Directive NIS2 : Tout savoir sur les obligations et l’accompagnement vers la conformité
Dans un contexte de cybermenaces en constante évolution, la directive européenne NIS2 renforce les exigences en matière de cybersécurité pour les entreprises. Cet article explore les enjeux critiques liés aux cyberattaques, les nouvelles obligations introduites par la directive NIS2, ainsi que les étapes nécessaires pour se conformer à cette directive.
Numérique
Auteur
Paloma DAUDRUY
À propos
Chargée de marketing chez Adventiel, j'ai pour mission de vous faciliter la compréhension du rôle du numérique pour les filières agricoles et agro-alimentaire !
Les enjeux de la cybersécurité
Les cyberattaques constituent aujourd’hui une menace omniprésente pour les entreprises et autres organisations.
Pouvant entrainer des conséquences potentiellement dévastatrices, les cyberattaques peuvent affecter les activités sur différents plans :
Les finances : interruptions de business entrainant des pertes directes et coûts de récupération.
La réputation : diminution de la confiance des clients et partenaires.
Les opérations : interruption d’activités et dommages matériels.
Quelques chiffres clés
49 % des entreprises françaises ont été victimes d’au moins une cyberattaque réussie en 2023.
Le phishing est responsable de 60 % des incidents, suivi par l’exploitation de failles de sécurité à 43 %.
Ces chiffres soulignent l’urgence de renforcer les mesures de protection pour éviter des interruptions majeures d’activité ou des pertes de données critiques.
Face à ces menaces, l’Union européenne a élaboré une réponse ambitieuse : la directive NIS2.
Qu’est-ce que la directive NIS2 ?
La directive NIS (Network and Information Security) a été rédigée dans l’optique de renforcer la cybersécurité à l’échelle européenne, en mettant en place des mesures qui garantissent un niveau de sécurité adapté et proportionné au risque encouru.
NIS1 : une coopération à l’échelle européenne
La directive NIS 1 a été la première directive européenne de cybersécurité. Adoptée en juillet 2016, son but est d’assurer un niveau de cybersécurité élevé des acteurs stratégiques de l’UE et de renforcer les capacités de coopération des États membres sur ce sujet.
La directive se déclinait ainsi en trois volets :
Obligation pour les États membres de définir une stratégie nationale
Obligation pour les États membres de désigner une autorité nationale compétente
Mise en place du Groupe de Coopération (CG) et création du CERT
Face aux évolutions rapides de la cybermenace, le NIS1 a rapidement atteint ses limites, ce qui a poussé l’Europe à passer à la vitesse supérieure avec la directive NIS2.
NIS2 : un cadre réglementaire renforcé
La directive NIS2 impose un cadre réglementaire renforcé pour la cybersécurité des organisations par rapport à NIS1.
Cette évolution vise à garantir un niveau élevé de sécurité dans les systèmes critiques et responsabiliser les entreprises face aux cybermenaces.
Publiée en novembre 2022, elle s’applique à des milliers de structures en Europe.
Composée de 46 articles de loi, la directive NIS2 pose un cadre légal complet, sur la même forme que le RGPD.
Les points clés de NIS2
Article 21 : mesures techniques et organisationnelles pour gérer les risques cyber (sécurité des SI, continuité d’activité, chaîne d’approvisionnement).
Article 20 : responsabilisation des dirigeants en cas de non-conformité.
Article 23 : signalement obligatoire des incidents sous 24 heures, suivi d’un rapport détaillé sous un mois.
Qui est concerné par la directive NIS2 ?
La directive NIS2 élargit le périmètre de la NIS1 en ajoutant 11 secteurs supplémentaires, portant leur nombre à 18.
Les secteurs d’activité concernés sont ainsi répartis en deux annexes, en fonction de leur degré de criticité.
La directive classe ensuite les entreprises appartenant à ces secteurs en fonction de leur taille et de leur activité pour ainsi définir :
Des entités essentielles
Des entités importantes
Découvrez si vous êtes concernés sur le site de l’ANSSI !
La mise en conformité
Les attendus de NIS2
Afin de répondre à la directive, l’ANSSI a mis en place une liste de dix mesures à respecter, que l’on peut regrouper en quatre leviers :
Gouvernance : intégrer la cybersécurité au plus haut niveau décisionnel.
Protection des SI : mettre en place des outils et processus adaptés.
Défense : réagir rapidement aux incidents grâce à des plans documentés.
