NIS2, un « dôme de fer » cyber pour nos entreprises

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito : NIS2, un « dôme de fer » cyber pour nos entreprises par Frédéric Simottel

Pour les abonnés payants:

• La Tribune : NIS2 : une transposition essentielle pour notre souveraineté numérique

• Études : Hausse de 75% des cyberattaques dans le monde

• A ne pas manquer sur le web : Un démarrage plus que chaotique !

Le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » a été présenté cette semaine en Conseil des ministres. Il comprend notamment dans sa partie la plus visible, la transposition de la directive européenne de cybersécurité NIS2. Cette directive est en application depuis le 18 octobre et s'applique à 100.000 organisations en Europe, dont 15.000 en France. Elle impose aux grands groupes et aux PME de 18 secteurs de renforcer leurs cyberdéfenses. NIS2 doit aider à imposer un moment de réflexion collective sur l'ambition française en termes de protection numérique et de souveraineté.

NIS2, un « dôme de fer » cyber pour nos entreprises

Combien de craintes n’a-t-on entendu au sujet de cette directive. Certains voulaient se persuader que leur entreprise ne serait pas concernée. D’autres ont voulu jouer les bons élèves et s’engager dans cette démarche comme auprès de n’importe quelle conformité règlementaire. Même si cette dernière approche est louable, il faut concevoir la transposition de cette directive non comme une case à cocher dans la liste des règlementations mais bien comme une absolue nécessité.

Mais clairement aujourd’hui, les cartes sont rebattues. Les enjeux sont colossaux tant pour les entreprises que pour les Etats. Les dégâts se chiffrent en centaines de millions de dollars quand ils ne touchent pas à la sécurité des pays voire des citoyens. La prise de conscience est désormais parfaitement assimilée par nos grands dirigeants. Le dernier forum de Davos positionnait distinguait d’ailleurs toutes les affaires de cyberattaques, de désinformation etc parmi les tous premiers risques auxquels étaient confrontée notre société. Résultat, plus une semaine ne se passe sans que l’on annonce de nouvelles arrestations de cyberpirates ou le démantèlement de réseaux de serveurs criminels.

Un texte fondamental pour notre cyber-résilience

NIS2 constitue une réelle opportunité pour renforcer le pan sécuritaire non seulement de nos entreprises mais du marché tout entier. Qu’on se le dise l’adoption de NIS2 est une aubaine pour la cyber-résilience de nos infrastructures. Il en va même de notre compétitivité et du rayonnement de la France au niveau européen.

Jugez plutôt, chaque année, le coût des cybermenaces augmente de 10% tandis que le nombre de structures touchées croit de 70%. Plus une journée ne se passe sans parler d’une fuite de données, d’un ransomware ou autre incident dans une PME, une ETI, une administration. Si NIS1 concernait les 200 entreprises jugées comme opérateurs vitaaux, NIS2 touche directement entre 10 et 15 000 entités privées et publiques (200 000 en Europe), sans compter les milliers de sous-traitants. Concrètement NIS2 va transformer les pratiques de cybersécurité autour de nouveaux standards et pousser chaque organisation à revoir sa gouvernance et à renforcer toutes ses plateformes de cyberdéfense. NIS2 va pousser chaque entité à devenir responsable de ses propres usages numériques.

Une mobilisation générale autour des acteurs européens

Il va falloir élever le niveau de sensibilisation et revoir la performance de ses équipements cyber. Il faudra également notifier tout incident cyber (comme avec le RGPD). Bien entendu, cela nécessitera des investissements mais cela vous coûtera combien le jour où la menace vous atteindra.

Côté fournisseurs, ce texte ambitieux va aussi nous aider à accompagner un écosystème émergeant d’où éclosent de belles pépites depuis quelques années.

Cette directive nous fait vraiment entrer dans un nouveau monde. Certes depuis 2020, la prise de conscience est réelle chez les dirigeants d’entreprises mais s’ils se sentaient concernés, ils sont restés peu nombreux à s’impliquer. Peu enclins à en faire plus qu’il n’en faudrait, ils n’ont pas plus recruter, former de talents cyber qu’ils n’ont augmenté significativement leur budget cyber. Fini les postures de dilettantes, l’heure est au rattrapage et à la mise à niveau pour atteindre un état de l’art propre à les aider à exister au niveau européen… Car oui rappelons-le, à terme les échanges avec l’international ne se feront que sur cette base de confiance (pour peu que les pays avec qui on va collaborer aient eux-mêmes transposer cette directive ; ce qui est déjà le cas pour plusieurs pays européens). J’entends déjà quelques voix s’élever contre ces nouvelles complexités règlementaires mise ne place par l’Europe. Autant des critiques sur l’IA Act, voir le DMA sont entendables, autant en matière de cyber, face aux pression géopolitiques, face à la pression commerciale et technologique de la Chine, face à notre dépendance vis-à-vis des acteurs américains du numérique, face à la croissance des fraudes et des cyber-attaques, il est temps de préserver l’intégrité de notre tissu industriel et économique. Et pour transposer à la triste actualité, NIS2 devient notre indispensable « dôme de fer ».

Une législation mieux adaptée

La législation s’est elle aussi enfin adapté au contexte cyber actuel. Longtemps, il était compliqué de savoir vers qui se tourner pour porter plainte et intenter une action en justice. Plusieurs pays ont désormais mis en vigueur des lois bien plus strictes pour lutter contre la cybercriminalité. Les frontières s’estompent ; les juges et les policiers internationaux agissent plus facilement sur des affaires transfrontalières.

Reste enfin les compétences. Les grandes administrations ont enfin compris les enjeux et forment et recrutent des techniciens, des data-scientists, des enquêteurs, des juristes ultra-compétents dans le domaine des investigations numériques.

Autant d’arguments qui rendent nos défenses cyber plus efficaces et qui font aujourd’hui de nombreux cyberpirates dorment derrière les barreaux.

...