Directive NIS2 : êtes-vous prêt ?

27 Nov 2024

Directive NIS2 : quelles implications pour les entreprises françaises ?

Lors de la première édition de Lyon Cyber Expo, nous avons le plaisir d’accueillir un panel d’experts composé de Mathieu Delaplace, Délégué à la sécurité numérique pour la région Auvergne-Rhône-Alpes – ANSSI, Ahoefa Agbessi-Awussi, Information Security Compliance Manager – Cegid, Alexandre Sahut – Responsable service Delivery Cybersécurité – Visiativ et Antoine Camus, Directeur Pôle Cybersécurité – Minalogic. Ils ont abordé le nouveau cadre réglementaire européen NIS2 pour comprendre les clés pour s’y conformer, les défis à relever et les opportunités à saisir.

NIS2 : un cadre élargi pour une cybersécurité renforcée

La directive NIS2 (Network and Information Security), succédant à NIS1, marque une étape clé dans la sécurisation numérique des entreprises en Europe. Avec un périmètre élargi, elle concerne désormais 18 secteurs d’activité et s’applique aux entreprises de taille intermédiaire (plus de 50 employés ou 10 millions d’euros de chiffre d’affaires).

« NIS2 élargit le nombre d’entités concernées, passant de 500 opérateurs critiques sous NIS1 à 15 000 entreprises en France. Cette réglementation impose des mesures minimales de cybersécurité pour protéger l’ensemble de l’écosystème économique. »

Mathieu de Laplace, délégué régional de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Défis ET opportunités pour les PME

Pour les entreprises, NIS2 est à la fois un défi réglementaire et une opportunité stratégique. Selon Fleur Agbessi, responsable conformité chez Cégid, « C’est une opportunité d’améliorer notre sécurité, mais aussi un défi, car il faut anticiper la transposition de la directive et se préparer dès maintenant. » Alexandre, de Visiativ, complète : « Si les grandes entreprises sont déjà sensibilisées, le défi sera pour les PME, souvent éloignées de ces problématiques. La clé, c’est de commencer par des actions simples et pragmatiques. »

Les outils et ressources pour se préparer à NIS2

L’ANSSI met à disposition des entreprises des outils pratiques pour les accompagner :

  • Portail MonEspace-NIS2 : Permet de tester son assujettissement et de suivre les évolutions réglementaires.
  • Prestataires qualifiés : L’ANSSI labellise des acteurs spécialisés en audit, conseil et réponse à incident pour aider les entreprises à se mettre en conformité.

« La directive met en avant des mesures d’hygiène numérique que nous recommandons depuis des années, comme l’analyse de risques ou la gestion des incidents. »

Mathieu de Laplace, délégué régional de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

Normes ISO et NIS2 : des synergies évidentes

Cégid, certifiée ISO 27001 depuis sept ans, est un exemple d’anticipation. Fleur Agbessi explique : « La norme ISO 27001 est un excellent socle pour NIS2. Elle couvre des exigences comme la gestion des actifs, la continuité d’activité et la gestion des risques. Cependant, NIS2 va plus loin sur des aspects comme l’authentification ou la gestion de crise. » Chez Visiativ, certifié ISO 27001 également, l’accompagnement des filiales et des clients est central. Alexandre souligne : « La certification ISO n’est pas un aboutissement, mais un cheminement. Elle nous permet d’accompagner nos clients, souvent des PME industrielles, dans leur montée en maturité. »

Les PME : premières concernées, premières à agir

Les petites et moyennes entreprises, bien que souvent éloignées des exigences réglementaires, doivent se mobiliser. Alexandre observe : « Le niveau de maturité varie selon les écosystèmes. Les sous-traitants d’Airbus, par exemple, sont déjà très avancés. D’autres ETI, pourtant de grande taille, restent encore peu sensibilisées. »

Facteurs clés de succès pour les PME

  1. Sponsoring de la direction : Identifier un responsable cybersécurité et intégrer la gouvernance.
  2. Accompagnement externe : Faire appel à des prestataires pour évaluer sa maturité et définir des priorités.
  3. Actions progressives : Démarrer avec des mesures simples, comme l’analyse de risques ou la sensibilisation des collaborateurs.

Former et sensibiliser : une priorité stratégique

Avec 80 % des cyberattaques dues à des erreurs humaines, la formation est essentielle. Chez Cegid, des campagnes de sensibilisation et des tests de phishing réguliers sont organisés. Fleur Agbessi détaille : « Nous avons intégré une fonctionnalité dans Outlook pour signaler les tentatives de phishing. Un prestataire externe analyse ensuite les menaces et agit rapidement. »

Une gouvernance collective pour réussir

Mathieu de Laplace rappelle l’importance d’un accompagnement externe : « Il est difficile pour une entreprise de s’évaluer seule. Un regard extérieur, capable de comparer la maturité avec l’écosystème, est essentiel. » En effet, NIS2 ne se limite pas à des obligations techniques. C’est une démarche collective impliquant dirigeants, collaborateurs, fournisseurs et clients.

La directive NIS2 est un levier stratégique pour renforcer la cybersécurité des entreprises en Europe. Elle s’adresse à toutes les organisations, grandes et petites, pour repenser leurs processus et se protéger efficacement contre les cybermenaces.

 

 

Lyon Cyber Expo, le 19 septembre 2024, Salle Fourvière

Directive européenne NIS2 : êtes-vous prêt ? La directive NIS2 (Network and Information Security) est entrée en vigueur début 2023 et, d’ici octobre 2024, tous les États membres de l’Union européenne devront l’appliquer dans le cadre de leur législation nationale. Elle élargit considérablement le champ d’application de la directive NIS de 2016, s’adressant à un éventail beaucoup plus large d’industries (18 secteurs d’activités, 10 000 entités concernées en France, contre 300 auparavant), pour étendre et renforcer les exigences en matière de cybersécurité dans l’UE. Cela inclut la maîtrise des risques liés au tiers, la rationalisation des obligations de signalement et l’introduction d’exigences strictes en matière de mise en application. En d’autres termes, la directive NIS 2 impose à un grand nombre d’organisations de mettre en place un cadre complet de gestion des risques. En cas de non-conformité, le régulateur pourra alors imposer des sanctions administratives sévères et des mesures correctives. Pour s’y conformer les équipes devront mettre en place des flux de travaux et des technologies solides, rigoureux et auditables. Découvrez sur cette table ronde un aperçu clair des étapes à suivre pour aider les entreprises à se conformer efficacement à la directive NIS2.

Image par Tung Nguyen de Pixabay

 

MERCI À NOS PARTENAIRES 2024 !

GOLD SPONSOR

SILVER SPONSOR

BRONZE SPONSORS

AVEC LE SOUTIEN DE

MERCI À NOS PARTENAIRES 2024 !

GOLD SPONSOR

SILVER SPONSOR

BRONZE SPONSORS

AVEC LE SOUTIEN DE