Destinée à renforcer la cybersécurité des secteurs-clé de l’économie européenne, la directive européenne SRI2 doit être adoptée par tous les Etats-membres de l’Union Européenne d’ici octobre. Face au nombre croissant des cyberattaques, elle impose à de nombreuses entreprises un changement de culture dans leur traitement de la cybersécurité et du signalement des incidents. Tour d’horizon.
Selon l’assureur Hiscox, plus d’une entreprise française sur deux a été touchée par une cyberattaque au cours de douze derniers mois. Et, dans le sillage de la guerre en Ukraine, ces attaques sont devenues omniprésentes dans certains secteurs : 89% des entreprises de l’énergie ou du secteur manufacturier auraient ainsi vu leurs opérations affectées par les cyberattaques en 2022.
Face à cette recrudescence, l’Union Européenne a souhaité réagir. En novembre 2022, le Parlement européen a ainsi adopté la directive NIS2, une directive donnant aux Etats-membres vingt-et-un mois pour imposer aux entreprises des secteurs-clé de l’économie un vaste éventail de mesures de protection. La transcription en droit français doit avoir lieu d’ici octobre 2024.
Plus de 20 000 entreprises concernées
Premier changement vis-à-vis des règles européennes antérieures, le nombre de secteurs considérés commes “critiques” et donc concernés par la directive connaît une forte hausse.
Au total, 35 secteurs d’activité sont désormais inclus, contre 19 dans la première directive SRI. Parmi ceux considérés comme “hautement critiques” figurent l’énergie, les services publics, l’énergie, le transport, les infrastructures numériques ou encore l’espace. De leur côté, l’alimentaire, la chimie, les déchets, les services postaux et certains domaines de fabrication comme l’automobile, le matériel médical ou l’électronique sont versés dans une nouvelle catégorie, les “autres secteurs critiques”.
Si les petites entreprises restent exclues du dispositif, les entreprises de plus de 50 salariés réalisant plus de 10 millions d’Euros de chiffres d’affaires peuvent désormais compter parmi les entités visées – soit plus de 20 000 entreprises françaises.
Mesures strictes et sanctions dissuasives
Ces entreprises se voient prescrire d’adopter sans attendre une approche “tous risques” pour renforcer leur protection contre les cyber-attaques. L’article 21 de la directive fixe notamment une série de mesures minimales, dont la tenue de plans de gestion des incidents, de gestion de crise et de continuité de l’activité, la formation des salariés ou encore l’adoption de mesures élémentaires de protection comme l’authentification à plusieurs facteurs.
En cas d’incident grave, les entreprises doivent en outre contacter très rapidement l’autorité compétente, soit l’ANSSI pour la France. Après avoir émis une alerte sous 24 heures, elles devront fournir une évaluation initiale de l’incident et de sa gravité dans les 72 heures, puis rédiger un rapport complet dans un délai d’un mois.
Pour faire respecter ces nouvelles règles, l’Union Européenne adopte deux sanctions dissuassives : des amendes lourdes qui pourront se chiffrer en millions d’Euros et une responsabilité directe du conseil d’administration et de la direction de l’entreprise, allant jusqu’aux sanctions personnelles en cas de manquement grave.
Un parcours de longue haleine
Première étape pour s’adapter à cette nouvelle donne : vérifier si l’on est concerné. Les annexes 1 et 2 de la directive fixent la liste détaillée des secteurs visés.
Si c’est le cas, la mise en conformité est un parcours de longue haleine. La deuxième étape est de prendre connaissance de l’ensemble des domaines visés par la directive et d’évaluer les pratiques actuelles de l’entreprise en la matière. Un audit est ici une étape essentielle pour évaluer les risques à couvrir, les mesures à prendre et les ressources que l’entreprise peut mobiliser.
Pour les entreprises industrielles, cet audit ne doit pas se limiter aux logiciels et matériels informatiques – les ordinateurs, téléphones ou serveurs – mais s’étendre à l’appareil de production, aux technologies opérationnels et à l’Internet des Objets, souvent plus vulnérables.
Seul impératif : ne pas tarder à prendre la mesure du problème. Même si, comme le note l’ANSSI, “tout dépend de l’état actuel du niveau de sécurité numérique de l’entité. Si certaines sont déjà bien avancées en la matière, pour d’autres, beaucoup reste à faire.” Pour ces dernières, le compte à rebours à déjà commencé.
Edgar Moreno
Expert en cybersécurité