Cybersécurité : les solutions managées à la rescousse des entreprises pas encore conformes à NIS 2
Face à la montée fulgurante de la cybercriminalité et à l’évolution constante des cybermenaces, les États et les organisations internationales redoublent d’efforts pour imposer des moyens techniques et législatifs robustes. C’est dans ce contexte que l’Union européenne (UE) a dévoilé en décembre 2022 la version actualisée de sa directive pour la Sécurité des réseaux et de l’information (SRI 2, également connue sous le nom de NIS 2), destinée à fortifier les défenses cyber des entreprises européennes et à minimiser l’impact des incidents sur les utilisateurs.
Cependant, cette nouvelle réglementation présente un double enjeu. En effet, si elle renforce la cybersécurité, elle impose également des exigences supplémentaires aux “entités essentielles et importantes” et étend le champ d’application de la directive à de nouveaux secteurs industriels. D’ici au 17 octobre 2024, les entreprises concernées doivent impérativement se conformer à ces nouvelles exigences. À cette date, les États membres de l’UE devront avoir adopté les exigences techniques et méthodologiques de la directive, entraînant l’abrogation de NIS 1.
Par ailleurs, cette échéance marque la transposition de la directive dans la législation française. L’introduction de ces nouvelles obligations et des nouveaux mécanismes d’application oblige les organisations concernées à revoir leurs stratégies et outils de cybersécurité pour garantir leur conformité.
Un nouveau chapitre pour la cybersécurité en Europe
Avec NIS 2, l’Union européenne marque un tournant décisif par rapport à la directive de 2016. En effet, cette nouvelle version étend considérablement la portée et l’application de la réglementation, touchant désormais 18 secteurs d’activité, tant publics que privés.
La directive élargit largement son champ d’application en renforçant les exigences non seulement pour les secteurs clés comme l’énergie, la santé, les transports et les infrastructures financières, mais aussi pour de nouveaux domaines tels que les services postaux, la gestion des déchets, la fabrication et la distribution de produits critiques, ainsi que les services TIC et certains fournisseurs de solutions numériques. Les organisations sont désormais classées en deux catégories : « entités essentielles » (administrations publiques et fournisseurs de services de communication) et « entités importantes » (organisations jugées cruciales par les États membres).
Elle introduit également une catégorie distincte : les « infrastructures numériques ». Chacune des trois catégories d’entités définies par NIS 2 est déterminée en fonction de la taille des entreprises, prenant en compte le nombre d’employés et le montant de leur bilan annuel. Plus précisément, la directive cible les entreprises comptant 50 employés ou plus, ou celles dont le bilan ou le chiffre d’affaires dépasse 10 millions d’euros. Cependant, elle s’applique également à d’autres acteurs, indépendamment de leur taille. Par ailleurs, les entreprises concernées doivent impérativement intégrer des mesures de sécurité pour leur chaîne d’approvisionnement en aval.
Pour ces nouvelles entités visées par la directive, notamment les entreprises de taille intermédiaire (ETI), la cybersécurité peut représenter un défi majeur. Nombre d’entre elles ne disposent pas encore des solutions ou des politiques nécessaires pour répondre aux exigences de NIS 2. Face à la diversité croissante des offres et des solutions disponibles sur le marché, certaines pourraient se retrouver désemparées, ne sachant pas quel choix faire pour assurer leur conformité. Dans ce contexte complexe, les solutions de cybersécurité managées pourraient bien offrir une réponse adaptée.
Quand la cybersécurité se met au service de ses clients
Les défis ne s’arrêtent pas à la mise en conformité avec la directive NIS 2. Les entreprises doivent également faire face à des contraintes budgétaires et à une pénurie de talents en cybersécurité. Une étude de l’ISC2 a révélé qu’en 2023, la pénurie de main-d’œuvre dans ce secteur avait atteint un record de 4 millions de personnes, malgré une augmentation de près de 10 % des effectifs au cours de l’année écoulée.
Or, NIS 2 exigera des organisations qu’elles mettent en place des politiques d’analyse du risque, des formations pour leurs collaborateurs, et une meilleure gestion des incidents, ce qui pourrait surcharger les équipes de cybersécurité existantes. Selon Gartner, près de la moitié des responsables de la sécurité devraient changer d’emploi d’ici à 2025, dont 25 % pour des rôles différents, en raison du stress.
Face à ces défis, les organisations devraient privilégier des solutions offrant gain de temps et sérénité, comme celles « as-a-Service ». Ces solutions combinent technologie et expertise humaine, permettant aux entreprises de disposer d’une équipe d’experts en détection des menaces 24h/24 et 7j/7. La technologie de détection, alliant automatisation et intégration, permet de recevoir des alertes de sécurité pour les événements les plus critiques, réduisant les faux positifs. L’équipe de cybersécurité interne n’a plus qu’à se charger de la remédiation.
En adoptant des solutions de cybersécurité managées, les entreprises peuvent non seulement renforcer leur niveau de sécurité pour se conformer à la directive NIS 2, mais aussi répondre efficacement aux exigences de signalement des incidents aux autorités de régulation, évitant ainsi des amendes pouvant atteindre 2 % du chiffre d’affaires annuel.
Opter pour une solution managée par des équipes de spécialistes pourrait offrir aux entreprises une approche plus sereine pour se conformer à la nouvelle réglementation. Cette décision ne se limite pas aux seuls directeurs techniques et RSSI ; elle engage également l’ensemble des décisionnaires de l’entreprise. En effet, avec l’entrée en vigueur de la directive NIS 2, ces décideurs pourraient désormais se voir tenus personnellement responsables en cas de violations de cybersécurité ou d’incidents informatiques, ce qui pourrait entraîner des sanctions individuelles.
Par Bruno Durand, Vice-président des ventes pour l’Europe du Sud, Sophos