Le 28 novembre 2024, lors d’une table ronde au CBC, des experts de renom ont exploré les opportunités et défis de la directive européenne NIS2. Cet événement, réunissant des intervenants tels que Philippe Latombe, Député et membre de la Commission des Lois, Arnaud Coustilliere, Vice-amiral d’escadre et Président du Pôle d’excellence cyber, Anne Tricaud, Responsable de la sécurité chez Airbus, et Erwan Brouder, Directeur Adjoint Cybersécurité Sopra Steria a mis en lumière les enjeux de cette nouvelle réglementation en cybersécurité.
Les grandes étapes de la réglementation NIS
Pour répondre aux enjeux de la Cybersécurité, l’Union Européenne a pris plusieurs décisions afin d’augmenter le niveau de protection des organisations et des États-membres.
Si NIS1 imposait aux organisations les plus stratégiques de sécuriser leurs systèmes d’informations, NIS2 est une révolution du fait de l’élargissement du périmètre des secteurs concernés. Elle vise aussi et surtout à accroître la résilience des services face aux cyberattaques et aux menaces numériques croissantes en imposant aux organisations de toutes tailles -collectivités, PME, grands groupes- des exigences accrues en matière de gestion des risques et de signalement des incidents.
La Directive NIS2 s’intéresse également aux collaborateurs et à leurs compétences, aux sous-traitants, aux établissements de santé, etc. En un mot, à l’ensemble de la société !
Pourtant, la France est en retard : la date limite de transposition du 17 octobre n’est pas tenue et aucune loi française n’aura été adoptée depuis 2022.
Alors où en sommes-nous ?
Quel est le nouveau périmètre de ces obligations de cybersécurité et quelles seront les organisations concernées ? Quelle responsabilité auront les dirigeants et les équipes en cas de cyberattaque réussie ?
Comment l’État va-t-il accompagner les entreprises, quel sera son contrôle et quelles seront les sanctions ? Tout reste à définir.
Comment renforcer la résilience numérique grâce à la directive NIS2 ?
Opportunités et menaces à anticiper
Face à l’essor des cybermenaces et à la multiplication des attaques informatiques, la directive européenne NIS2 se positionne comme un levier pour renforcer la sécurité des systèmes d’information à l’échelle des entreprises et des collectivités. M. Coustillière, vice-amiral d’escadre et Président du pôle d’excellence cyber, souligne que la cybersécurité relève de l’art de la guerre.
Un paysage des menaces en mutation
Depuis 2014, les cyberattaques ont évolué, devenant hybrides et touchant des sphères variées, comme l’informationnelle. Les attaques se sophistiquent avec :
- Cryptolockers et vol de données,
- Utilisation d’ IA générative pour élaborer des attaques automatisées
- Nouvelles méthodes de changement de voix avec un ton plus doux, l’effacement de l’accent
Les conséquences sont lourdes : dégradation de la relation entreprise-client, perte de confiance et exposition des données sensibles, comme dans le cas récent de l’attaque sur France Travail.
De NIS1 à NIS2
Anne Tricaud, responsable chez Airbus, rappelle qu’il y a eu une évolution de la règlementation depuis NIS1.
De fait, depuis les 10 dernières années, le champ d’action de NIS1 n’était plus adapté face aux attaques qui évoluent constamment. Il a fallu donc créer de nouvelles règles de surveillance et c’est pour cela que NIS2 est arrivé.
La cybermalveillance a un esprit systémique. NIS2 a augmenté le périmètre de surveillance et exige que tout l’écosystème des entreprises augmente en terme de sécurité. Par exemple, au niveau du supply-chain par rapport aux filiales d’Airbus, il faut faire évoluer le niveau de sécurité exigé.
La gouvernance d’entreprise et aussi un enjeu cyber et il faut se préparer au pire. Le volet humain est inexistant dans le projet de loi du NIS2. Pour le moment de NIS2 est mis en place uniquement dans 5 pays européens, la Belgique par exemple l’applique actuellement.
