Publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne, la directive NIS2 prévoyait un délai de vingt-et-un mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. Elle entrera donc en vigueur en France au plus tard en octobre 2024, une échéance qui n’impose cependant pas aux entités régulées l’application immédiate de l’ensemble des exigences réglementaires imposées : certaines seront à effet immédiat, d’autres seront programmées.
Dans un contexte géopolitique particulièrement perturbé, la directive NIS2 constitue une mise à jour inévitable de la législation européenne en matière de cybersécurité. Si elle s'appuie sur la directive NIS de 2016, elle a comme objectifs de renforcer la cybersécurité, de simplifier les rapports et de créer des règles et des sanctions cohérentes dans l'ensemble de l'UE. En élargissant son champ d'application, NIS2 oblige davantage d'entreprises et de secteurs à prendre des mesures de cybersécurité, avec l’objectif majeur de renforcer la cybersécurité globale de l'Europe à long terme.Â
Sa transposition dans notre droit national a lieu dans un contexte aggravé de montée en puissance des cyberattaques russes contre l’Ukraine et ses alliés, - comme par exemple celle, récente et massive, contre Kyivstar, le premier opérateur Télécom ukrainien-, de redoublement des attaques contre les chaînes logistiques dans tous les secteurs d’activité et de multiplication des cyberattaques générées ou assistées par l’IA
Avec des règles plus strictes pour surmonter les limitations précédentes, NIS2 a un impact sur un plus grand nombre de secteurs d’activité, les entités qui en relèvent étant classées comme essentielles ou importantes. La directive définit des exigences en matière de sécurité ainsi qu'un processus de notification des incidents.Â
Un des éléments importants de cette nouvelle mouture concerne le renforcement du régime des sanctions qui s’appliqueront aux entités assujetties. Selon les infractions, le barème prévu pourra se fonder sur un pourcentage du chiffre d’affaires mondial des entités concernées, à l’image de ce qui est prévu dans le Règlement Général sur la Protection des Données (RGPD), soit 2 % pour les essentielles et 1,4 % pour les importantes.Â
Dans un monde régi par l’interconnexion, les effets du piratage d’une entité se répercutent inévitablement sur celles avec qui elle a l’habitude de travailler. Il semble donc essentiel de responsabiliser chacune d’entre elles sur les risques qu’elle encourt et sur ceux qu’elle fait courir aux autres, si elle n’a pas pris le risque cyber au sérieux et si elle ne gère pas la crise de façon appropriée. Les risques économiques et sociaux sont énormes pour les établissements attaqués, qu’ils soient publics (interruption de la continuité des services à la population) ou privés (faillite de l’entreprise et chômage des employés).
L’entrée en application de NIS2 dans notre pays intervient dans un contexte qui a rapidement évolué en moins de dix ans. Les hackers ont compris qu’en élargissant leur surface d’attaque, leur pouvoir de malfaisance et leur efficacité s’en trouvent décuplés, tout en fournissant de moindres efforts.Â
Une collectivité sur dix (majoritairement de moins de 5000 habitants) a déjà été victime d’un rançongiciel. Ces derniers mois, les cyberattaques contre des collectivités, des PME, des ETI, des établissements de santé, se sont multipliées, avec des conséquences difficiles à évaluer car de nombreuses structures victimes de ces attaques n’en font pas la déclaration, préférant payer les rançonneurs pour reprendre rapidement leur activité. 49 % des petites entreprises ont spécifiquement fait l’objet d’attaques par des logiciels malveillants.Â
Le secteur industriel est le plus touché tandis que l’administration publique fait face au plus grand nombre d’incidents d’origine interne (66 %). Les petites entreprises sont 4,5 fois plus nombreuses à être victimes de cyber-extorsion que les moyennes et grandes entreprises réunies. Les défis à relever pour cette catégorie sont donc considérables.
L’Etat doit donc attacher une importance particulière aux petites et moyennes structures où l’acculturation et les moyens mis à contribution pour se protéger du risque cyber sont moindres. Cependant, la politique de la carotte et du bâton ne vaut que si elle est appliquée à la fois dans l’esprit et dans la lettre. Si l’on fait le bilan de l’application de la directive NIS de 2016, il y a de quoi rester rêveur. À quoi servent les sanctions si elles ne sont pas toujours appliquées ?Â
Côté carotte, les modalités d’application laissent aussi à désirer. Les subventions sont multiples (pourquoi faire simple…) mais aucune évaluation n’est faite sur leur efficacité en matière d’amélioration du niveau de sécurité atteint par les heureux récipiendaires de la manne publique. Les montants distribués à chaque fois ne sont pas exorbitants, on peut même parler de saupoudrage, mais cela représente un coût global important pour les finances publiques, sans aucune garantie d’efficience. Un petit air de déjà -vu avec MaPrimeRénov’ !
Les dirigeants des petites et moyennes structures, qu’elles soient publiques ou privées, peuvent être tout à fait brillants dans leur cœur de métier mais n’avoir aucune compétence en matière de cybersécurité. On ne saurait le leur reprocher. La documentation mise à leur disposition, le référentiel exposé, les contraintes qui leur sont signifiées, doivent prendre en compte ce paramètre et faire preuve de pédagogie, en un mot être accessibles. L’Etat se doit d’être protecteur et de proposer des outils adaptés.
Plutôt que de les laisser se perdre dans le maquis des aides, celui des recommandations de l’ANSSI, et in fine des entreprises de cybersécurité, mieux vaudrait encourager une réflexion commune et une mutualisation des moyens qui permettraient de proposer des solutions qui s’intéressent avant tout à la protection des fonctions métiers spécifiques à chaque type d’entité, sachant que la majeure partie des risques courus par un établissement de santé, par exemple, sont les mêmes que ceux que doit affronter un autre établissement de santé, et ainsi de suite pour les collectives locales, territoriales…
Les enjeux sont considérables au vu des dernières études en date qui font montre d’un coût annuel a minima des cyberattaques qui s’élève à 3-4 milliards d’euros pour les PME, plusieurs centaines de millions pour les hôpitaux ou pour les collectivités territoriales, sans parler des ruptures de services. Dès lors, et dans un contexte de dette nationale abyssale, se fait jour la nécessité impérieuse d'une réflexion systémique, coopérative, mutualisée, à la fois pour l'anticipation des fragilités et l'économie des ressources publiques.Â
Au législateur de guider l’administration pour que le référentiel soit pédagogique, lisible, efficace, suivable et suivi, et qu’il ne crée pas un nouveau marché de pseudo-conseil en cybersécurité ou un marché assurantiel débridé.
Philippe Latombe, député de la Vendée (MoDem et Indépendants)
Â