La NIS 2, un signal fort mais en décalage avec l'urgence de la situation
Le Parlement Européen a décidé de placer la cybersécurité au devant de la scène. Face à la dangerosité et à la vitesse des hackers, comment les organisations peuvent elles faire face ?
Chaque semaine, la liste des organisations victimes de cyberattaques s’allonge. Hôpitaux, services de secours, collectivités locales et surtout entreprises sont régulièrement concernés : il est important de s’emparer des mesures de protection mises en place et surtout, d’aller au-delà. En 2022, ce sont, en effet, 385 000 cyberattaques réussies selon le cabinet Asterès.
Le Parlement européen a commencé à s’emparer du sujet en créant en 2016 la NIS, première loi sur la cybersécurité à l’échelle de l’Union européenne. En novembre 2022, l'institution va plus loin et adopte la NIS 2, une directive aux exigences de sécurité plus strictes pour un nombre plus important d’entreprises concernées.
Alors que certaines organisations doivent adopter les mesures imposées par la NIS 2 d'ici octobre 2024, il est important de se demander si cette réglementation bien qu’elle représente une avancée majeure ne sera pas obsolète face aux hackers qui agissent toujours plus vite et plus fort. Ces attaquants font évoluer leurs techniques en même temps que celles des éditeurs de sécurité, la course à la cybersécurité ne peut pas se permettre de ralentir. Il est donc nécessaire de repenser nos approches réglementaires pour avoir une longueur d’avance dans la protection de nos données et infrastructures.
Contrer l’avance prise par les hackers
Aujourd’hui, nous observons une montée en puissance des outils mis à disposition des hackers qui ne cessent de se sophistiquer pour s’introduire plus vite dans les systèmes d’information des organisations. Dans son Panorama de la Cybermenace 2022, l’ANSSI rappelle que les hackers s’améliorent en continu. Ils parviennent à obtenir des accès discrets et pérennes aux réseaux de leurs victimes, notamment grâce aux équipements périphériques. La menace est aussi difficile à caractériser, les rançongiciels deviennent monnaie courante et des liens entre Etats et groupes cybercriminels sont suspectés. Nous devons prendre en considération tous ces faits pour préparer le futur qui ne manque pas d’enjeux. Nous avons notamment une échéance très forte l’année prochaine. En 2024, on estime à 3 milliards de cyberattaques qui pourraient avoir lieu pendant les Jeux Olympiques de Paris.
NIS 2 : nécessaire mais qui doit être plus ambitieuse
Cette nouvelle directive introduit le concept de sécurité de bout en bout qui s’articule autour de 3 axes forts pour assurer l’investissement total de tous les acteurs, depuis la sensibilisation jusqu’à l’action et la coopération européenne. Cette réglementation est un signal fort et unique dans le monde pour construire une forteresse européenne qui oblige les acteurs à s’y conformer. Elle montre que la réponse aux cyberattaques ne peut être portée que de manière collective. La NIS 2 contribue à faire de l’Europe le leader dans la réglementation de la cybersécurité.
Avec la NIS 2, le nombre d’acteurs concernés en France passe de 15 000 à plus de 100 000 entreprises, selon l’ANSSI. Il s’agit alors d’une meilleure prise en considération des risques encourus pour beaucoup d’organisation de secteurs différents. La NIS 2 intègre désormais les entreprises de sous-traitance et dans certains cas les collectivités territoriales. Mais face aux enjeux, il ne s’agit plus de se contenter de répondre à des attaques. Il faut construire des forteresses dissuasives pour favoriser une vision bien plus ambitieuse et construire une sécurité intelligente, agile et proactive
L’éclatement des frontières entre vie personnelle et professionnelle : l’humain au cœur de l’enjeu de la menace cyber
Au-delà de la NIS 2, le sujet de la cybersécurité doit être l’enjeu de tous. Chacun d’entre nous, dirigeant(e)s d’entreprises et collaborateur(rice)s, est concerné par cette problématique. Il est important que nous devenions cyberhygiéniques pour permettre la survie de nos organisations. Le risque est partout et tout le temps, charger son portable personnel sur son ordinateur professionnel représente une menace. Pour lutter contre ces dangers et au-delà de la NIS 2, il est nécessaire que le changement soit initié dans toutes les sphères de l'entreprise avec une meilleure sécurisation des outils, des systèmes informatiques et la formation des collaborateurs.
La NIS 2 représente un pas important vers la mise en sécurité de beaucoup d’entreprises européennes mais la réglementation en cybersécurité ne peut pas être statique. Il est nécessaire que les organisations concernées prennent en main le sujet et anticipent les menaces plutôt qu’adopter une posture attentiste. La vulgarisation, la prise de conscience, la formation et la prévoyance de tous doivent être adoptées pour garder un coup d’avance sur les hackers. Il en va de la survie des organisations et pas seulement d’une simple mise en conformité.