La cybersécurité managée, clé de la conformité avec la directive NIS 2 ?

Le 17 octobre 2024, la directive européenne NIS 2 entrera en vigueur en France. Dans ce contexte, comment les ETI peuvent-elles se préparer et choisir les bons outils pour se mettre en conformité avec cette réglementation ?

Dans un contexte de hausse drastique de la cybercriminalité et d’évolution constante du paysage des menaces, États et organisations supra-étatiques s’efforcent de se doter de moyens techniques avancés afin de lutter contre ces menaces en les étayant d’outils législatifs. Ainsi, l’Union européenne (UE) a adopté en décembre 2022 la deuxième version de sa directive pour la Sécurité des réseaux et de l’information (SRI 2, également appelée NIS 2) qui vise au renforcement des cyberdéfenses des entreprises. Il s’agit pour ces dernières de se protéger encore mieux contre les attaques et de limiter l’impact d’éventuels incidents sur les bénéficiaires et les usagers.

Néanmoins, cette nouvelle réglementation est à double tranchant, car elle a pour but de renforcer la cybersécurité en imposant de nouvelles exigences aux "entités essentielles et importantes" et en étendant le champ d'application de la directive à d'autres secteurs industriels. Ces entreprises  doivent se conformer à de nouvelles exigences au plus tard au 17 octobre 2024, date à laquelle les États membres de l'UE sont tenus d'adopter les exigences techniques et méthodologiques énoncées dans la directive et, après quoi, le NIS 1 sera abrogé. Il s’agit également de la date à laquelle la directive sera transposée dans la législation française. L’introduction de ces nouvelles obligations, mais aussi les nouveaux mécanismes d'application, obligent les organisations concernées à revoir leur stratégie de cybersécurité et leurs outils pour être en conformité.

Une réglementation étendue pour la cybersécurité en Europe

Avec l’introduction d’un nouveau paradigme à la directive NIS 1 datant de 2016, NIS 2 élargit la portée, l'application et la mise en œuvre de la réglementation à un total de 18 secteurs d’activité publics et privés.  

Outre les secteurs essentiels couverts par la précédente version, tels que l’énergie, la santé, les transports ou les infrastructures bancaires et financières, les obligations de mise en conformité s’étendront désormais à d’autres domaines d’activité, comme les services postaux et de messageries, la gestion des déchets, la fabrication, le traitement et la distribution de produits critiques , la recherche, la gestion de services technologiques de l’information et de la communication (TIC) ou encore certains fournisseurs de solutions numériques. Toutes les organisations concernées sont réparties en « entités essentielles », comme les administrations publiques, les fournisseurs de réseaux ou de services de communication électroniques publics et bien d’autres, et en « entités importantes », qui incluent les organisations définies comme « importantes » par les États membres.

Enfin, les “infrastructures numériques" sont mentionnés comme une catégorie à part dans la directive. Les trois catégories s'appliquent à une taille particulière d'entreprise opérant dans chaque secteur, en fonction du nombre d'employés et de la taille de leur bilan annuel. Plus précisément, elle ne concerne que les entreprises de 50 employés et plus ou celles qui affichent un bilan ou un chiffre d’affaires annuel supérieur à 10 millions d’euros, elle s’applique également à d’autres acteurs, quelle que soit leur taille. Toutefois, les entreprises concernées doivent tenir compte des mesures de sécurité de leur chaîne d'approvisionnement en aval.  

Or, en matière de cybersécurité, ces entreprises nouvellement concernées par la directive, principalement des entreprises de taille intermédiaire (ETI), ne sont pas forcément dotées de solutions ou de politiques adéquates et conformes. Ainsi, face à la prolifération des offres et des solutions disponibles sur le marché, certaines risquent de se retrouver perdues quant à la solution adéquate à adopter pour se conformer à NIS 2. Et si la solution se trouvait dans les solutions de cybersécurité managées ?

Quand la cybersécurité se met au service de ses clients

Malheureusement, l’entrée en vigueur de la directive NIS 2 en France n’est pas le seul défi auquel les entreprises doivent faire face. En effet, elles doivent également composer avec des problématiques d’ordre budgétaire et une pénurie de talents qui sévit depuis plusieurs années maintenant dans le secteur de la cybersécurité. Une étude réalisée par l'ISC2 révèle que la pénurie de main-d’œuvre a atteint un niveau record de 4 millions de personnes en 2023, alors que les effectifs dans ce domaine ont augmenté de près de 10% au cours de l’année écoulée.

Les mesures introduites par NIS 2 exigeront bien plus de la part des organisations ; elles vont devoir ainsi mettre en place des politiques d’analyse du risque, des formations à destination des collaborateurs, ou encore une meilleure gestion des incidents. Ces impératifs risquent de mettre à mal les équipes de cybersécurité, déjà débordées. Selon un rapport de Gartner, près de la moitié des responsables de la sécurité devraient changer d'emploi d'ici à 2025, dont 25 % d’entre eux pour des rôles complètement différents, en raison des facteurs de stress.

Face à ce constat, les organisations devraient se tourner en priorité vers des solutions leur apportant gain de temps et sérénité. Les solutions as-a-Service répondent, entre autres, à ces priorités en combinant à la fois technologie et services humains pour alléger la charge de travail des équipes de cybersécurité. Faire ce choix, c’est la garantie pour les organisations de disposer d’une équipe d’experts, spécialistes de la chasse aux menaces, dont le rôle est d’analyser et de détecter les menaces 24/24 et 7j/7. La technologie de détection qui combine automatisation et intégration permet aux experts de recevoir des alertes de sécurité concernant les événements les plus critiques tout en évitant les faux positifs. Une fois informée, l’équipe de cybersécurité interne à l’entreprise n’a donc plus qu’à se charger de la remédiation !

Au-delà du renforcement du niveau de cybersécurité des entreprises devant désormais se conformer à cette directive, ces dernières pourront également répondre davantage aux exigences concernant le signalement des incidents de cybersécurité aux autorités de régulation. Elles devraient également éviter toute amende en cas de non-conformité, celles-ci pouvant s’élever jusqu’à 2 % du chiffre d'affaires annuel.

Adopter une solution managée par des équipes de spécialistes devrait permettre aux entreprises d’aborder sereinement la mise en application de cette nouvelle réglementation. Il s’agit d’une décision qui concerne les directeurs techniques, RSSI, mais aussi et plus largement les décisionnaires en entreprise, puisque, avec l’introduction de la directive NIS 2, ces derniers pourront désormais être tenus personnellement responsables d’éventuelles violations en matière de cybersécurité et d’incidents informatiques, entraînant des sanctions individuelles.