L’année 2024 est chargée pour la filière cybersécurité. Tandis que les Jeux olympiques et de possibles cyberattaques massives focalisent l’attention du public, une autre date a été cochée dans l’agenda des professionnels : en octobre la France va transposer dans son droit national la directive Network and Information Security 2 (NIS 2). Ce texte européen adopté fin 2022 doit améliorer la résilience de plusieurs milliers d’organisations.

Le nombre d’organisations devant élever ses standards de cybersécurité va exploser

NIS 2 a été conçu pour combler les lacunes de la première version de la directive, votée en 2016 et transposée en droit français en 2018. L’objectif est le même, rendre l’Union européenne plus résistante aux cyberattaques en poussant les organisations publiques ou privées stratégiques à mieux se protéger.

La première mouture du texte a toutefois mis en évidence quelques limites que la seconde version cherche à combler : un champ d’application trop circonscrit à quelques acteurs, les mesures à adopter trop peu détaillées, une exigence parfois faible ou tout du moins inégale selon les secteurs et enfin peu de risque de sanction.

Désormais 18 secteurs, contre 10 auparavant, sont concernés. Pour en citer quelques-uns, l’énergie, la santé, le secteur bancaire, l’espace ou encore l’alimentaire… Des critères de tailles et de chiffres d’affaires ont été édictés pour ne pas englober des sociétés trop petites pour être importantes.

Selon les estimations, de quelques centaines, le nombre de structures concernées passerait entre 10 000 et 15 000. Au-delà des grands groupes, la chaîne de valeur avec les PME a été prise en compte. Une mise à l’échelle réclamée depuis des années par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Beaucoup de cyberattaques, notamment d’origine criminelle, sont avant tout opportuniste, lié au faible niveau de sécurité. Les fournisseurs de sociétés bien protégées sont aussi des portes d’accès à des fins de cyberespionnage.

Certains détails restent à éclaircir. Une directive européenne laisse l’opportunité aux États membres de transposer le texte avec une certaine marge de manœuvre. Par exemple, sur son site l’ANSSI, chargée de la bonne application du texte, rapporte à propos des collectivités territoriales que leur inclusion est « optionnelle » et qu’il est « trop tôt pour détailler la manière dont les collectivités seront intégrées ». La date limite pour transposer le texte est fixée au 17 octobre 2024.

Des sanctions sont prévues, mais pas pour tout de suite rassure l’ANSSI

D’autres aspects sont au contraire déjà établis, notamment en matière de sanction. Les dirigeants des entreprises n’ayant pas pris les mesures de cybersécurité exigées par NIS 2 s’exposent à des poursuites. Les entités elles-mêmes s’exposent à des amendes. Elles peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les organisations essentielles et jusqu’à 7 millions d’euros et 1,4 % du chiffre d’affaires pour les entités dites « importantes ».

Les organisations auront aussi pour obligation de signaler à l’ANSSI rapidement quand elles ont été victimes d’une cyberattaque. Les autorités manquent parfois de données sur ce type d’événement. Les entreprises redoutent de perdre en crédibilité et ont tendance à ne pas s’étendre sur le sujet. Avec plus de données à disposition, c’est aussi un moyen de mieux se protéger.

Depuis deux ans les autorités et l’industrie de cybersécurité tâchent de se préparer à l’afflux de demande. Un agenda parfois difficile à tenir, entre le besoin d’acculturation et un grand événement à venir comme les Jeux olympiques. Lors d’un discours au cours du salon spécialisé Forum InCyber, Vincent Strubel, directeur général de l’ANSSI a fait savoir que l’agence ne sanctionnerait pas immédiatement les structures qui ne seront pas au niveau en octobre, « L’ANSSI est avant tout une agence qui aide ses bénéficiaires, ça ne doit pas changer demain ».