’échelle mondiale, les coûts des attaques cyber sont astronomiques : 6 000 milliards en 2021, soit deux fois plus qu’en 2015. Les pirates ont l’art de repérer les maillons faibles : un défaut de configuration sur un firewall, un accès sauvage WIFI, un badge d’accès non sécurisé… Ces attaques ne sont pas seulement numériques ou logiques, mais également physiques et hybrides. Une faille dans la sécurité d’un bâtiment peut conduire à la crise cyber. D’ailleurs, le livre blanc cybersécurité d’un bâtiment tertiaire de la SBA liste les trésors d’inventivité déployés par les attaquants : vol de données personnelles par le système de vidéo protection, ingérence dans la maquette numérique d’un bâtiment en vue de s’y introduire, attaque sur le système GTB pour contrôler la température de l’immeuble…
NIS 2 : serez-vous une entité concernée ?
Dans un monde hyperconnecté, l’effet domino des cyberattaques est dévastateur, qui plus est dans des secteurs critiques comme des sites industriels sensibles, des centrales nucléaires, des banques, des établissements de santé… Face à toutes ces menaces, la réplique ne peut être que collective, globale et coordonnée. C’est l’approche de la directive européenne NIS 2 qui doit être transposée en droit français à partir du 17 octobre 2024. Elle augmente fortement les exigences de cybersécurité des structures qui vont être désignées entités essentielles (EE), entités importantes (EI) ou entités critiques (EC). Toutes les entreprises ou organisations, collectivités locales et territoriales, administrations, institutions… Sont susceptibles d’entrer dans les critères de NIS 2, bien plus larges que dans la directive NIS 1 (2016).
La liste des entités désignées n’est pas diffusée publiquement, au vu et au su des hackers… Si vous êtes qualifié d’entité essentielle, importante ou critique, vous recevrez un courrier de l’ANSSI. Mais il faut d’ores et déjà s’y préparer et pour ce faire, les entreprises peuvent s’en référer au guide de l’Alliance SPAC qui détaille les différents critères de désignation. Par exemple, si vous êtes déjà un opérateur de service essentiel au sens de NIS 1, vous serez probablement désigné entité essentielle par NIS 2. Idem si vous êtes une grande entreprise (plus de 50 M€ de CA) ou organisation (plus de 250 salariés) d’un secteur hautement critique (énergie, transport, secteur bancaire, santé, administration…). Si vous réalisez 10 M€ de CA dans l’un des 18 secteurs ciblés, votre entreprise sera sans doute désignée comme entité importante. Quelle que soit votre taille, vous pourrez être désigné EE ou EI si vous êtes prestataire unique d’un service essentiel ou si vous appartenez à la chaîne d’approvisionnement d’une entité particulière qui peut être atteinte à travers vous. Enfin, les organisations françaises les plus stratégiques des secteurs hautement critiques seront désignées « entités critiques ».
Cybersécurité : ce qui change avec NIS 2
Le nouveau cadre législatif n’est pas définitif… mais l’Alliance SPAC est déjà capable d’extrapoler les solutions qui devront être déployées. Les organisations désignées devront mieux encadrer les menaces physiques avec un matériel certifié : clôture, portail, vidéosurveillance, alarme, système de contrôle d’accès… Elles devront également travailler sur la réponse aux menaces logiques (numériques) en déployant des couches supplémentaires de sécurité : traçabilité du parc informatique, désignation d’un responsable de la sécurité des systèmes d’information, chiffrage des échanges de données, utilisation d’un VPN, pilotage et monitoring du système d’information… Les obligations des entreprises seront graduées en fonction de leur « criticité ». Pour les entités les plus à risque (les EC), elles devront notamment se livrer à des tests d’intrusion par des organismes indépendants. En cas de non-respect, les amendes seront très élevées.
Évaluer ses risques : la première action à déclencher
Au-delà de la peur de la sanction, les entreprises, qu’elles soient désignées ou non, doivent impérativement se préparer à une cyberattaque. Évaluez vos risques, vos forces et faiblesses physiques et cyber, pour définir les mesures nécessaires. Mettez en place un suivi, maintenez une évaluation et des mécanismes de surveillance continue, indispensables pour garantir un bon niveau de sécurité. Surtout, préparez votre entreprise et vos salariés à la gestion d’une crise cyber, en définissant les procédures et les rôles de chacun. Enfin, pour sécuriser les systèmes de contrôle d’accès et le lien entre l’univers logique et physique, l’Alliance SPAC préconise d’utiliser le protocole de communication SSCP, pour contribuer à l’émergence « d’une forteresse européenne face aux menaces cyber ». Si malgré toutes vos précautions, une cyberattaque se présente, il sera nécessaire de réagir immédiatement. Pour vous orienter dès les premiers instants, le guide de l’alliance SPAC vous livre 10 bonnes pratiques pour minimiser les dommages et protéger vos données.