Résilience : prévoir la continuité des activités et la communication en cas de crise.
La mise en place de ces mesures de sécurité peut permettre aux entreprises de définir des politiques relatives à la sécurité des SI et à l’analyse des risques. Ainsi, les dix mesures définies sont les suivantes :
Définir les politiques relatives à la sécurité des SI et à l’analyse des risques
Prévoir la gestion des incidents
Assurer la continuité des activités (sauvegardes, PRA, gestion des crises)
Maitriser la sécurité de la chaîne d’approvisionnement (fournisseurs/prestataires)
Garantir la sécurité de l’acquisition, du développement et de la maintenance des SI
Evaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité
Suivre les bonnes pratiques de base (l’hygiène cyber et la formation à la cybersécurité)
Définir des politiques et des procédures relatives à l’utilisation de la cryptographie
Sécuriser les ressources humaines, les accès et les actifs
Mettre en œuvre des solutions d’authentification fortes (MFA, …), des solutions de communications vocales, vidéo ou textuelles sécurisées
Les délais à respecter pour NIS2
Les entreprises ont un délai de 3 ans pour se conformer, avec un début initialement prévu en octobre 2024.
A ce jour, la transposition nationale de la directive a pris du retard, mais les mesures à appliquer étant connues, il est d’ores et déjà possible de débuter sa mise en conformité.
La plateforme « Mon Espace NIS2 » de l’ANSSI sera disponible prochainement pour faciliter les déclarations.
Les sanctions en cas de non-respect de la directive NIS2
Comme toute directive, des sanctions sont prévues en cas de non-respect. Ces dernières sont définies en fonction de la catégorie de l’entreprise concernée : entité essentielle ou entité importante (se référer au tableau présenté ci-dessus).
Ainsi, les non-conformités à la directive NIS2 sont passibles de sanctions financières :
Entités essentielles : jusqu’à 10 M€ ou 2 % du CA annuel mondial.
Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA annuel mondial.
L’accompagnement Adventiel
La directive NIS2 impose aux entreprises de prendre des mesures concrètes pour sécuriser leurs systèmes et chaînes d’approvisionnement.
La mise en conformité peut sembler complexe. C’est pourquoi Adventiel propose un accompagnement sur mesure structuré en quatre étapes clés :
État des lieux : audit des infrastructures et procédures existantes.
Évaluation des risques : identification et priorisation des menaces.
Traitement des risques : mise en œuvre de plans d’action.
Suivi et amélioration continue : surveillance des évolutions et ajustements réguliers.
Grâce à une méthodologie adaptée, Adventiel aide les PME et ETI à répondre efficacement aux exigences de la directive NIS2 tout en renforçant leur résilience face aux cybermenaces.
Pourquoi la cybersécurité est-elle devenue si importante aujourd’hui ?
Avec la multiplication des objets connectés et la digitalisation des services, les systèmes informatiques sont plus exposés que jamais. La cybercriminalité explose : piratage, vol de données, intrusion, ransomware, autant de menaces à la sécurité des systèmes d’information. La protection informatique est donc cruciale pour limiter les risques de piratage et protéger les données sensibles.
Quelles sont les principales menaces pour la sécurité informatique ?
Les menaces incluent les malwares, ransomwares, hameçonnage, intrusions informatiques, déni de service, ou encore l’espionnage informatique. Ces attaques sophistiquées visent à voler des données, bloquer un système d’information ou demander une rançon. La lutte contre la cybercriminalité nécessite une cyberdéfense proactive.
Comment les hackers pénètrent-ils dans un système informatique ?
Les pirates informatiques exploitent des vulnérabilités logicielles ou humaines, comme des mots de passe faibles, des emails piégés ou des pièces jointes malveillantes. Ils utilisent des techniques de piratage variées pour contourner les pare-feu et infiltrer les systèmes d’information, parfois sans être détectés immédiatement.
Quels sont les signes d’une attaque informatique en cours ?
Des ralentissements, des messages de rançon, des accès inhabituels aux réseaux informatiques, ou des fichiers chiffrés peuvent signaler une cyber attaque. Il est alors crucial de faire appel à des experts en sécurité informatique pour détecter l’intrusion, évaluer l’ampleur des attaques, et contenir la menace.
Qu’est-ce qu’un ransomware et comment s’en protéger ?
