En 2023, 53 % des entreprises ont subi au moins une cyberattaque, contre 48 % l’année précédente. Beaucoup d’entre elles ont en déclaré deux ou plus (données du gouvernement). Au-delà des pertes financières immédiates, les attaques ciblant les entités critiques peuvent avoir des conséquences majeures sur la vie quotidienne des citoyens, sur l’économie et sur la sécurité nationale. Pour cette raison, les entités essentielles et importantes (telles que définies par la directive européenne NIS2) sont sujettes à des obligations plus strictes en matière de cybersécurité – et les PME/ETI n’y échappent pas. Explications.
Que dit la directive NIS2 ?
Entrée en vigueur en janvier 2023, la directive NIS2 (Network and Information Security) marque un tournant dans la gouvernance de la cybersécurité à l’échelle européenne. Cette nouvelle version élargit les objectifs et le périmètre d’application de la directive NIS1 (mise en œuvre en 2016) en obligeant les entreprises à renforcer leur protection contre des actes malveillants toujours plus sophistiqués.
Qui est concerné ? Uniquement les organisations opérant dans 18 secteurs d’activité critiques : les entités dites « essentielles » et « importantes » au sens de la directive (plus de détails sur MonEspaceNIS2).
Cette consolidation législative a notamment pour but de sensibiliser les PME et les ETI, aujourd’hui particulièrement vulnérables face à la menace cyber. Car les pirates informatiques n’hésitent plus à les cibler, pour une raison simple : ces structures sont moins bien préparées et équipées que les grands groupes pour se défendre contre ce type de sinistre. En 2022, elles représentaient 40 % des attaques par rançongiciel traitées ou rapportées à l’ANSSI (chiffres Francenum).
Ainsi, en dépit (ou en raison) de leur petite taille, les PME/ETI se trouvent aujourd’hui en première ligne dans cette guerre virtuelle qui oppose les cyber-pirates aux organisations privées.
Quelles obligations sont imposées aux entreprises ?
À la suite de NIS1, la directive NIS2 impose donc aux entreprises ciblées des contraintes en matière de cybersécurité, sous peine de sanctions. En voici les principaux axes :
- Le changement de paradigme: il ne suffit plus de « faire de la cybersécurité », mais d’identifier les risques qui pèsent sur l’activité. La directive NIS2 met en effet l’accent sur la couverture des risques métier, tout en tenant compte de l’impossibilité de les couvrir dans leur intégralité : l’essentiel est de repérer les dangers majeurs et de s’en prémunir.
- La responsabilité des fonctions de directions dans la mise en conformité, y compris dans les structures de taille modeste. La nomination d’un responsable cybersécurité devient une nécessité.
- L’obligation de déclarer les incidents à l’ANSSI sous 24 heures, ou le cas échéant à la CNIL dans les 72 heures.
- L’adoption d’une approche basée sur les risques, qui passe par leur évaluation (en fonction de la nature et de la criticité de l’activité), par leur traitement et par leur documentation. Cela suppose de former les équipes en interne.
- La sécurité des fournisseurs de services qui doivent eux aussi être en conformité avec la réglementation. En pratique, la directive contraint l’entreprise à s’assurer du respect des exigences par l’ensemble de la chaîne de sous-traitance.
Quels risques en cas de non-conformité ?
La nouveauté de la directive NIS2 réside dans sa dimension obligatoire : elle signe la fin de la sensibilisation « optionnelle ». Les entreprises concernées sont sommées de passer à l’action et d’appliquer des exigences plus strictes et plus précises.
Le fait d’ignorer ces nouvelles obligations vous expose à des sanctions : les amendes prévues sont proportionnelles à la gravité des manquements et peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
Mais ce n’est que la partie émergée de l’iceberg. Car le vrai danger concerne à la pérennité de l’activité. Une entreprise mal préparée risque de voir son activité suspendue pour un temps plus ou moins long, de perdre les données personnelles de ses utilisateurs, de restreindre sa capacité de fonctionnement, et de voir sa réputation s’effilocher.
Quelles sont les bonnes pratiques à adopter pour améliorer la résilience ?
La directive NIS2 incite ainsi les entités à améliorer leur résilience dans un contexte d’augmentation du niveau de risque. La question se pose : comment renforcer cette résilience ? Nous vous proposons quelques bonnes pratiques à adopter.
- Cartographier les risques majeurs et les dépendances critiques, en faisant la distinction entre les dangers qui menacent directement la continuité de votre activité et ceux qui ont trait à vos offres (produits ou services). Un classement des risques constitue un premier pas vers l’établissement d’un plan d’action approprié.
- Mettre en place une batterie de mesures pour se prémunir contre les attaques et relancer l’activité en cas d’incident. Cela revient à poser sur le papier les principes, les cadres et les différentes responsabilités – qui s’occupe de quoi, quand et comment.
- Sécuriser la chaîne d’approvisionnement numérique en veillant à la conformité de vos partenaires et en intégrant à vos contrats des clauses de sécurité. En matière de solutions digitales, privilégiez les solutions souveraines en optant pour des prestataires européens, de manière à réduire votre dépendance vis-à-vis des acteurs hors UE.
- Renforcer (et tester avec régularité) vos plans de continuité et de reprise de l’activité: leur efficacité ne peut être démontrée qu’au prix de nombreux tests.
- Sensibiliser les équipes et organiser des formations pour les préparer aux risques.
La leçon portée par la directive NIS2 est simple : la cybersécurité n’est plus une option, ni une contrainte bureaucratique, mais une assurance de survie. L’adage « mieux vaut prévenir que guérir » n’a jamais été aussi pertinent qu’en ces temps d’incertitude géopolitique et d’augmentation du risque virtuel : il est donc essentiel de bien préparer votre entreprise à ces nouveaux dangers, condition sine qua non pour renforcer sa résilience.