Les principaux axes de la directive NIS2
- Renforcement de la gouvernance
- Augmentation des exigences pour les chaînes d’approvisionnement
- Déclaration d’incidents
En France, mi-février 2025, l’Assemblée Nationale va voter un texte sur le NIS2 qui sera concrétisé durant l’été 2025 avec la mise en place d’une procédure accélérée car NIS2 aurait dû être mis en place en octobre 2024.
Aujourd’hui la question se pose sur les collectivités en France. De fait, les petites collectivités de moins de 30 000 habitants ne sont pas encore concernées alors que ce sont elles qui sont le plus exposées, elles ont en effet un plus faible niveau de résistance face aux attaques. Il reste également la question du financement de la mise en place de la sécurité pour respecter le NIS2 qui n’est pas encore clarifié.
La cohabitation entre NIS2, DORA et REC
La coexistence de plusieurs réglementations européennes, comme DORA (ciblant les services financiers) et REC (sur la résilience des entités critiques), complique la tâche des entreprises. Il est impératif de garantir leur compatibilité et d’éviter un empilement réglementaire. Le NIS1 est une directive européenne transposée dans 27 Etats européens avec 27 règlementations différentes comme pour Airbus.
Aujourd’hui, l’empilement des réglementations est complexe à gérer pour les entreprises. Le NIS2 a un champ d’application plus large, ainsi les entreprises se voient obligées d’augmenter leur niveau de sécurité de base.
Comment on appréhende le NIS2 chez SOPRA STERIA ?
SOPRA STERIA l’intègre dans un volet financier qui est un secteur basé hautement sur la confiance, on ajoute le volet sécurité au supply chain.
Anne Tricaud explique que dans le NIS1 comme dans le NIS2 il faut s’auto-déclarer : les fournisseurs de services numériques doivent donc se sécuriser aussi dans le cadre du supply-chain chez AIRBUS et cela concerne plus de 16000 supplyers !
Il est nécessaire d’appliquer la directive NIS2 par secteur d’activité
On transpose en plus cette directive dans 27 pays européens, cela est complexe.
En Allemagne le NIS2 n’a pas été mis encore en place car il va y avoir les élections du ou de la nouvelle chancelière en 2025, cela pose un grand problème pour Airbus qui est présent là-bas.
Il est indispensable de disposer d’un texte précis et global pour 27 pays dans le cadre du NIS2.
Les défis spécifiques par secteur
NIS2 n’a pas les mêmes implications pour tous les secteurs :
- Dans l’industrie, les chaînes d’approvisionnement internationales exigent des normes de sécurité élevées.
- Dans le secteur public, les collectivités locales doivent surmonter leur retard technologique et adapter leurs pratiques (mots de passe faibles, utilisation risquée de clés USB, etc.).
Des solutions, comme la création de référentiels communs ou la mise en place d’organisations de partage d’informations (CERT), doivent être explorées.
- Est-ce que nous allons renvoyer le NIS2 à des normes de type ISO ?
- Est-ce que le NIS2 aura un effet positif sur le codage ?
- Est-ce que nous appliquerons un tampon de type AFNOR pour en valider la conformité ?
- Est-ce qu’il y aura des audits, des contrôles avec une notion de certification dans le cadre du NIS2 ?
Rien n’est encore statué….
A titre d’exemple, en Italie, le NIS2 est appliqué en prenant en compte le comportement humain.
- Est-ce que nous allons faire de même en France ?
- Intégrer la gouvernance est-il suffisant ?
Pour répondre à ces problématiques, il serait nécessaire de mettre en place une procédure de déclaration des incidents.
