Objectif cybersécurité souveraine : le défi de la directive NIS2

La souveraineté européenne, qu'elle soit en termes de cybersécurité ou de données, est primordiale de nos jours pour protéger l'avenir des entreprises et citoyens français.

À quelques mois de l’entrée en vigueur de la directive NIS2, la question d’une cybersécurité souveraine prend une nouvelle dimension. Si le sujet a gagné en importance ces dernières années - car étroitement lié à la souveraineté des données - l’élargissement et le durcissement des obligations en matière de sécurité informatique amènent progressivement les entreprises à questionner leur choix quant à la nationalité de leurs fournisseurs cyber.  

Une cybersécurité “Made in Europe” 

La conformité d'une entreprise aux réglementations en vigueur dépend largement de sa localisation géographique. Outre-Atlantique, les entreprises  doivent ainsi naviguer dans le labyrinthe complexe de la protection des données qui comprend le Cloud Act, le Privacy Shield , et plus récemment le Data Privacy Framework, ce dernier ayant par ailleurs reçu l'approbation de la CNIL en juillet 2023, soulignant déjà  une certaine volonté d’unifier le paysage réglementaire.

En Europe, le Règlement Général sur la Protection des Données (RGPD) a été un point de départ essentiel pour la protection des données.  Il vise à se prémunir contre les violations de données et les cyberattaques en instaurant des règles strictes sur la manière dont les données personnelles doivent être traitées par les entreprises. Le RGDP a marqué un véritable tournant dans la façon dont la cybersécurité est perçue et gérée au sein de l'Union Européenne, mettant l'accent sur la nécessité d'une approche proactive pour protéger les données sensibles. 

Alors que le volume d'attaques par ransomware est clairement sur une pente ascendante, les organisations gouvernementales tentent désormais de prendre les devants en plaçant ces attaques au cœur des régulations cyber. Les directives récentes de la SEC et la LOPMI, entre autres, ont mis l'accent sur la nécessité de lutter contre ce type de menace, avec comme impératif de renforcer la résilience européenne, notamment au sein des infrastructures critiques. Une nécessité pour protéger les données des citoyens.  

À ce titre, l'Union Européenne continue de durcir le ton. Alors que les directives se sont multipliées ces dernières années (DORA, Cyber Solidarity Act, Cyber Resilience Act, projet de loi SREN), l’évolution imminente de la directive NIS va encore obliger les entreprises à passer un niveau supérieur en matière de cybersécurité. Adoptée en 2016 et transposée en France en 2018, NIS (Network and Information System Security) est un règlement essentiel dont découle la norme ISO 27001. Alors que le RGPD fixe des exigences concernant la manière dont les données personnelles sensibles sont traitées, la directive NIS fixe des exigences concernant la manière dont ces données seront transférées. 

La directive NIS2, dont l'entrée en vigueur est prévue pour octobre prochain, vise d’une part à élargir le périmètre d’application pour inclure un plus grand nombre d’organisations et de secteurs, mais aussi à harmoniser les pratiques de cybersécurité à travers l’Union européenne. Un objectif clairement ambitieux, puisqu’il va impliquer un alignement renforcé entre exigences de la directive et législations nationales pour assurer un niveau de sécurité et de résilience uniforme dans toute l’UE. 

Le Marathon de la mise en conformité  

En réalité, la plupart des outils cyber européens intègrent déjà des mesures pour conduire les entreprises vers la conformité aux normes ISO/IEC 27001 et au RGDP, voire à NIS2 pour les plus avancées. En optant pour un fournisseur de sécurité basé dans l’UE, c’est à lui qu’incombera en grande partie la responsabilité quant à la documentation pour la mise en conformité. Les entreprises pourront ainsi concentrer leurs efforts sur d’autres aspects essentiels de cybersécurité tel que la formation des employés, la continuité des activités et l'analyse des risques. 

Il est donc primordial d’avoir conscience que cette législation ne s'applique qu'aux entreprises de l'UE et que les fournisseurs de sécurité situés aux Etats-Unis par exemple, ne seront donc pas tenus de se conformer à ces nouvelles règles. Bien que certaines d'entre elles puissent tenter de s’y conformer pour faciliter les échanges commerciaux avec les entreprises européennes, la responsabilité incombera quoi qu’il en soit à l'entreprise elle-même.  

Espionnage industriel ou compromission des données, le risque lié aux solutions de cybersécurité qui dépendent de législations non-européennes est aujourd’hui une réalité pour de nombreuses entreprises.  Il est donc essentiel de choisir des partenaires qui comprennent les exigences réglementaires spécifiques à un secteur ou une zone géographique et qui sont également capables d’aider les entreprises à les appliquer efficacement. L’opportunité est unique, de non seulement permettre à un plus large éventail d’organisations - dont dépendent les citoyens - de renforcer leurs défenses contre les cyberattaques, mais aussi d’ouvrir un nouveau chapitre majeur en matière de gestion transfrontalière des cybermenaces.