Directive NIS2 : êtes-vous prêt ?
Directive NIS2 : quelles implications pour les entreprises françaises ?
Lors de la première édition de Lyon Cyber Expo, nous avons le plaisir d’accueillir un panel d’experts composé de Mathieu Delaplace, Délégué à la sécurité numérique pour la région Auvergne-Rhône-Alpes – ANSSI, Ahoefa Agbessi-Awussi, Information Security Compliance Manager – Cegid, Alexandre Sahut – Responsable service Delivery Cybersécurité – Visiativ et Antoine Camus, Directeur Pôle Cybersécurité – Minalogic. Ils ont abordé le nouveau cadre réglementaire européen NIS2 pour comprendre les clés pour s’y conformer, les défis à relever et les opportunités à saisir.
NIS2 : un cadre élargi pour une cybersécurité renforcée
La directive NIS2 (Network and Information Security), succédant à NIS1, marque une étape clé dans la sécurisation numérique des entreprises en Europe. Avec un périmètre élargi, elle concerne désormais 18 secteurs d’activité et s’applique aux entreprises de taille intermédiaire (plus de 50 employés ou 10 millions d’euros de chiffre d’affaires).
« NIS2 élargit le nombre d’entités concernées, passant de 500 opérateurs critiques sous NIS1 à 15 000 entreprises en France. Cette réglementation impose des mesures minimales de cybersécurité pour protéger l’ensemble de l’écosystème économique. »
Mathieu de Laplace, délégué régional de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Défis ET opportunités pour les PME
Pour les entreprises, NIS2 est à la fois un défi réglementaire et une opportunité stratégique. Selon Fleur Agbessi, responsable conformité chez Cégid, « C’est une opportunité d’améliorer notre sécurité, mais aussi un défi, car il faut anticiper la transposition de la directive et se préparer dès maintenant. » Alexandre, de Visiativ, complète : « Si les grandes entreprises sont déjà sensibilisées, le défi sera pour les PME, souvent éloignées de ces problématiques. La clé, c’est de commencer par des actions simples et pragmatiques. »
Les outils et ressources pour se préparer à NIS2
L’ANSSI met à disposition des entreprises des outils pratiques pour les accompagner :
- Portail MonEspace-NIS2 : Permet de tester son assujettissement et de suivre les évolutions réglementaires.
- Prestataires qualifiés : L’ANSSI labellise des acteurs spécialisés en audit, conseil et réponse à incident pour aider les entreprises à se mettre en conformité.
« La directive met en avant des mesures d’hygiène numérique que nous recommandons depuis des années, comme l’analyse de risques ou la gestion des incidents. »
Mathieu de Laplace, délégué régional de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Normes ISO et NIS2 : des synergies évidentes
Cégid, certifiée ISO 27001 depuis sept ans, est un exemple d’anticipation. Fleur Agbessi explique : « La norme ISO 27001 est un excellent socle pour NIS2. Elle couvre des exigences comme la gestion des actifs, la continuité d’activité et la gestion des risques. Cependant, NIS2 va plus loin sur des aspects comme l’authentification ou la gestion de crise. » Chez Visiativ, certifié ISO 27001 également, l’accompagnement des filiales et des clients est central. Alexandre souligne : « La certification ISO n’est pas un aboutissement, mais un cheminement. Elle nous permet d’accompagner nos clients, souvent des PME industrielles, dans leur montée en maturité. »
Les PME : premières concernées, premières à agir
Les petites et moyennes entreprises, bien que souvent éloignées des exigences réglementaires, doivent se mobiliser. Alexandre observe : « Le niveau de maturité varie selon les écosystèmes. Les sous-traitants d’Airbus, par exemple, sont déjà très avancés. D’autres ETI, pourtant de grande taille, restent encore peu sensibilisées. »
Facteurs clés de succès pour les PME
- Sponsoring de la direction : Identifier un responsable cybersécurité et intégrer la gouvernance.
- Accompagnement externe : Faire appel à des prestataires pour évaluer sa maturité et définir des priorités.
- Actions progressives : Démarrer avec des mesures simples, comme l’analyse de risques ou la sensibilisation des collaborateurs.
Former et sensibiliser : une priorité stratégique
Avec 80 % des cyberattaques dues à des erreurs humaines, la formation est essentielle. Chez Cegid, des campagnes de sensibilisation et des tests de phishing réguliers sont organisés. Fleur Agbessi détaille : « Nous avons intégré une fonctionnalité dans Outlook pour signaler les tentatives de phishing. Un prestataire externe analyse ensuite les menaces et agit rapidement. »
Une gouvernance collective pour réussir
Mathieu de Laplace rappelle l’importance d’un accompagnement externe : « Il est difficile pour une entreprise de s’évaluer seule. Un regard extérieur, capable de comparer la maturité avec l’écosystème, est essentiel. » En effet, NIS2 ne se limite pas à des obligations techniques. C’est une démarche collective impliquant dirigeants, collaborateurs, fournisseurs et clients.
La directive NIS2 est un levier stratégique pour renforcer la cybersécurité des entreprises en Europe. Elle s’adresse à toutes les organisations, grandes et petites, pour repenser leurs processus et se protéger efficacement contre les cybermenaces.
Lyon Cyber Expo, le 19 septembre 2024, Salle Fourvière
Image par Tung Nguyen de Pixabay