NIS 2 : le report de sa transposition ne doit pas servir d'excuse face aux dangers de la non-conformité

Le report de la transposition de la directive NIS 2 ne doit pas occulter l'urgence d'agir face aux cybermenaces croissantes et au manque de maturité en cybersécurité des entreprises françaises.

Il y a quelques semaines, l’ANSSI annonçait reporter la transposition de la directive NIS 2 dans les textes français, repoussant ainsi les risques de sanction pour les entreprises non-conformes. Outre les questions que cela soulève pour les organisations opérant à l’international, celle qui doit bel et bien prédominer est tout simplement celle de la sécurité, privée mais aussi publique.

La France, comme de nombreux pays, fait face à une augmentation sans précédent de la sophistication des cyberattaques. Parallèlement, un constat alarmant s'impose : le manque de maturité en la matière d'un grand nombre d'entreprises françaises, offrant un terrain de jeu idéal aux hackers. Les risques que font encourir ces faiblesses sont donc trop élevés pour attendre l’application de la directive NIS 2 en France. Il est plus que temps d’agir.

Un manque de ressources mais aussi de sensibilisation aux risques

Le parc informatique français souffre d'un vieillissement certain. Des systèmes d'exploitation obsolètes, des logiciels non mis à jour et des infrastructures datées constituent un terreau fertile pour les cyberattaques. Ce retard s'explique en partie par un manque criant de ressources. Les budgets alloués à la cybersécurité restent souvent insuffisants, reléguant la sécurité informatique au second plan des priorités des entreprises.

Au-delà des risques directs pour l’activité et la croissance de l’entreprise, les cyberattaques peuvent également impacter l’humain. Dans le contexte industriel par exemple, un incident de ce type sur une machine pourrait, physiquement, mettre en danger son opérateur. Et cela dépasse les frontières de l’entreprise elle-même si l’on prend une attaque contre une ville par exemple, paralysant la signalisation et augmentant donc largement les risques d’accident.

Pourtant, la direction, souvent peu consciente des risques encourus, tarde à mettre en place une véritable culture de la cybersécurité. Conséquence directe : les équipes informatiques se retrouvent débordées, manquant de moyens humains et financiers pour faire face à des menaces de plus en plus complexes.

Quand la sophistication des attaques exploite la faiblesse des infrastructures

Ce manque de maturité cyber offre une surface d'exposition considérable aux hackers. Ces derniers, conscients de ces failles, continuent de se former et n'hésitent en effet pas à déployer des attaques d'une sophistication redoutable, ciblant particulièrement les secteurs critiques mal protégés. Leur objectif ? Paralyser des secteurs clés de l'économie et semer la panique au sein de la population, le tout générant une couverture médiatique certaine.

Imaginons un instant une attaque de grande ampleur ciblant les systèmes de traitement d'eau d'une région française. En exploitant les vulnérabilités de systèmes de contrôle industriels obsolètes, des hackers pourraient perturber la distribution d'eau potable, créant un vent de panique et mettant en danger la santé publique. Un tel scénario, bien que catastrophe, n'est pas à exclure et met en lumière la nécessité d'une prise de conscience collective et d'une action immédiate.

NIS 2 : un électrochoc nécessaire qui ne doit plus attendre

Face à ce constat alarmant, la directive NIS 2 se présente comme un outil essentiel pour améliorer la résilience des entreprises françaises. En imposant des obligations plus strictes en matière de sécurité et de notification des incidents, elle les incite à investir davantage dans leur cybersécurité et à adopter une approche proactive face aux menaces.

Et quand bien même celle-ci est repoussée, la mise en conformité ne doit pas être perçue comme une fin en soi. Elle doit s'accompagner d'une véritable prise de conscience de l'importance de la cybersécurité à tous les niveaux de l'entreprise. La formation des équipes, la sensibilisation des dirigeants et l'investissement dans des solutions performantes sont autant d'éléments indispensables pour faire face à la sophistication croissante des cyberattaques.

La France ne peut plus se permettre de tergiverser. L'heure est venue d'investir massivement dans la cybersécurité et de faire de la protection de nos infrastructures critiques une priorité nationale. Les critères de conformité de la directive NIS 2 accélèrent le pas en ce sens. Sa réussite dépendra de la capacité des entreprises françaises à prendre conscience de l'urgence de la situation et à agir en conséquence dès maintenant.