Renforcement laborieux du bouclier cybernétique européen avec NIS 2 

En 2023, l’Europe a été le continent le plus ciblé par des cyberattaques. Depuis 2013, l’Union Européenne met en place un véritable bouclier cybernétique, dont l’un des outils est renforcé cette année avec le passage de la directive Network and Information Security 1 (NIS 1) à NIS 2. Cette nouvelle directive doit être implémentée par les États membres de l’Union Européenne d’ici le 17 octobre 2024, mais seules 7% des entreprises françaises seraient prêtes à son incorporation. 

 

Une course contre la montre pour une cyberprotection commune

Les résultats de la directive Network and Information Security 1 (NIS 1) se sont avérés insuffisants, les cyberattaques visant l’Europe ont augmenté de 8 points entre 2021 et 2023 (24% à 32%). L’Europe est devenu le continent le plus visé par des cyberattaques en concentrant 32% des attaques mondiales. De nombreux facteurs, dont la pandémie mondiale de Covid-19 et la guerre en Ukraine, ont entraîné une augmentation croissante du nombre de cyberattaques sur le Vieux Continent. 

C’est dans ce cadre que l’Union Européenne a décidé de prendre les mesures nécessaires pour étendre le spectre d’action de NIS 2 à davantage de secteurs d’activités, afin de protéger un plus grand nombre d’entreprises. Les États membres ont jusqu’au 17 octobre 2024 pour transposer la directive NIS 2 dans leur droit national, garantissant ainsi un niveau uniforme et élevé de protection contre les cybermenaces.

Une approche holistique qui repose sur cinq piliers 

La directive NIS 2 s’applique sur cinq piliers indépendants mais dont l’imbrication apporte une approche holistique et coordonnée de la cybersécurité à l’échelle de l’Union Européenne.

NIS 1 s’est heurté au manque d’uniformisation de la part des États membres. NIS 2 tend ainsi à répondre à ces manquements, grâce aux piliers de la coopération et de la coordination des cadres réglementaires.  Le pilier de la gestion des risques devra permettre l’établissement de normes de sécurité communes à l’ensemble des entreprises concernées pour assurer une défense minimum aux cyberattaques. Pour suivre l’évolution de la menace et aider les entreprises, le pilier du partage d’information joue un rôle central pour apprendre et apporter une meilleure réponse aux risques cyber. Enfin, la supervision des autorités sera renforcée avec une possibilité d’établir des sanctions allant jusqu’à 2% du chiffre d’affaires des entreprises, et même de tenir les dirigeants personnellement responsables des manquements. 

Les entreprises françaises sont-elles prêtes ? 

L’importance de la cybermenace n’est pas toujours perçue par les entreprises françaises, provoquant parfois des conséquences désastreuses. Selon une étude publiée par CISCO, seules 7% des entreprises françaises sont prêtes à mettre en place NIS 2. Dans une enquête consacrée aux TPE et PME, 10% des entreprises interrogées se pensaient immunisées contre les cyberattaques en 2023. Un chiffre à rebours des réalités mondiales, où une cyberattaque se produit toutes les 39 secondes.

Si l’ANSSI recommande de consacrer 5% du budget annuel des entreprises à la cybersécurité, ce palier n’est pas toujours atteint. 93% des TPE et PME interrogées dans une enquête d’août dernier n’ont pas de budget alloué spécifiquement à la cybersécurité en 2023. A l’échelle française, la cybersécurité représente 6,1% du budget des technologies de l’information (IT) tous secteurs confondus. Le risque cyber n’est pas toujours perçu comme une menace imminente et le problème semble mondial puisque seulement 49% des entreprises auraient un budget suffisant pour répondre à l’ensemble de leurs risques cyber, d’après le benchmark cyber international.

L’investissement pour se conformer à NIS 2 est considérable, notamment en termes de formation du personnel, d’achats du matériel et de mise en place de nouvelles politiques de gestion des risques. Pour Philippe Latombe, une approche mutualisée permettrait de répondre aux réalités de chaque secteur d’activités pour apporter des réponses concrètes aux difficultés rencontrées par les PME. Sans une approche cohérente et lisible,  le nécessaire renforcement du bouclier cybernétique européen risque de se heurter aux réalités du terrain.

Agathe Thobie pour le club Cyber de l’AEGE

Pour aller plus loin :