C’est une menace qui se maintient en France à un niveau élevé, portée par des acteurs malveillants toujours plus performants. 43% des organisations ont été victimes d’au moins une cyberattaque réussie sur un an, selon les données d’une étude Forrester pour l’assureur Hiscox. Ces agressions réussies ont représenté un coût global de 2 milliards d’euros en 2022, d’après le cabinet Asterès. Aucune structure n’est épargnée, grands comptes comme PME, sociétés privées comme entités publiques. Les collectivités locales paient un lourd tribut. Elles ont représenté par exemple 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2022.
La transposition du texte en droit français devra intervenir d’ici au 17 octobre 2024.
Face à ce constat, l’Union européenne cherche aujourd’hui à renforcer la cybersécurité au sein de ses Etats membres, à « harmoniser les pratiques et définir un niveau d’exigence minimal », explique Sylvain Gouillat, directeur des opérations au sein de la société de sécurité informatique AVA6, qui animait un atelier lors du dernier Dell Technologies Forum. Cette volonté s’incarne dans l’adoption, fin 2022, de la directive NIS 2 (Network and information security). Un texte dont la transposition en droit français devra intervenir d’ici au 17 octobre 2024 et dont les dispositions seront introduites progressivement dans l’Hexagone.
Plusieurs milliers d’organisations concernées
Cette directive représente un véritable « changement de paradigme », aux yeux de l’ANSSI. Première évolution par rapport au texte qui encadrait jusqu’alors la cybersécurité en Europe (NIS 1) : elle élargit considérablement le nombre d’entités directement concernées. De fait, la directive devra être appliquée par plusieurs milliers d’entreprises ou d’administrations contre quelques centaines d’entités jusqu’à présent. Plusieurs secteurs ont été ciblés, parmi lesquels l’énergie, les transports, la santé, les services postaux et d’expédition ou encore la gestion des déchets. Toutes les organisations de plus de 50 salariés ou agents de ces domaines d’activités seront concernées.
Par ailleurs, dans certaines situations, la directive devra s’appliquer quelle que soit la taille des entités. Ce sera notamment le cas pour certaines organisations de l’administration publique, en l’occurrence les pouvoirs publics centraux ou les structures au niveau régional fournissant « des services dont la perturbation pourrait avoir un impact important sur les activités sociétales ou économiques critiques ».
Toute organisation constatant un incident de sécurité devra effectuer un signalement auprès de l’ANSSI dans les 24 heures.
Structurer la communication en cas d’attaque
Quelles seront les nouvelles obligations pour ces entités ? La directive NIS 2 leur imposera le respect de différents pratiques en matière cybersécurité avec la mise en place d’un mécanisme de proportionnalité : les mesures à prendre ne seront pas les mêmes selon la taille de l’entreprise et l’impact potentiel d’une attaque. Ces variations seront notamment définies dans les mois qui viennent par l’ANSSI.
Les axes structurants de cette nouvelle stratégie sont, eux, déjà connus. Elle concerne tout d’abord la communication autour d’une attaque. Toute organisation constatant un incident de sécurité devra effectuer un signalement auprès de l’ANSSI dans les 24 heures. Un rapport final devra par la suite être transmis dans un délai d’un mois.
Les sanctions pourront atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Les organisations auront également l’obligation de renforcer leurs dispositifs préventifs. Les procédures d’interventions seront notifiées, des formations pourront être mises en place sur la gestion des risques. Des tests et audits de sécurité devront par ailleurs être menés. Des procédures d’auto-évaluation auront pour objectif d’identifier les leviers d’amélioration internes.
Sécuriser la supply chain
La directive souhaite par ailleurs renforcer les chaînes d’approvisionnement dans leur ensemble. En conséquence, « les entités soumises à NIS 2 devront encadrer contractuellement les aspects cybersécurité avec leurs fournisseurs et prestataires de rang 1 », résume Gérald Sadde, avocat spécialisé en droit du numérique, également intervenant lors du Dell Technologies Forum. Une mesure qui s’appliquera même si ces entités partenaires ne sont pas concernées par NIS 2 au vu de leurs activités.
Les entités ne répondant pas à ces exigences s’exposeront à des amendes. NIS 2 introduit d’ailleurs un « renforcement de son régime de sanction », indique l’ANSSI. Des sanctions qui pourront atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