Un ransomware est un logiciel malveillant qui chiffre les données et exige une rançon pour les libérer. Il se propage souvent par email ou site compromis. Pour s’en prémunir, il faut un bon antivirus, des sauvegardes régulières, et une politique de sécurité informatique rigoureuse.
Comment protéger son entreprise contre le piratage informatique ?
Pour protéger l’entreprise contre le piratage, il est essentiel de mettre en place des solutions de sécurité informatique, effectuer des audits de sécurité, sensibiliser les collaborateurs à l’hygiène informatique, et surveiller les systèmes informatiques pour repérer les attaques potentielles.
Que faire si l’on est victime d’un piratage informatique ?
Il faut immédiatement déconnecter le système, alerter la société de sécurité informatique, analyser la faille de sécurité, et prévenir les autorités compétentes. Ne jamais payer la rançon sans conseil juridique. La sécurisation des systèmes après l’attaque est une priorité pour éviter de subir une attaque à nouveau.
Les objets connectés sont-ils des cibles faciles pour les hackers ?
Oui, les objets connectés mal sécurisés sont des portes d’entrée idéales pour les pirates. Failles dans les firmwares, absence de mots de passe robustes, ou mises à jour absentes rendent ces équipements très vulnérables à une cyberattaque contre un réseau informatique.
Comment les entreprises peuvent-elles anticiper les cyberattaques ?
Grâce à des tests d’intrusion, des simulations d’attaques, et une veille cybersécurité, les entreprises peuvent identifier les types de menaces qui pèsent sur leurs systèmes d’information. Une politique de sécurité informatique claire permet de mieux prévenir les attaques et de protéger la sécurité de leurs données.
Les antivirus suffisent-ils à assurer la sécurité des systèmes ?
Un antivirus est essentiel, mais il ne suffit pas. Face aux attaques sophistiquées et aux logiciels malveillants récents, il faut une solution de sécurité informatique complète incluant pare-feu, filtrage des emails, chiffrement, et une cyber assurance pour couvrir les risques numériques.
Quels types d’attaques informatiques visent le plus les entreprises ?
Les plus fréquentes sont le hameçonnage, les ransomwares, les attaques par déni de service, et les intrusions dans les réseaux informatiques. Ces types d’attaques visent à voler des données, saboter les services ou perturber les systèmes d’information.
Quels sont les risques liés aux failles de sécurité dans les logiciels ?
Les failles informatiques permettent aux cybercriminels d’exécuter des logiciels malveillants, de voler des informations personnelles, ou de prendre le contrôle du système informatique. Une mise à jour régulière est indispensable pour corriger ces vulnérabilités et limiter les risques d’attaques.
Quelle est la différence entre une menace interne et une attaque externe ?
Une menace interne vient de personnes autorisées (employés, prestataires) qui, volontairement ou non, compromettent la sécurité de l’information. Les attaques externes proviennent de cybercriminels ou groupes de hackers. Les deux nécessitent des mesures de sécurisation informatique adaptées.
Pourquoi faire appel à une société de sécurité informatique ?
Les experts en sécurité informatique détectent les failles potentielles, assurent la sécurisation des systèmes, et conseillent sur les moyens de sécurisation adaptés. En cas de cyberattaque, leur expertise est indispensable pour limiter les dégâts, protéger les données, et restaurer les systèmes informatiques.
Le numérique est un levier puissant pour l’agriculture, mais son impact environnemental ne doit pas être négligé. La frugalité numérique offre une approche pragmatique : optimiser la collecte et l’usage des données, privilégier des technologies économes en énergie et concevoir des outils numériques plus durables. Moins de ressources, plus d’efficacité : et si l’avenir du numérique agricole passait par la frugalité ? Read More
Votre outil numérique montre des signes de faiblesse ? Failles de sécurité, lenteur, incompatibilités… L’obsolescence peut impacter la performance et la compétitivité de votre entreprise. Faut-il le moderniser ou repartir de zéro ? Découvrez comment évaluer la situation et choisir la meilleure stratégie pour un remplacement efficace. Read More
L’obsolescence numérique peut freiner la performance et la compétitivité d’une entreprise si elle n’est pas anticipée. Quelles en sont les principales causes ? De la fin des mises à jour aux évolutions stratégiques, en passant par les dépendances technologiques, plusieurs facteurs peuvent rendre un outil numérique inefficace. Plusieurs éléments sont à surveiller pour éviter que vos solutions deviennent un frein plutôt qu’un levier d’innovation. Read More
Numérique
Vous avez un projet, une question ou une idée à développer ?
