Vers une politique commune en matière de Cybersécurité en Europe : pourquoi il est urgent d'agir
La directive européenne NIS2 ou SRI relative à la cybersécurité a été adoptée, elle va impacter de façon majeure la manière dont les entreprises vont aborder les questions de cybersecurité.
Les attaques cyber se multiplient et semblent aujourd’hui terriblement banales aux yeux de nos concitoyens. Fin 2022, ce ne sont pas moins de deux établissements de santé majeurs qui ont vu leurs systèmes d’information totalement paralysé.
La conséquence ? Un besoin de reporter des soins, avec parfois des transferts de patients vers d’autres hôpitaux. En sous-jacent, des risques pour les vies humaines.
Face à cette situation, les pouvoirs publics Français ont annoncé une enveloppe budgétaire de 20 millions d'euros afin de “financer des actions de renforcement du niveau de cybersécurité des établissements de santé”.
Mais la cyberguerre que nous vivons actuellement n’est pas limitée aux hôpitaux et encore moins aux seules frontières de notre pays.
C’est dans ce contexte que l’Union européenne vient de réviser la directive relative à la sécurité des réseaux et des systèmes d’information (SRI ou NIS). L’objectif de la directive : assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne, afin d'améliorer la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l'UE dans son ensemble.
En d'autres termes, l’Union européenne propose pour la première fois une arme permettant de garantir l’engagement des acteurs économiques et publiques européen vis à vis de la cybersécurité avec de véritables sanctions en cas de non-application des règles en matière de sécurité pour les entreprises privées et le secteur public visé par la directive.
10 millions d’euros d’amendes ou 2 % du chiffre d’affaires annuel mondial de l’entreprise ou de l’administration fautive.
Ce régime de sanctions administratives devrait (ndr : et doit) s’accompagner de sanctions pénales pour les dirigeants ainsi que d’interdiction temporaire d’un rôle de direction exécutive ou non dans les entreprises ou l’administration concernée par la directive.
Ces sanctions ne doivent pourtant pas être vues comme un risque pour les organisations : c’est bien le risque opérationnel qui doit être au cœur de la préoccupation des entités concernées par la directive. Ce raisonnement n’est pas nouveau pour les entreprises et permettra d’aider à l’amélioration de la résilience de notre tissu économique et nos services publics.
Une lecture rapide de la directive pourrait faire penser à un simple élargissement du nombre d’entités concernées (qu’elles soient dites essentielles ou importantes) ainsi qu’un relèvement des niveaux des sanctions.
Mais c’est un changement de paradigmes qui se dessine : d’une approche par les risques (laissant les entreprises “autonomes” dans leur choix de cyberprotection) et substituer par par cette nouvelle doctrine réglementaire par une obligation de sécurité a priori, il incombe désormais à toute entreprise ciblée par la directive de démontrer de respecter un socle minimal de sécurité prévu par la directive.
La directive souligne ainsi les lacunes qui persistent actuellement en ce qui concerne la préparation des États membres comme des entreprises et des autres organisations en matière de cybersécurité. Cette même directive précise que ces lacunes seraient comblées, produisant des gains d’efficacité ainsi qu’une réduction des coûts supplémentaires générés par les incidents de cybersécurité.
Pour les entités essentielles et importantes, le relèvement du niveau de préparation à la cybersécurité aboutirait à une atténuation des éventuelles pertes de revenu dues aux perturbations, notamment à l’espionnage industriel, et à la perte de services essentiels pour les citoyens Européen permettant ainsi d’optimiser les dépenses considérables résultant de l’atténuation ad hoc des menaces.
Ce relèvement est aussi devenu nécessaire pour protéger les données des citoyens détenues par certaines administrations dans un contexte de cyberguerre.
La directive précise par ailleurs que ces bénéfices l’emportent sur les coûts d’investissement nécessaires afin d’améliorer le niveau de cyber résilience des entreprises concernées. En d’autres termes, les coûts afin d’accroître le niveau de cybersécurité des entités concernées doit être vu comme un véritable investissement et stratégie de résilience de celle-ci dans un contexte de risque et Cyber risque de plus en plus complexe.
Concernant le nombre d’entreprises concernées par la directive, il ne s’agit pas d’un simple élargissement. Par l’application du principe anglo-saxon d’accountability (ou responsabilité en Français), le texte fait peser sur un opérateur d’une entité essentielle ou importante une obligation renforcée en matière de sous-traitance. En d’autres termes, les obligations en matière de cybersécurité de la directive concernant à titre premier les entités essentielles et les entités importantes s’appliqueront par effet domino à un nombre conséquent d’autres structures qui jusque-là n'étaient pas concernées par les obligations de la directive SRI.
En conclusion, l’Union européenne pose aujourd’hui les jalons d’une véritable révolution en matière de cybersécurité. Non pas sur le fond - les principes de sécurité demandés aux entreprises et administrations restent similaires à ceux qui existaient avant – mais bien sur la façon dont les organismes européens, tel que l’ANSSI pour la France, deviendront les véritables chefs d’orchestres et clef de voûte d’une cybersécurité européenne renforcée.