En réponse à la montée des cybermenaces, la directive NIS 2 étend ses exigences à 18 secteurs, incluant désormais l’industrie. Transposée en droit français dans les prochains mois, elle impose des obligations accrues en matière de sécurité et de rapport d’incidents, visant une meilleure protection des infrastructures critiques et un renforcement de la résilience collective.
Entre juin 2022 et juillet 2023, 19 % des événements cyber recensés concernait le secteur de l’administration publique, 8 % celui de la santé (rapport ENISA 2023).
Si la directive européenne Network and Information System Security (NIS) adoptée en 2016 qui s’adresse aux Opérateurs de service essentiel (OSE) avait pour vocation d’élever la maturité cyber et de préserver les intérêts économiques et sociaux des Etats membres de l’UE, la directive NIS 2 qui sera transposée en droit français d’ici septembre 2024 va un cran plus loin.
Son ambition ? Elargir le champ d’actions à un plus grand nombre de secteurs, dont l’industrie qui est devenue une cible privilégiée pour les cyberattaques.
NIS 2 s’imposera-t-elle comme le rempart collectif qui fera reculer la menace cyber ? Explications.
De l’importance d’une culture de la cybersécurité
Depuis 2018, un effort pour armer les entreprises face à la menace cyber a été déployé avec la transposition au droit français de la directive NIS. Ce cadre législatif a pour but d’augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité stratégiques et donc de les rendre matures face à la montée des menaces. L’ANSSI a officiellement recensé 122 opérateurs de services essentiels (OSE). Bien que les noms de ces opérateurs soient tenus secrets, il s’agit d’acteurs évoluant dans des secteurs qui sont des cibles privilégiées des menaces, en particulier les systèmes industriels, tels que ceux utilisés dans les secteurs de l’énergie, des transports et de la fabrication, étant pour la plupart vieillissants.
Si l’industrie 4.0 s’appuie sur l’intégration de nouvelles technologies comme l’IA, le cloud, le big data ou encore l’IoT, ces interconnexions entre systèmes industriels et systèmes informatiques créent un terrain propice aux cyberattaques. Des systèmes vulnérables donc, prélude à des pertes financières importantes voire des dommages sur leur image, la santé et la sécurité publique.
En creux, il apparait également une volonté de mise en place d’une culture de la sécurité. Outre la mise en œuvre de mesures de sécurité pour réduire l’expositions des systèmes les plus critiques aux risques cyber, les OSE et fournisseurs de services numériques (FSN) sont soumis à l’obligation de déclarer leurs incidents de sécurité à l’ANNSI. Il faut saluer cette évolution qui constitue les prémices d’une action collective et de la mise à égalité des acteurs de différentes typologies de structures… même encore insuffisante.
NIS2 : s’adapter à la réalité des menaces éparses
Il existe encore un degré de maturité et de sécurité trop variable d’une entité à une autre. L’ANSSI note dans son panorama 2022 de la cybermenace que les principales victimes françaises d’attaques par rançongiciels demeurent les TPE, PME et ETI avant même les établissements publics de santé. Il serait naïf de penser que les OSE travaillent en vase clos, sans prestataire ou intermédiaire qui constituent, eux aussi, une porte d’entrée pour la menace. Les entreprises de toutes tailles et de tous secteurs sont concernées. Elles sont à la fois des portes d’entrée et des victimes des attaques.
En cela la transposition de la directive NIS 2 en droit français prévue pour septembre 2024 est salvatrice. La principale disposition amenée par cette directive qui prévoit un élargissement du périmètre des entités soumises répond directement à l’élargissement du risque cyber. NIS 2 élargit son périmètre à 18 secteurs et prévoit que toute « entité publique ou privée, qui fournit ses services ou exerce son activité au sein de l’Union européenne et qui exerce son activité dans l’un des secteurs visés par la directive » sera concernée.
Pour les entreprises industrielles en particulier, la mise en œuvre de NIS 2 représente à la fois un défi pour répondre aux nouvelles exigences mais aussi une opportunité unique d’améliorer considérablement leur cybersécurité. A la clé : une meilleure protection de leurs actifs critiques et une plus grande confiance de leurs clients et partenaires.
Si NIS 1 imposait déjà aux entreprises concernées de signaler leurs incidents de sécurité à l’ANSSI, NIS 2 prévoit une approche en deux étapes : un signalement sous 24 heures auprès de l’ANSSI auquel s’ajoute un rapport final de l’incident sous 1 mois. La nouvelle directive prévoit également une série de dispositions imposant aux entreprises de former les collaborateurs notamment les décideurs et de procéder à des tests et vérifications incluant leurs fournisseurs et prestataires de services.
La prévention c’est aussi la collaboration
La directive NIS2 s’appuie donc sur les notions d’anticipation, de renseignement, de sensibilisation et de préparation. Si l’élargissement du périmètre d’actions et des obligations pour les entreprises concernées est une avancée majeure pour s’adapter à la réalité de la menace cyber, la communication entre acteurs doit être son corollaire. Une mise en œuvre efficace de NIS 2 dans le secteur industriel implique une approche collaborative et multipartite. En encourageant la coopération entre les gouvernements, les entreprises industrielles, les fournisseurs de technologies et les organismes de recherche, le secteur industriel peut créer un front uni contre les cybermenaces et protéger les infrastructures critiques qui sont essentielles à la sécurité et à la croissance.
C’est d’ailleurs l’objectif de la création du réseau CyCLOne, qui regroupe les autorités nationales chargées de la gestion des crises cyber. Cette entité permet un cercle vertueux de coopération : les entreprises remontent les informations à l’ANSSI qui elle-même en fait état à ses homologues européens. Mais au regard du contexte géopolitique qui est un terreau favorable aux menaces, il devient primordial que les états européens accentuent les échanges qui ne doivent pas se limiter aux agences spécialisées. Ensuite, les entreprises, qui au gré de leurs activités deviennent bien souvent des partenaires, doivent pouvoir être en mesure de collaborer. Les entreprises du CAC40 et les PME, TPE ou ETI qui sont souvent des sous-traitants doivent pouvoir établir un cadre d’échange sur les menaces et attaques auxquelles elles font face.
Il est primordial que la collaboration ne soit pas la cinquième roue du carrosse du quadriptyque « anticipation, renseignement, sensibilisation et préparation ». Sans elle, entreprises, institutions et Etats ne seront plus protégés par l’immunité collective et s’exposent aux symptômes qu’ils soient financiers ou cybers.
____________________________
Par Mohamed Beghdadi, directeur de la cybersécurité chez AntemetA