Cybersécurité : l’UE renforce à juste titre ses exigences envers les entreprises et le secteur public

En 2018, l’entrée en vigueur de la Directive NIS (Network and Information System Security) fixait des obligations de cybersécurité aux Opérateurs de Services Essentiels au sein de l’UE. En 2022, NIS-2 élargit nettement le champ des entités concernées et fixe des obligations de protection et de déclaration d’incidents qui contribueront à hausser la sécurité collective. Explications.

Partager
Cybersécurité : l’UE renforce à juste titre ses exigences envers les entreprises et le secteur public

La législation ne peut pas tout, certes. Mais elle permet de fixer des cahiers des charges, des régimes de responsabilité et un agenda de déploiement de dispositions qui sans elle resteraient trop souvent à l’état de concepts théoriques. Cette 2ème version de la Directive NIS illustre précisément la contribution vertueuse de l’approche normative. En effet, si la V1 adoptée en 2016 a établi les obligations de sécurisation qui s’imposent désormais aux gestionnaires d’infrastructures critiques, les Opérateurs de Services Essentiels, cette nouvelle mouture est plus qu’une simple mise à jour.

Plus de cybersécurité pour plus d’entités privées et publiques

Pour commencer, elle s’appliquera à plus de 150 000 entreprises contre quelques centaines aujourd’hui. Au-delà de la douzaine de secteurs d’activités préalablement définis comme le traitement de l’eau, l’énergie, les télécommunications, l’alimentation ou les services financiers, des domaines supplémentaires sont concernés tels la gestion des déchets, la grande distribution, les services postaux, les fournisseurs d’accès à internet, les prestataires de datacenters, les secteurs de l’espace et de la recherche ou les entreprises de services numériques (ESN). Même les collectivités locales, avec une modulation laissée à chaque Etat membre, sont désormais incluses dans le champ de la directive. Assez logiquement, les administrations publiques sont officiellement déclarées comme relevant de ce dispositif plus exigeant.

Cette systématisation de la sécurité numérique contribue à envisager la protection de chaînes économiques prises dans leur globalité, afin de limiter l’action des attaquants qui exploitaient les faiblesses d’entités connectées à de grands donneurs d’ordres mais non soumises aux mêmes exigences en matière de cybersécurité. Soient autant de possibles points d’entrée.

renforcement de la coopération

Cette généralisation de la prise en compte de la sécurité s’accompagne d’un renforcement des actions de coopération. Pour partager l’information et l’expertise en cas de cyberattaque, notamment. C’est le rôle du réseau CyCLONe (Cyber Crisis Liaison Organisation Network), dont la mission est de préparer les États membres à la gestion des crises cyber. Cette logique de coopération accrue entre les 27 est bienvenue alors que la cyberdéfense se conçoit encore trop souvent nationalement avec une intégration a minima au sein de task forces communes.

Autre apport de cette nouvelle directive : l’extension de l’obligation de déclaration d’incident dès lors qu’il est susceptible de causer des dommages opérationnels ou financiers importants (ce qui de fait intègre les incidents potentiels). Elle précise en outre les modalités de notification desdits incidents, en termes de délai de signalement et de nature des informations à fournir. Le texte impose la désignation d’équipes ad hoc pour procéder à ces relevés.

une condition nécessaire de la résilience

Plus qu’une rupture doctrinale, cette version révisée de NIS est donc avant tout inspirée par l’apprentissage des dernières années pour rendre plus efficace la protection de nos sociétés de plus en plus dépendantes des systèmes d’information. Certainement vues comme des contraintes par des gestionnaires court-termistes, ces dispositions plus exigeantes conditionnent la robustesse et la résilience de nos organisations numérisées et interconnectées.

La durabilité et la prospérité de l’économie européenne fondée sur la performance numérique et la valorisation des données sont à ce prix. En attendant une inévitable future NIS 3 née de l’expérience opérationnelle des années à venir.

Liens utiles :


Nicolas Arpagian, Directeur de la stratégie en cybersécurité de Trend Micro.
Auteur de "La Cybersécurité", Presses Universitaires de France (2022).



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS