Ce que les PME européennes doivent savoir sur la directive NIS2

Les entreprises contemporaines prospèrent grâce au numérique. Qu'il s'agisse d'échanger des courriels, de participer à des réunions, de travailler sur des réseaux Wi-Fi ouverts ou d'effectuer des partages de documents, le monde est connecté et ouvert aux échanges. C'est pourquoi aujourd'hui les PME sont davantage exposées aux cyberattaques.

Des études ont montré que les petites entreprises sont plus fréquemment les cibles de la cybercriminalité, tandis qu'une récente étude de Sharp montre qu'un tiers (33 %) des entreprises européennes ont été touchées par une attaque informatique.

Face à la menace croissante des cyberattaques, l'Union européenne a mis en place plusieurs directives qui imposent aux entreprises d'optimiser leur cyber-résilience, c'est-à-dire leur capacité à prévenir les cyberincidents, à y résister et à les surmonter. La première de ces directives, la directive « Sécurité des réseaux et de l'information » (dite « directive NIS »), adoptée en 2016, visait à atteindre un niveau élevé de sécurité des réseaux et des systèmes d'information dans toutes les infrastructures.

La directive NIS2, qui entrera en vigueur très prochainement, vise à renforcer la cyber-résilience collective de l'UE en exigeant la mise en place d'une solide gestion des risques, de contrôles de sécurité et d'audits réguliers. Tout en autorisant une certaine souplesse au niveau national, NIS2 établit des normes de base en matière de cybersécurité à l'échelle de l'UE qui reflètent les standards et les meilleures pratiques mondiales. Cela garantirait un niveau plus élevé de préparation et de résilience contre les cyberincidents qui pourraient perturber le fonctionnement des services de première nécessité et des infrastructures critiques.

NIS2 vise à atteindre cet objectif par l'intégration de normes et d'exigences plus strictes en matière de cybersécurité pour les entreprises, y compris la mise en oeuvre de politiques de cybersécurité, de plans de réponse aux incidents et d'évaluations régulières des risques. Elle impose également des obligations plus strictes en matière de gestion des risques et d'établissement de rapports, obligeant les entreprises à prendre des mesures appropriées pour gérer les risques liés à la cybersécurité et à signaler les cyberincidents importants aux autorités nationales.

En outre, elle élargit le champ d'application des règlements antérieurs en incluant davantage de secteurs et d'entités qu'elle juge impératifs et fondamentaux, tels que les secteurs de l'administration publique, de l'énergie, de la santé, des services IT, des services postaux et de messagerie, de la production et de la distribution de denrées alimentaires et de l'industrie manufacturière.

Parallèlement à la prise en compte d'un plus grand nombre d'entreprises, NIS2 instaure de nouvelles mesures de contrôle pour les petites entreprises. Les PME de plus de 50 salariés réalisant un chiffre d'affaires de plus de 10 millions d'euros sont soumises aux exigences renforcées de NIS2 en matière de cybersécurité.

Les PME et le besoin de formation

Pour que la directive soit un succès, quelle que soit leur taille, les entreprises européennes se doivent d'améliorer la sécurité des services IT à tous les niveaux. Une sécurité optimale ne peut être possible que si tous les appareils sont intégrés dans la stratégie de sécurité IT. Il s'agit non seulement des appareils principaux, mais aussi des dispositifs périphériques. C'est un aspect qui s'applique de plus en plus aux imprimantes multifonctions (MFP), dont la sécurité est encore négligée par la plupart des entreprises, comme l'a montré une étude récente de Sharp selon laquelle 19 % des PME européennes ont été touchées par une atteinte à la sécurité de leurs imprimantes.

Les petites entreprises qui entrent dans le champ d'application de la directive NIS2 doivent prendre plusieurs mesures pour se préparer et se conformer aux nouvelles exigences. En premier lieu, les PME doivent faire appel à leur fournisseur d'assistance IT pour réaliser un audit complet des risques afin d'identifier les vulnérabilités et les menaces potentielles de cybersécurité, ainsi que les aspects à améliorer dans l'ensemble de l'entreprise.

L'entreprise doit également examiner et actualiser les contrats, les accords de niveau de service et les autres documents pertinents afin de s'assurer qu'ils répondent aux exigences de la directive et qu'ils établissent avec clarté les responsabilités et les obligations en matière de cybersécurité.

Une fois toutes les évaluations effectuées, il est impératif d'élaborer et de mettre en oeuvre des politiques et des procédures de cybersécurité dans l'ensemble de l'entreprise. Ces formalités doivent s'aligner sur les exigences de la directive NIS2, telles que les pratiques de gestion des risques, les protocoles de signalement des incidents et les mesures de sécurité pour les réseaux et les systèmes d'information.

Le défi pour les entreprises n'est pas seulement la mise en oeuvre des mesures, mais aussi de continuer à effectuer des contrôles réguliers, que ce soit sous la forme d'analyses de vulnérabilité, d'évaluations de sécurité, de tests d'intrusion ou de simulations de cyberattaques.

La compétence technologique est fondamentale

Les cybermenaces sont souvent considérées comme des phénomènes extérieurs à l'entreprise. Cependant, il est important de comprendre que la plupart des atteintes à la sécurité informatique sont principalement dues à des erreurs humaines plutôt qu'à des défaillances technologiques. Par conséquent, même si une entreprise tente de rendre la technologie aussi sûre que possible, si les salariés ne comprennent pas comment et pourquoi la sécurité est nécessaire, les politiques mises en place seront vaines.

La formation régulière des salariés à la cybersécurité et à la sensibilisation est donc un élément fondamental pour les entreprises, quelle que soit leur taille. Cette formation permettra au personnel de comprendre la nécessité de la cybersécurité et de suivre les meilleures pratiques pour protéger les informations et les systèmes sensibles.

En prenant des mesures proactives pour s'assurer que la cybersécurité est une priorité et s'aligne sur les exigences du NIS2, les PME peuvent mieux se protéger contre les cybermenaces, assurer la continuité des activités et éviter les amendes ou pénalités potentielles en cas de non-conformité.