La directive NIS2 modifie
profondément le comportement des entreprises concernant leur engament et leur
réactivité en matière de cybersécurité.
Par Magali Moreau,
directrice marketing et communication chez Sharp Business Systems France
Les entreprises
contemporaines prospèrent grâce au numérique. Qu'il s'agisse d'échanger des
courriels, de participer à des réunions, de travailler sur des réseaux Wi-Fi
ouverts ou d’effectuer des partages de documents, le monde est connecté et
ouvert aux échanges. C'est pourquoi aujourd’hui les PME sont davantage exposées
aux cyberattaques. Des études ont montré que les petites entreprises sont plus
fréquemment les cibles de la cybercriminalité, tandis qu’une récente étude de
Sharp montre qu'un tiers (33 %) des entreprises européennes ont été touchées
par une attaque informatique.
Face à la menace
croissante des cyberattaques, l'Union européenne a mis en place plusieurs
directives qui imposent aux entreprises d'optimiser leur cyber-résilience,
c'est-à-dire leur capacité à prévenir les cyberincidents, à y résister et à les
surmonter. La première de ces directives, la directive « Sécurité des réseaux
et de l'information » (dite « directive NIS »), adoptée en 2016, visait à
atteindre un niveau élevé de sécurité des réseaux et des systèmes d'information
dans toutes les infrastructures.
La directive NIS2,
entrée en vigueur en octobre, vise à renforcer la cyber-résilience collective
de l'UE en exigeant la mise en place d'une solide gestion des risques, de
contrôles de sécurité et d'audits réguliers. Tout en autorisant une certaine
souplesse au niveau national, NIS2 établit des normes de base en matière de
cybersécurité à l'échelle de l'UE qui reflètent les standards et les meilleures
pratiques mondiales. Cela garantirait un niveau plus élevé de préparation et de
résilience contre les cyberincidents qui pourraient perturber le fonctionnement
des services de première nécessité et des infrastructures critiques.
NIS2 vise à atteindre
cet objectif par l’intégration de normes et d’exigences plus strictes en
matière de cybersécurité pour les entreprises, y compris la mise en œuvre de
politiques de cybersécurité, de plans de réponse aux incidents et d'évaluations
régulières des risques. Elle impose également des obligations plus strictes en
matière de gestion des risques et d'établissement de rapports, obligeant les
entreprises à prendre des mesures appropriées pour gérer les risques liés à la
cybersécurité et à signaler les cyberincidents importants aux autorités
nationales.
En outre, elle élargit
le champ d'application des règlements antérieurs en incluant davantage de
secteurs et d'entités qu'elle juge impératifs et fondamentaux, tels que les
secteurs de l'administration publique, de l'énergie, de la santé, des services
IT, des services postaux et de messagerie, de la production et de la
distribution de denrées alimentaires et de l'industrie manufacturière.
Parallèlement à la
prise en compte d’un plus grand nombre d’entreprises, NIS2 instaure de
nouvelles mesures de contrôle pour les petites entreprises. Les PME de plus de
50 salariés réalisant un chiffre d'affaires de plus de 10 millions d'euros sont
soumises aux exigences renforcées de NIS2 en matière de cybersécurité.
Les PME et le besoin de
formation
Pour que la directive
soit un succès, quelle que soit leur taille, les entreprises européennes se
doivent d’améliorer la sécurité des services IT à tous les niveaux. Une
sécurité optimale ne peut être possible que si tous les appareils sont intégrés
dans la stratégie de sécurité IT. Il s'agit non seulement des appareils
principaux, mais aussi des dispositifs périphériques. C'est un aspect qui
s'applique de plus en plus aux imprimantes multifonctions (MFP), dont la
sécurité est encore négligée par la plupart des entreprises, comme l'a montré
une étude récente de Sharp selon laquelle 19% des PME européennes ont été
touchées par une atteinte à la sécurité de leurs imprimantes.
Les petites entreprises
qui entrent dans le champ d'application de la directive NIS2 doivent prendre
plusieurs mesures pour se préparer et se conformer aux nouvelles exigences. En
premier lieu, les PME doivent faire appel à leur fournisseur d'assistance IT
pour réaliser un audit complet des risques afin d'identifier les vulnérabilités
et les menaces potentielles de cybersécurité, ainsi que les aspects à améliorer
dans l'ensemble de l’entreprise.
L'entreprise doit
également examiner et actualiser les contrats, les accords de niveau de service
et les autres documents pertinents afin de s'assurer qu'ils répondent aux
exigences de la directive et qu'ils établissent avec clarté les responsabilités
et les obligations en matière de cybersécurité.
Une fois toutes les
évaluations effectuées, il est impératif d'élaborer et de mettre en œuvre des
politiques et des procédures de cybersécurité dans l'ensemble de l'entreprise.
Ces formalités doivent s'aligner sur les exigences de la directive NIS2, telles
que les pratiques de gestion des risques, les protocoles de signalement des
incidents et les mesures de sécurité pour les réseaux et les systèmes
d'information.
Le défi pour les
entreprises n'est pas seulement la mise en œuvre des mesures, mais aussi de
continuer à effectuer des contrôles réguliers, que ce soit sous la forme
d'analyses de vulnérabilité, d'évaluations de sécurité, de tests d’intrusion ou
de simulations de cyberattaques.
La compétence
technologique est fondamentale pour l’efficacité de la directive NIS
Les cybermenaces sont
souvent considérées comme des phénomènes extérieurs à l'entreprise. Cependant,
il est important de comprendre que la plupart des atteintes à la sécurité
informatique sont principalement dues à des erreurs humaines plutôt qu'à des défaillances
technologiques. Par conséquent, même si une entreprise tente de rendre la
technologie aussi sûre que possible, si les salariés ne comprennent pas comment
et pourquoi la sécurité est nécessaire, les politiques mises en place seront
vaines.
La formation régulière
des salariés à la cybersécurité et à la sensibilisation est donc un élément
fondamental pour les entreprises, quelle que soit leur taille. Cette formation
permettra au personnel de comprendre la nécessité de la cybersécurité et de
suivre les meilleures pratiques pour protéger les informations et les systèmes
sensibles.
En prenant des mesures proactives pour s'assurer que la cybersécurité est une priorité et s'aligne sur les exigences du NIS2, les PME peuvent mieux se protéger contre les cybermenaces, assurer la continuité des activités et éviter les amendes ou pénalités potentielles en cas de non-conformité.