Face à NIS 2 et au tsunami réglementaire : les PME, une urgence pour l'économie française

Pierre-Jean Beylier

Les PME forment le cœur de l'économie française mais sont particulièrement exposées aux cyberattaques. Il est urgent d'intégrer des pratiques de cyber-hygiène dans le quotidien des PME.

Les petites et moyennes entreprises (PME) forment le cœur de l'économie française. Avec plus de 4,3 millions de personnes salariées d’après l’INSEE, elles sont le pivot de l'emploi et de l'innovation. Cependant, elles se trouvent aujourd'hui confrontées à un raz-de-marée réglementaire qui pourrait mettre en péril leur développement. Facturation électronique, transposition de la directive NIS 2, CSRD, autant de défis que les dirigeants doivent relever sans disposer de toutes les ressources nécessaires.

Face à l'accélération de la transformation numérique, les PME se trouvent au cœur des enjeux économiques, tout en étant particulièrement exposées aux défis de cette mutation. Les cyberattaques se multiplient, et les PME françaises en sont les premières victimes, avec plus de 75 % des rançongiciels en 2023 ciblant ces entreprises d’après l’ANSSI. Dans ce contexte, une cyberattaque de grande ampleur pourrait déclencher une réaction en chaîne désastreuse pour l'économie nationale.

Malheureusement, la réponse à ces enjeux n'est pas à la hauteur. Les PME ne disposent souvent pas de responsables informatiques internes ou de personnel qualifié pour assurer leur cybersécurité. Les pratiques de cyber-hygiène restent insuffisantes, et face à une attaque, la tentation de payer la rançon est grande : 92 % des dirigeants auraient versé une rançon si attaqués, selon une étude de Cohesity parue l’an passé.

Il est urgent d'intégrer des pratiques de cyber-hygiène dans le quotidien des PME. Bien qu’elle constitue une avancée notable, la véritable valeur de la directive NIS 2 réside dans sa capacité à marquer un tournant dans les usages pour instaurer le bon sens numérique dans les processus d'entreprise. La pérennité de notre économie en dépend, tout comme celle de notre tissu entrepreneurial. Tout comme la sécurité routière, il ne faut pas attendre d’avoir un accident pour mettre sa ceinture en voiture. Tout comme la sécurité incendie, il ne faut pas attendre que le feu se déclare pour installer des extincteurs.

Une approche structurée de la cybersécurité nécessite une évaluation initiale approfondie, notamment à travers un bilan de maturité cyber et une analyse des vulnérabilités selon le principe du Zero Trust. Cette démarche permet d’établir une feuille de route cohérente avec les enjeux spécifiques de l’entreprise. La gestion des risques cyber doit naturellement inclure une pratique assurantielle, comme pour n’importe quel autre risque en entreprise, doublée d’une surveillance continue des risques cyber 

Le processus de transposition de la directive NIS 2 en France a suscité certaines inquiétudes en matière de cybersécurité, faisant de NIS 2 le mythe qu’il n’est pas. Les obligations induites par cette nouvelle réglementation ne sont toutefois pas insurmontables. Une approche graduelle, fondée sur la sensibilisation des équipes, des cyber-entraînements et des formations, avant d’enclencher des actions concrètes, permet d’intégrer ces exigences de manière pragmatique.

L’État doit agir avec ce même pragmatisme. L'enjeu principal réside moins dans l’ajout de contraintes réglementaires que dans le renforcement de la compétitivité et de la pérennité des entreprises françaises. Acculturer les dirigeants et leurs employés s’inscrit dans une démarche collective, nécessitant la mobilisation coordonnée des acteurs publics et privés.

L'État, via l'ANSSI et les initiatives comme France Num, doit collaborer avec le secteur privé pour offrir un soutien de proximité aux PME. Les craintes autour de NIS 2 doivent être dissipées par une montée en compétence progressive afin de faire face à la cybercriminalité.

Enfin, il est impératif de réfléchir à notre souveraineté numérique. Le développement d'entreprises françaises est essentiel pour créer un réseau de proximité auquel les dirigeants de PME pourront faire confiance. La survie économique de notre pays en dépend.