Par Yoann Moreau, Head of Cybersecurity Audit & Advisory chez Squad
Le constat est sans
appel. Près d’une entreprise sur deux (47%) a subi au moins une cyberattaque
réussie en 2024. Une tendance à la hausse qui ne risque pas de s’inverser,
l’Hexagone ayant enregistré +40% d’atteintes numériques en 5 ans.
Désormais, dans un
contexte de fortes tensions géopolitiques, plus aucun secteur ni organisme
n’est épargné. Les grandes entreprises ne sont plus les seules visées, bien au
contraire. Parmi les raisons : l’émergence de l’IA générative facilitant
notamment les campagnes de phishing. Or, malgré l'explosion des usages
d'intelligence artificielle, seules 22% des entreprises ont mis en place des
mesures de cybersécurité adaptées.
Résultat, les plus
petites entreprises comme les collectivités, disposant souvent de moins de
ressources, ouvrent la porte de leurs systèmes d’information aux failles de
sécurité et par la même occasion aux cybercriminels. Quant aux grandes
entreprises, moins agiles, elles sont peut-être plus avancées dans leur
transformation, mais elles doivent souvent composer avec des infrastructures
obsolètes et des métiers peu enclins au changement.
En réponse, l’Union
européenne a alors décidé d’étendre sa directive NIS 1 (Network and Information
Security – ou en français, sécurité des réseaux et des systèmes d'information)
pour couvrir un champ beaucoup plus large de domaines et d’entités. Officiellement
entrée en vigueur en Europe le 17 octobre 2024, elle devrait être adoptée par
la France courant 2025 avec quelques ajustements.
Préparer son projet NIS
2 dans une logique industrielle
En France, plusieurs
milliers d’entités, qu’elles soient classées « Essentielles » ou « Importantes
», se verront dans l’obligation de se conformer à NIS 2 dès 2025, là où elles
n’étaient que quelques centaines à être couvertes par NIS 1. Selon l'étude d'impact
de la directive NIS 2, 15 000 entités dans 18 secteurs d'activités, contre 500
dans 6 secteurs pour NIS 1, entrent directement dans le champ d'application de
cette directive. Une nécessité face aux cyberattaques dont sont victimes les
organismes : 90% des entreprises de la région EMEA ont ainsi été confrontées à
des incidents de cybersécurité que la conformité à la directive NIS 2 aurait pu
prévenir.
Pour autant, elles sont
peu nombreuses à répondre aux exigences de la directive. Opacité de certaines
obligations, manque de ressources, problème de budget, frein au changement… Les
raisons sont multiples et les pénalités lourdes. Des sanctions qui, néanmoins,
peuvent s’avérer tellement dissuasives qu’elles poussent à accélérer la mise en
conformité et, in fine, la transformation des entreprises. En ce sens, NIS 2
tend à s’imposer dans les années à venir comme un moteur d’innovation !
Tel est l’objectif réel
derrière la directive : uniformiser la maturité des entreprises en matière de
pratiques de cybersécurité dans toute l'Europe. Par conséquent, dans quelques
années, la cybersécurité sera davantage intégrée à l'ensemble des activités de
l'entreprise, plaçant l’automatisation et l'apprentissage automatique au centre
des enjeux de sécurité. Néanmoins, la gestion des risques ne peut se faire sous
le seul angle technique, et implique le plus souvent d’engager une
transformation organisationnelle pour mettre en place une nouvelle gouvernance.
Soit un grand nombre de chantiers à lancer, parfois en simultané. Résultat, les entreprises peuvent rencontrer un certain nombre de difficultés d'implémentation ou même humaines. NIS 2 implique une vision 360 de la sécurité et une approche holistique, nécessitant un grand nombre d’expertises. C’est pourquoi les organisations qui décideront de mener ces transformations en interne s’exposeront davantage aux risques de pénalités financières du fait d’une conformité partielle ou d’erreurs d’interprétation de la règlementation. S’entourer d’experts pour se conformer à NIS 2 est donc un véritable must have.