Progrès et complexités dans la mise en œuvre de NIS2
L’un des principaux défis réside dans la transposition de NIS2 dans 27 États membres, chacun ayant une légalisation qui leur est propre :
- En Belgique , le NIS2 est déjà en application
- En France , le texte sera voté en février 2025, avec une mise en œuvre prévue à l’été. Cependant, les petites collectivités, particulièrement vulnérables, ne sont pas encore incluses, bien qu’elles soient des cibles privilégiées.
Certaines zones d’ombre persistantes :
- Normes et certifications : NIS2 pourrait être aligné sur des normes ISO ou des labels AFNOR, mais cela reste à définir.
- Audit et contrôle : quid des sanctions pour les entités non conformes ? La directive prévoit des modifications, mais leur application dépendra des juges ou d’autorités administratives nationales.
Aujourd’hui en France, le législateur doit poser un cadre et écouter l’écosystème.
Les échéances sont prévues à 5 ans pour finaliser la mise en oeuvre de NIS2. A l’issue de cette période, les sanctions seront appliquées progressivement au moyen d’amendes en cas de non-respect.
Le personnel du gouvernement n’est pas assez conscient du problème de la sécurité des données
Dans le domaine public, les maires notamment prennent des risques sans s’en rendre compte (mauvais usage de clés USB, peu de mot de passe) et cela met en avant le besoin d’une montée en compétence des collectivités pour combler cette dette technique.
Est-ce que NIS2 et DORA peuvent coexister en matière de directive concernant la cybersécurité ?
Les directives NIS2 et DORA (Digital Operational Resilience Acts) ont été conçues pour coexister de manière complémentaire. Leur compatibilité est essentielle pour éviter les chevauchements réglementaires et garantir une approche cohérente de la cybersécurité en Europe. Tandis que NIS2 se concentre sur la sécurisation des infrastructures critiques et des chaînes d’approvisionnement à l’échelle intersectorielle, DORA cible spécifiquement la résilience opérationnelle des institutions dans le secteur financier.
Cette complémentarité impose une coordination rigoureuse entre les cadres réglementaires afin d’assurer une mise en œuvre harmonisée et efficace pour les organisations soumises aux deux directives.
Comment éviter 27 textes différentes pour l’application du NIS2 dans 27 pays européens avec chacun ses propres lois ?
Dans le respect du NIS2 chaque entité doit déclarer sa situation dans le pays où elle est localisée. Il en est de même dans le cadre de sociétés multinationales. La société mère déclare dans le pays où elle est localisée et il en est de même pour ses filiales. Donc ce n’est pas uniquement le lieu où se situe la société mère qui compte.
Un besoin urgent de financement et de montée en compétences
La mise en conformité avec NIS2 représente un investissement lourd, particulièrement pour :
- Les PME et TPE, qui manquent souvent de moyens pour renforcer leurs systèmes de sécurité.
- Les collectivités locales de moins de 30 000 habitants, souvent victimes de leur « dette technique ».
En parallèle, la montée en compétences des employés est essentielle. Si des grands groupes comme Airbus possèdent des écoles internes de cybersécurité, la majorité des petites structures n’ont ni les ressources ni les formations nécessaires.
Comment savoir quelles entités sont concernées par le NIS2 ?
Le NIS2 concerne les entreprises de plus d’un million d’euros de chiffre d’affaires et qui sont supérieures à 50 personnes en prenant en compte les secteurs critiques et hautement critiques en fonction du code NAF.
Un site Web pour se tester : https://monespacenis2.cyber.gouv.fr/directive
Conclusion et perspectives
La directive NIS2 est un pas décisif pour améliorer la résilience numérique en Europe, mais son succès dépend de plusieurs facteurs :
- Harmonisation législative : éviter les divergences entre États membres.
- Accompagnement financier : garantir des aides pour les PME, TPE et collectivités.
- Renforcement des compétences humaines : sensibiliser les acteurs à tous les niveaux, de l’utilisateur final aux décideurs.
La mise en œuvre de NIS2 est prévue sur un horizon de 5 ans, pendant ce laps de temps il faudra s’adapter aux menaces émergentes.