Le constat est sans appel. Près d’une entreprise sur deux (47 %) a subi au moins une cyberattaque réussie en 2024. Une tendance à la hausse qui ne risque pas de s’inverser, l’Hexagone ayant enregistré +40 % d’atteintes numériques en 5 ans.
Désormais, dans un contexte de fortes tensions géopolitiques, plus aucun secteur ni organisme n’est épargné. Les grandes entreprises ne sont plus les seules visées, bien au contraire. Parmi les raisons : l’émergence de l’IA générative facilitant notamment les campagnes de phishing. Or, malgré l’explosion des usages d’intelligence artificielle, seules 22 % des entreprises ont mis en place des mesures de cybersécurité adaptées.
Résultat, les plus petites entreprises comme les collectivités, disposant souvent de moins de ressources, ouvrent la porte de leurs systèmes d’information aux failles de sécurité et par la même occasion aux cybercriminels. Quant aux grandes entreprises, moins agiles, elles sont peut-être plus avancées dans leur transformation, mais elles doivent souvent composer avec des infrastructures obsolètes et des métiers peu enclins au changement.
En réponse, l’Union européenne a alors décidé d’étendre sa directive NIS 1 (Network and Information Security – ou en français, sécurité des réseaux et des systèmes d’information) pour couvrir un champ beaucoup plus large de domaines et d’entités. Officiellement entrée en vigueur en Europe le 17 octobre 2024, elle devrait être adoptée par la France courant 2025 avec quelques ajustements.
Préparer son projet NIS 2 dans une logique industrielle
En France, plusieurs milliers d’entités, qu’elles soient classées « Essentielles » ou « Importantes », se verront dans l’obligation de se conformer à NIS 2 dès 2025, là où elles n’étaient que quelques centaines à être couvertes par NIS 1. Selon l’étude d’impact de la directive NIS 2, 15 000 entités dans 18 secteurs d’activités, contre 500 dans 6 secteurs pour NIS 1, entrent directement dans le champ d’application de cette directive. Une nécessité face aux cyberattaques dont sont victimes les organismes : 90 % des entreprises de la région EMEA ont ainsi été confrontées à des incidents de cybersécurité que la conformité à la directive NIS 2 aurait pu prévenir.
Pour autant, elles sont peu nombreuses à répondre aux exigences de la directive. Opacité de certaines obligations, manque de ressources, problème de budget, frein au changement… Les raisons sont multiples et les pénalités lourdes. Des sanctions qui, néanmoins, peuvent s’avérer tellement dissuasives qu’elles poussent à accélérer la mise en conformité et, in fine, la transformation des entreprises. En ce sens, NIS 2 tend à s’imposer dans les années à venir comme un moteur d’innovation !
Tel est l’objectif réel derrière la directive : uniformiser la maturité des entreprises en matière de pratiques de cybersécurité dans toute l’Europe. Par conséquent, dans quelques années, la cybersécurité sera davantage intégrée à l’ensemble des activités de l’entreprise, plaçant l’automatisation et l’apprentissage automatique au centre des enjeux de sécurité. Néanmoins, la gestion des risques ne peut se faire sous le seul angle technique, et implique le plus souvent d’engager une transformation organisationnelle pour mettre en place une nouvelle gouvernance.
Soit un grand nombre de chantiers à lancer, parfois en simultané. Résultat, les entreprises peuvent rencontrer un certain nombre de difficultés d’implémentation ou même humaines. NIS 2 implique une vision 360 de la sécurité et une approche holistique, nécessitant un grand nombre d’expertises. C’est pourquoi les organisations qui décideront de mener ces transformations en interne s’exposeront davantage aux risques de pénalités financières du fait d’une conformité partielle ou d’erreurs d’interprétation de la règlementation. S’entourer d’experts pour se conformer à NIS 2 est donc un véritable must have.
Par Yoann Moreau, Head of Cybersecurity Audit & Advisory chez Squad
