NIS2 : une contrainte mais aussi une opportunité pour la cybersécurité

Quel est l’esprit de la directive NIS 2 ?

Willy Mikalef : Nous voyons émerger avec cette directive un droit autonome en cybersécurité, un droit propre. Ce droit européen, avec le projet de loi national pour l’application française, constitue le porte-drapeau de notre souveraineté en cybersécurité. Il s’agit véritablement d’un texte général au sens où il intègre des spécificités préexistantes qui figuraient jusqu’à maintenant dans des réglementations sectorielles. Par exemple, les opérateurs télécoms étaient avant régulés en la matière par le droit des télécommunications européen et dépendent désormais de cette directive NIS 2. Mais, surtout, cette dernière élargit très largement les secteurs concernés. Dans la première mouture NIS 1, il s’agissait de 10 secteurs, désormais il y en a 18, intégrant exemple la chimie, les data centers, le spatial ou encore l’administration publique.

Ariane Mole : Cette directive doit en effet nous permettre d’atteindre individuellement et collectivement une résistance forte face aux cyberattaques. Dans ce contexte, la loi vient vraiment protéger les entités qu’elle contraint. Et cela arrive à un moment propice, tandis que les Jeux Olympiques mettent un coup de projecteur sur l’enjeu. À titre de comparaison, il y a eu 450 millions de cyberattaques aux derniers JO de Tokyo. On attend cette fois-ci 4 milliards d’attaques, contre l’événement lui-même (sur la billetterie, le chronométrage…) mais aussi vis-à-vis de tous les systèmes, notamment les sites web, à cette occasion : arnaques, détournements de comptes, vols de données, demandes de rançons, etc.

Dans ce contexte, quel est le degré
de préparation en France selon vous ?

A. M. : Il est très inégal. C’est frémissant dans certains secteurs, avec des clients qui nous contactent déjà pour se renseigner. A contrario, certaines entreprises ignorent jusqu’à l’existence même de NIS et du projet de loi visant à l’appliquer en France. La Commission Supérieure du Numérique (CSN), qui a été saisie pour avis sur le projet de loi, a appelé d’ailleurs le gouvernement à entreprendre une campagne de sensibilisation et de communication sur le sujet : elle est importante pour permettre à chacun de prendre le temps de se mettre en conformité et pour ainsi construire notre résilience. C’est un enjeu majeur car pas moins de 15 000 nouvelles entités seront concernées, selon la CSN, dont des entreprises de taille moyenne.

W. M. : Certains secteurs, comme les télécoms ou tous les opérateurs d’importance vitales (OIV) qui sont régulés en France depuis 2006, ont une longueur d’avance. Nous pouvons même dire que, à l’instar de notre loi informatique et libertés qui a pavé le chemin du droit européen de la protection des données personnelles (la directive de 1995 puis le RGPD), la réglementation OIV et le travail d’accompagnement et de contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été précurseur pour ce droit communautaire.

Quelles sanctions sont prévues ?

A. M. : Les sanctions varient en fonction de la nouvelle classification prévue par la directive. Il y a deux profils d’organismes concernés. Les « entités essentielles », de plus de 250 employés ou avec un bilan annuel supérieur à 43 M€ et les « entités importantes », de plus de 50 employés avec un bilan annuel de 10 à 43 M€. Pour les premières, les sanctions administratives peuvent aller jusqu’à 2 % du chiffre d’affaires mondial ou 10 M€. Pour les deuxièmes, ce sera 1,4 % du chiffre d’affaires ou 7 M€. C’est très conséquent pour les entreprises concernées. Les enquêtes seront menées par l’ ANSSI et le projet de loi crée une commission des sanctions indépendante – composée de magistrats du Conseil d’État, de la Cour de cassation et de la Cour des comptes ainsi que de personnalités qualifiées – qui jugera et décidera du montant des amendes.

W. M. : La directive insiste aussi sur le volet pénal et la responsabilité des dirigeants. Elle ouvre la possibilité aux États membres de prévoir une responsabilité pénale des dirigeants en cas de violation des dispositions nationales transposant la NIS2. Nous avons déjà beaucoup de questions de la part de nos clients sur ce point précis, car ce régime de sanctions personnelles responsabilise très fortement. Et, surtout, il varie d’un État membre à l’autre. Nous sentons que ce point préoccupe et fera bouger les lignes. Cela permettra aussi d’avoir un levier pour faire de ce projet de mise en conformité cyber une priorité au sein des entreprises. Les directeurs juridiques peuvent alerter sur ce risque juridique. La sensibilisation au risque opérationnel et financier, quant à elle, a déjà fortement commencé. Malheureusement beaucoup de nos clients ont déjà été victimes ou été confrontés à du ransomware, cette technique qui consiste à crypter les données et à demander une rançon pour les déchiffrer.

A. M. : Les directions juridiques peuvent aussi présenter cette compliance comme un véritable investissement permettant de protéger l’actif numérique, la réputation de l’entreprise et donc in fine sa valorisation. Ce sera un grand chantier, exigeant mais nécessaire et constructif.

Comment les entités peuvent-elles
se mettre en conformité ?

W. M. : Elles devront faire face à trois grandes étapes.

La première est un exercice de cadrage. Les entités devront se demander si elles sont concernées ou non par cette directive NIS 2. Ce n’est pas évident car, contrairement aux opérateurs d’importance vitale, les entités ne sont pas désignées par arrêté du ministre compétent. Elles doivent elles-mêmes arbitrer et juger si elles sont concernées. Tout sera aussi précisé au fur et à mesure par voie de décrets et d’arrêtés.

La deuxième étape sera de faire un bilan entre ce qui est déjà atteint en interne et ce qui est attendu dans la loi, afin de mesurer l’écart. Puis, de développer un plan d’action destiné à réduire cet écart.

Enfin, la troisième étape consiste à lancer le chantier à proprement parler. Pour cela, il faudra aussi éventuellement attendre certains décrets d’application.

A. M. : Nous pouvons accompagner sur chacune de ces étapes car elles sont très proches de tout ce que nous avons déjà mené dans le cadre des données personnelles, que nous suivons depuis plusieurs décennies. De plus, avec notre approche sectorielle, nous connaissons bien les métiers et nous pouvons proposer un arsenal adapté et opérationnel en fonction de l’activité de chacun. Nous pouvons également établir une hiérarchisation et une priorisation des mesures pour aider nos clients à avancer sereinement sur leur plan d’actions.

Et les challenges à venir ?

A. M. : Très vite, les enjeux de sous-traitance vont arriver dans le cadre de la mise en conformité de NIS 2. C’est bien toute la chaîne de sécurité dont il faut s’occuper. Dans ce cadre, nous travaillons déjà à mettre à jour les contrats fournisseurs, clients et partenaires commerciaux pour aligner les responsabilités de chacun. Encore sur ce point, nous bénéficions de la riche expérience de la mise en conformité RGPD en la matière.

W. M. : Avec notre réseau international, nous pouvons aussi nous nourrir des solutions trouvées dans d’autres pays et proposer à nos clients des bonnes pratiques. Mais surtout, notre rôle sera d’accompagner les directions juridiques à se faire les avocats de ce projet de mise en conformité pour obtenir le soutien indispensable de la direction générale.

A. M. : Cette directive NIS 2 constitue en ce sens une opportunité. Miser sur sa cybersécurité, c’est protéger les actifs de l’entreprise et sa capacité à commercer avec des acteurs sensibilisés sur la question. Cette contrainte réglementaire est l’occasion d’obtenir les moyens d’investir sur le sujet et d’en faire une priorité.