Directive NIS2 : les enjeux pour les entreprises européennes

La non-conformité à NIS2 expose à des sanctions. Les entreprises doivent développer une culture de cybersécurité intégrant l'humain, les processus et la technologie pour se protéger des menaces.

La nouvelle directive sur la sécurité des réseaux et de l'information (NIS2) est une extension de la directive de l'Union Européenne sur la cybersécurité (NIS1), entrée en vigueur en 2016. Face à ces évolutions, les États membres ont jusqu'au 17 octobre 2024 pour transposer la directive NIS2 dans leur législation nationale. Les chefs d'entreprise ont donc la responsabilité de mettre aux normes les pratiques de leur entreprise en matière de cybersécurité. Le cas échéant, le coût de la non-conformité peut se traduire par des amendes, une atteinte à la réputation et la perte de clients.

NIS2 s'appuie sur la directive NIS1 pour créer une norme mondiale de mesures de cybersécurité, garantissant que les entreprises européennes ainsi que les réseaux et les systèmes d'information soient fermement protégés contre les cybermenaces en constante évolution.

La conformité à la directive NIS2, ne passera pas seulement par l’acquisition de nouvelles technologies, les entreprises devront également instaurer une culture autour de la sécurité au-delà du département du RSSI, soit à l'ensemble de l'organisation. Par exemple, de nombreuses entreprises font face à des enjeux :

  •  De rapidité quant à la qualification : Le temps moyen de pénétration de la cybercriminalité, c’est-à-dire le temps qu'il faut à un adversaire pour passer d'un hôte initialement compromis à un autre hôte du même écosystème – n’est plus que de 62 minutes en 2023, selon une étude récente.
  •  De compréhension du cloud et son fonctionnement : qui est aujourd’hui le nouveau champ de bataille cyber. Selon le rapport, les intrusions dans le cloud ont augmenté de 75 % en 2023 et les cyberattaques liées au cloud ont progressé de 110 %.
  •  D’onboarding et d’upskilling des analystes : dû à la constante évolution de l’écosystème cyber. Compte tenu de la pénurie actuelle de compétences en matière de sécurité et notamment des menaces toujours plus rapides et complexes.
  •  Et de multiplicité d'outils de sécurité : Au fur et à mesure de l'apparition de nouvelles menaces et de nouveaux défis en matière de sécurité, de nombreuses organisations se munissent momentanément de nouveaux produits pour y faire face. Ce faisant, elles créent une complexité supplémentaire dans leurs environnements, de nouveaux problèmes de gestion dû aux nombreux outils et des lacunes dans leurs défenses que les adversaires peuvent exploiter.

Malgré ces difficultés, l'objectif de la directive NIS2 est de renforcer la résilience des organisations opérant dans l'UE qui remplissent des fonctions critiques pour la société et l'économie. La directive vise à réduire les incohérences dans la gestion des menaces liées à la cybersécurité, à accroître la sensibilisation à la cybersécurité et à améliorer la capacité des organisations à répondre aux incidents.

D’autre part, la NIS2 ne consiste pas seulement à disposer de la technologie nécessaire pour faire face aux cyberattaques. Il s'agit aussi pour les entreprises de mettre en place des bonnes pratiques solides et une culture globale, de haut en bas, où chaque individu prend la cybersécurité au sérieux. L'impact de la directive sur une entreprise dépendra fortement de l'endroit où elle se trouve dans son parcours de maturité en matière de sécurité.

Le moteur du changement

Afin d’entamer cette transformation cyber les chefs d’entreprises doivent considérer que chaque exigence de la directive NIS2 renvoie à trois catégories : l’Humain, les processus et la technologie.

L’Humain : La construction d’une culture cyber forte dans une entreprise passe notamment par ses employés. Qu'il s'agisse de former les employés aux meilleures pratiques ou d'engager des experts tiers pour des services managés de sécurité et de réponse, les chefs d'entreprise doivent reconnaître qu'une cyberdéfense solide nécessite la participation des employés. Un onboarding des employés à la cybersécurité à leur arrivée ainsi qu’un suivi continu assure que les enjeux cyber restent toujours au centre de leurs préoccupations, mais cela doit également s’appliquer aux chefs d'entreprise, afin qu’ils travaillent en étroite collaboration avec leurs partenaires en matière de sécurité, pour s'assurer que les incidents sont détectés et corrigés.

La technologie : Les chefs d'entreprise doivent s'assurer que leur société dispose de la bonne technologie pour se défendre contre les cybermenaces. L'infrastructure technologique se complexifie souvent à mesure que les entreprises développent leurs systèmes et acquièrent de nouvelles solutions. Cette expansion technologique crée de nouveaux risques, car les équipes de sécurité ont davantage de choses à suivre et à protéger. Le choix d'une plateforme de sécurité consolidée offrant des fonctions intégrées permet de couvrir ces lacunes et de rationaliser les cyberdéfenses.

Processus : Faire évoluer les processus de cybersécurité constamment évoluer pour garder une longueur d'avance sur les adversaires. Les chefs d'entreprise et les RSSI sont garants de leurs processus de cybersécurité, tels que les politiques de sécurité, la gestion des incidents, la gestion des risques et l'audit, afin d'aider l'ensemble de l'organisation à faire face à l'évolution constante du paysage des menaces.

Bien qu'il puisse être difficile de se conformer à la nouvelle réglementation, les entreprises qui accordent la priorité à la cybersécurité et qui adhèrent dès maintenant à la directive NIS2 seront beaucoup mieux préparées pour se défendre contre les menaces de sécurité actuelles et émergentes et pour accélérer leur croissance au cours de l'année prochaine et des années à venir.