La mise en conformité aux obligations de la directive NIS2 : pourquoi faut-il s'y préparer sans attendre ?

La directive NIS2 a beaucoup fait parler d'elle et a généré de nombreuses opinions, les RSI ont tout intérêt à l'étudier attentivement. Quels sont les points clés clés à retenir?

Les mandats réglementaires : quel que soit votre point de vue sur leur objectif leur exécution ou leurs implications, ils n’en constituent pas moins un élément crucial du contexte dans lequel travaillent les équipes de sécurité. Ceci est d’autant plus vrai pour les entreprises implantées dans l’UE et pour les entités ayant des relations avec des organisations de l’UE. L’an prochain verra l’introduction d’une nouvelle directive qui promet d’avoir un impact majeur. En 2016, la Commission européenne a établi la première série de directives sur la cybersécurité applicables dans l’ensemble de l’UE, sous le nom de directive NIS (Network and Information Security [Sécurité des réseaux et de l’information]). Mais cette avancée s’est avérée difficile à mettre en œuvre et tant son application que son exécution sont restées morcelées. Pour surmonter ces obstacles, la Commission a alors commencé à travailler sur une nouvelle norme, la Directive (UE) 2022/2555, désignée sous le nom de NIS2. Cette nouvelle directive est entrée en vigueur début 2023 et d’ici octobre 2024, tous les États membres devront l’appliquer dans le cadre de leur législation nationale.

N° 1. La mise en œuvre de NIS2 est justifiée par des arguments solides

Que cette directive et les autres mandats réglementaires soient utiles et ingénieuses ou au contraire coûteuse et chronophage, il existe d’excellentes raisons d’élaborer et d’adopter de telles normes. La réalité est que les cyberattaques se sont multipliées dans l’UE comme dans la quasi-totalité du reste du monde, et qu’elles coûtent de plus en plus cher aux organisations.

Pour déjouer ces attaques, la Commission européenne a décidé de renforcer la directive initiale, NIS. L’article 1 de la NIS2 donne un aperçu succinct de l’objectif recherché. La nouvelle norme souhaite établir des « mesures visant à obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur. »

N° 2. NIS2 est un référent non négociable

Si toutes les entités pratiquent une gestion différente de la cybersécurité, avec des niveaux de sécurité très divergents, tous les facteurs sont alors réunis pour que les attaques soient de plus en plus nombreuses et dangereuses. NIS2 traduit la volonté de la Commission européenne d’établir un niveau de sécurité commun, suffisant et évolutif s’appliquant à toutes les organisations concernées. L’article 5 stipule notamment que la directive « n’empêche pas les États membres d’adopter ou de maintenir des dispositions assurant un niveau plus élevé de cybersécurité... ». Certes, les particularités de chaque entreprise peuvent varier et certaines choisissent d’aller plus loin que ces normes de sécurité. Néanmoins, la directive NIS2 doit être considérée comme le strict minimum en matière d’obligation et comme une exigence incontournable et non négociable pour la sécurité.

N° 3. NIS2 concerne un large éventail d’entités

Par rapport à sa version originelle, la directive NIS2 élargit considérablement le nombre d’entités concernées. La nouvelle norme s’applique en effet à la quasi-totalité des entités contribuant au fonctionnement quotidien de l’UE ou à la vie de ses citoyens. Les constructeurs automobiles, les distributeurs de produits alimentaires, les banques, les détaillants, les transporteurs, les agences de gestion des déchets, etc., sont ainsi concernés.

N° 4. NIS2 s’applique à tous les appareils connectés en réseau

L’article 6 stipule notamment que les définitions s’appliquent à « tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés » ainsi qu’aux systèmes dans lesquels des « données numériques [sont] stockées, traitées, récupérées ou transmises ». Pour répondre aux exigences de la directive NIS2, les équipes de sécurité doivent prendre en compte les ordinateurs de bureau et portables, les dispositifs IoT, les imprimantes, les téléphones mobiles et les tablettes. À cela s’ajoutent aussi les bases de données et applications d’entreprise et les applications mobiles.

Les appareils et les applications doivent pouvoir résister à toutes les cyberattaques, notamment les attaques inconnues ou de type « zero-day » qui ciblent les appareils mobiles.

N° 5. La directive NIS2 met les équipes de direction devant leurs responsabilités

L’article 20 précise qui est responsable en cas de non-conformité : « les organes de direction des entités essentielles et importantes. » En conséquence, il incombe aux équipes de direction d’approuver les mesures de cybersécurité et d’assumer la responsabilité en cas de violation de la directive. L’objectif est de créer un sentiment d’urgence concernant sa mise en œuvre de la directive et de définir clairement les responsabilités en cas de non-respect.

N° 6. Les obligations de la directive NIS2 sont exhaustives

L’article 21 détaille certaines mesures permettant d’établir des garde-fous efficaces. Il énonce les obligations relatives à l’analyse des risques et à la sécurité des systèmes d’information, notamment la gestion des incidents, la sécurité de la chaîne d’approvisionnement, la continuité des activités et l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Dans tous ces domaines et d’autres encore, les équipes devront mettre en place des flux de travaux et des technologies solides, rigoureux et auditables.

N° 7. NIS2 s’applique à toute l’UE et au-delà de ses frontières

Toute entité régie par la directive NIS2 doit assumer la responsabilité de « la sécurité de la chaîne d’approvisionnement, notamment les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Concernant les organisations qui collaborent ou souhaitent collaborer avec des entreprises de l’UE, elles devront impérativement respecter les normes NIS2 et pouvoir attester des dispositifs de défense mis en place.

N° 8. Le non-respect de NIS2 implique de lourdes sanctions

L’article 33 décrit les conséquences du non-respect de la directive. En cas de non-conformité, les organisations courent le risque bien réel de voir les dirigeants de la Commission européenne recourir à des mesures de contrôle qui peuvent être coûteuses et s’accompagner d’une charge de travail importante. Par exemple, une équipe peut se voir imposer la mise en œuvre d’une solution spécifique. Elle devra alors négocier en toute hâte les tarifs et les contrats, exécuter les tests, la mise en œuvre et le déploiement de cette solution puis organiser la formation de son personnel entre autres. Mieux vaut anticiper et mettre en place des mesures de sécurité dans le cadre d’une initiative mûrement réfléchie et planifiée. Face à des systèmes devenus de plus en plus complexes, il est essentiel pour les clients de trouver des solutions qui ne nécessitent pas une refonte ou une réorganisation complète de leurs méthodes de travail existantes.

Par ailleurs, le non-respect de la conformité peut entraîner de lourdes sanctions. L’article 34 stipule qu’en cas de violation par une entité essentielle, les États membres peuvent infliger des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent d’une entreprise, le montant le plus élevé étant retenu. D’une certaine façon, ces amendes peuvent être considérées comme un levier supplémentaire pouvant justifier les investissements en matière de cybersécurité. Auparavant, les entreprises qui ne mettaient pas en œuvre des mesures robustes s’exposaient à de coûteuses cyberattaques, pouvant se chiffrer en millions d’euros. Avec la directive NIS2, elles seront également exposées à des amendes administratives dont le montant peut être tout aussi élevé.

La mise en conformité avec la directive NIS2 représentera un effort important et généralisé pour les équipes de sécurité. Le renforcement de la sécurité des appareils et des applications mobiles jouera un rôle majeur dans cette initiative.