62 % des chefs d’entreprise pensent ne pas être une cible de cyberattaque, assure une enquête de Cybermalveillance. Pourtant, "les cyberattaquants ne frappent plus les grandes entreprises en direct mais attaquent via leurs fournisseurs qui sont moins bien protégés", explique Alain Bouillé, délégué général du CESIN, une association qui regroupe des responsables cybersécurité.
Une directive européenne
Pour renforcer la cybersécurité sur le vieux continent, l’Union européenne a adopté en décembre 2022, la directive NIS2, qui doit être transposée dans les droits nationaux avant le 17 octobre 2024. Cette directive européenne a pour vocation de responsabiliser tous les acteurs d’une filière et les pousse à moderniser leur système en investissant dans la cybersécurité. "Il n’y a que la législation qui pourra changer les choses : elle va obliger les entreprises à prendre conscience du sujet", assure Alain Bouillé.
Au moins 15 000 entreprises concernées
Alors que NIS1 ne ciblait que les opérateurs d’intérêt vital, NIS2 élargit considérablement les acteurs concernés à 18 filières jugées "hautement critiques" ou simplement "critiques". Font partie de cette catégorie : la santé, le transport, la fabrication de produits chimiques, l’industrie manufacturière, l’agroalimentaire ou encore les énergies.
"Cela va être un saut quantique pour certaines entreprises", prévient Alain Bouillé. L’Agence nationale de la sécurité des systèmes d’information (Anssi) table sur quelque 15 000 entreprises et collectivités locales françaises assujetties directement à la directive NIS2.
"On va demander aux plus petites d’avoir le même niveau de sécurité que leurs donneurs d’ordres"
Mais, par capillarité, c’est l’ensemble de la chaîne de valeurs qui sera impacté. "On pense que la directive devrait impacter bien plus d’entreprises et collectivités locales françaises que ce qui est annoncé, prévient Marc Bothorel, référent cybersécurité à la CPME. On va demander aux plus petites d’avoir le même niveau de sécurité que leurs donneurs d’ordres".
Sont ainsi, visées, a minima, toutes les PME de plus de 50 salariés et qui réalisent plus de 10 millions d’euros de chiffre d’affaires. Néanmoins, même si certaines d’entre elles n’atteignent pas ces jauges, elles peuvent désormais être contraintes par NIS2 du fait de leur activité. C’est le cas notamment des hébergeurs de données ou de ceux qui manipulent des données sensibles.
Un site pour savoir si votre entreprise est concernée
La transposition de la directive européenne en droit française doit encore être finalisée, la dissolution de l’Assemblée nationale ayant interrompu le processus. En attendant, les entreprises peuvent se rendre sur l’espace dédié monespacenis2.cyber.gouv.fr pour répondre à un questionnaire qui va déterminer si leur entité est régulée par NIS 2 et à quelle catégorie elles appartiennent.
La directive distingue deux types entités, et donc deux niveaux de sécurisation. Il y a d’abord les "entités essentielles", déjà présentes sous le nom d’Opérateur de services essentiels et d’Opérateurs d’importance vitale dans la première version de la directive. L’État considère que leur défaillance, en cas de cyberattaque, déstabiliserait en cascade le fonctionnement du pays. Il y a ensuite les "entités importantes". Considérées comme moins critiques, ces dernières se verront imposer des obligations moins contraignantes que les entités essentielles.
Trois obligations pour les entreprises
Si elles sont éligibles, les entreprises doivent se déclarer auprès de l’Anssi. Chaque entité sera soumise à trois obligations. Elle devra fournir des informations à l’Anssi sur sa politique de sécurité. Elle devra aussi mettre en place des mesures de gestion des risques cyber adaptées – soit des solutions techniques comme des authentifications renforcées ou des suppléments d’antivirus. Elle devra enfin déclarer ses éventuels incidents de sécurité aux autorités compétentes dans un délai et un format qui restent à définir.
Parmi les 25 mesures techniques, organisationnelles et juridiques que les entités devront mettre en œuvre, se trouve notamment l’obligation de recenser leurs systèmes d’information. Il s’agit donc d’établir une cartographie complète de l’ensemble de leur système d’information, tant aux niveaux des matériels et des logiciels que des flux. "C’est une mesure de bon sens qui devrait être mise en place dans toutes les entreprises", commente Marc Bothorel.
Autres mesures phares de la directive : avoir un cadre de gouvernance, soit une organisation en termes de rôle et de responsabilité ; imposer des exigences contractuelles à ses fournisseurs ; et adopter une approche par les risques (pour les "entités essentielles" uniquement).
Risque d’amendes en cas de manquements
Le monsieur cybersécurité de la CPME s’interroge toutefois sur les nouveaux risques qui vont peser sur les chefs d’entreprise. Car en cas de manquement, des sanctions financières, jusqu’à 2 % du chiffre d’affaires réalisé au niveau mondial, pourront être appliquées. Même si Vincent Strubel, directeur général de l’Anssi, a annoncé lors de la conférence des Universités d’été Cybersécurité et Cloud de confiance d’Hexatrust, le 5 septembre dernier, qu’aucune sanction ne serait appliquée pendant les trois premières années après le lancement de la directive. Objectif, donner aux entreprises et aux collectivités le temps nécessaire pour se mettre en conformité avec les nouvelles exigences de cybersécurité et de cyber-résilience.
Mais bientôt, au-delà d’une amende, c’est la responsabilité personnelle des dirigeants qui pourrait elle aussi être engagée en cas de problèmes numériques liés à la non-conformité à cette directive. Des conséquences que la CPME ne juge "pas acceptables", d’autant plus que les chefs d’entreprise peuvent être confrontés à "des failles de sécurité sur des logiciels qu’ils ne maîtrisent pas", assure Marc Bothorel.
