Recherche
S'abonner à la newsletter S'abonner au magazine

Ce que les PME européennes doivent savoir sur la directive NIS2

Publié par le | Mis à jour le
Ce que les PME européennes doivent savoir sur la directive NIS2

Les entreprises contemporaines prospèrent grâce au numérique. Qu'il s'agisse d'échanger des courriels, de participer à des réunions, de travailler sur des réseaux Wi-Fi ouverts ou d'effectuer des partages de documents, le monde est connecté et ouvert aux échanges. C'est pourquoi aujourd'hui les PME sont davantage exposées aux cyberattaques.

Je m'abonne
  • Imprimer

Des études ont montré que les petites entreprises sont plus fréquemment les cibles de la cybercriminalité, tandis qu'une récente étude de Sharp montre qu'un tiers (33 %) des entreprises européennes ont été touchées par une attaque informatique.

Face à la menace croissante des cyberattaques, l'Union européenne a mis en place plusieurs directives qui imposent aux entreprises d'optimiser leur cyber-résilience, c'est-à-dire leur capacité à prévenir les cyberincidents, à y résister et à les surmonter. La première de ces directives, la directive « Sécurité des réseaux et de l'information » (dite « directive NIS »), adoptée en 2016, visait à atteindre un niveau élevé de sécurité des réseaux et des systèmes d'information dans toutes les infrastructures.

La directive NIS2, qui entrera en vigueur très prochainement, vise à renforcer la cyber-résilience collective de l'UE en exigeant la mise en place d'une solide gestion des risques, de contrôles de sécurité et d'audits réguliers. Tout en autorisant une certaine souplesse au niveau national, NIS2 établit des normes de base en matière de cybersécurité à l'échelle de l'UE qui reflètent les standards et les meilleures pratiques mondiales. Cela garantirait un niveau plus élevé de préparation et de résilience contre les cyberincidents qui pourraient perturber le fonctionnement des services de première nécessité et des infrastructures critiques.

NIS2 vise à atteindre cet objectif par l'intégration de normes et d'exigences plus strictes en matière de cybersécurité pour les entreprises, y compris la mise en oeuvre de politiques de cybersécurité, de plans de réponse aux incidents et d'évaluations régulières des risques. Elle impose également des obligations plus strictes en matière de gestion des risques et d'établissement de rapports, obligeant les entreprises à prendre des mesures appropriées pour gérer les risques liés à la cybersécurité et à signaler les cyberincidents importants aux autorités nationales.

En outre, elle élargit le champ d'application des règlements antérieurs en incluant davantage de secteurs et d'entités qu'elle juge impératifs et fondamentaux, tels que les secteurs de l'administration publique, de l'énergie, de la santé, des services IT, des services postaux et de messagerie, de la production et de la distribution de denrées alimentaires et de l'industrie manufacturière.

Parallèlement à la prise en compte d'un plus grand nombre d'entreprises, NIS2 instaure de nouvelles mesures de contrôle pour les petites entreprises. Les PME de plus de 50 salariés réalisant un chiffre d'affaires de plus de 10 millions d'euros sont soumises aux exigences renforcées de NIS2 en matière de cybersécurité.

Les PME et le besoin de formation

Pour que la directive soit un succès, quelle que soit leur taille, les entreprises européennes se doivent d'améliorer la sécurité des services IT à tous les niveaux. Une sécurité optimale ne peut être possible que si tous les appareils sont intégrés dans la stratégie de sécurité IT. Il s'agit non seulement des appareils principaux, mais aussi des dispositifs périphériques. C'est un aspect qui s'applique de plus en plus aux imprimantes multifonctions (MFP), dont la sécurité est encore négligée par la plupart des entreprises, comme l'a montré une étude récente de Sharp selon laquelle 19 % des PME européennes ont été touchées par une atteinte à la sécurité de leurs imprimantes.

Les petites entreprises qui entrent dans le champ d'application de la directive NIS2 doivent prendre plusieurs mesures pour se préparer et se conformer aux nouvelles exigences. En premier lieu, les PME doivent faire appel à leur fournisseur d'assistance IT pour réaliser un audit complet des risques afin d'identifier les vulnérabilités et les menaces potentielles de cybersécurité, ainsi que les aspects à améliorer dans l'ensemble de l'entreprise.

L'entreprise doit également examiner et actualiser les contrats, les accords de niveau de service et les autres documents pertinents afin de s'assurer qu'ils répondent aux exigences de la directive et qu'ils établissent avec clarté les responsabilités et les obligations en matière de cybersécurité.

Une fois toutes les évaluations effectuées, il est impératif d'élaborer et de mettre en oeuvre des politiques et des procédures de cybersécurité dans l'ensemble de l'entreprise. Ces formalités doivent s'aligner sur les exigences de la directive NIS2, telles que les pratiques de gestion des risques, les protocoles de signalement des incidents et les mesures de sécurité pour les réseaux et les systèmes d'information.

Le défi pour les entreprises n'est pas seulement la mise en oeuvre des mesures, mais aussi de continuer à effectuer des contrôles réguliers, que ce soit sous la forme d'analyses de vulnérabilité, d'évaluations de sécurité, de tests d'intrusion ou de simulations de cyberattaques.

La compétence technologique est fondamentale

Les cybermenaces sont souvent considérées comme des phénomènes extérieurs à l'entreprise. Cependant, il est important de comprendre que la plupart des atteintes à la sécurité informatique sont principalement dues à des erreurs humaines plutôt qu'à des défaillances technologiques. Par conséquent, même si une entreprise tente de rendre la technologie aussi sûre que possible, si les salariés ne comprennent pas comment et pourquoi la sécurité est nécessaire, les politiques mises en place seront vaines.

La formation régulière des salariés à la cybersécurité et à la sensibilisation est donc un élément fondamental pour les entreprises, quelle que soit leur taille. Cette formation permettra au personnel de comprendre la nécessité de la cybersécurité et de suivre les meilleures pratiques pour protéger les informations et les systèmes sensibles.

En prenant des mesures proactives pour s'assurer que la cybersécurité est une priorité et s'aligne sur les exigences du NIS2, les PME peuvent mieux se protéger contre les cybermenaces, assurer la continuité des activités et éviter les amendes ou pénalités potentielles en cas de non-conformité.


Magali Moreau est Directrice Marketing et Communication chez Sharp Business Systems France. En charge des services marketing, communication et formation au sein du Groupe, elle encadre une équipe de 10 personnes. Avant cela, elle avait occupé pendant près de trois années le poste de Responsable Marketing France et Europe du Sud. Avant d'intégrer Sharp en 2017, Magali Moreau a évolué pendant plus de huit ans à divers postes chez Ricoh France, entreprise japonaise de bureautique et solutions documentaires, ce qui lui vaut une expérience et une expertise solides sur le marché des copieurs. Diplômée d'un Master en marketing et communication obtenu à l'ESG Paris en 2008, Magali Moreau a également bâti ses compétences en marketing grâce à son poste de Responsable Marketing Service au sein de la division médicale chez Olympus.


 
Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Chef d'Entreprise Newsletter

Artisans Newsletter

Commerce Newsletter

Event

Event

Event

Les Podcasts de Chef d'Entreprise

Lifestyle Chef d'Entreprise

Artisans Offres Commerciales

Chef d'Entreprise Offres Commerciales

Commerce Offres Commerciales

Good News by Netmedia Group

La rédaction vous recommande

Retour haut de page