Les cyberattaques et leurs conséquences associées, telles que les interruptions d’activités, comptent parmi les plus grands risques pour les entreprises depuis des années – dans le monde entier.

Les entreprises européennes doivent également de plus en plus s’armer contre les menaces provenant d’Internet. En Allemagne, 9 entreprises sur 10 signalent désormais des violations de données, des tentatives de sabotage ou des attaques d’espionnage. En conséquence, l’économie allemande subit des dommages de plusieurs centaines de milliards d’euros chaque année. Les compagnies d’assurance ne peuvent plus assumer seules le risque. Les assureurs cyber ont subi des pertes dans ce segment pour la première fois en 2022. Les assurés doivent donc être davantage tenus responsables.

Afin de pouvoir lutter contre les cybercriminels, l’Union européenne a adopté en 2016 une directive sur la garantie de la sécurité des réseaux et de l’information – SNI pour faire court. L’objectif de la directive (UE) 2016/1148 était de renforcer la cyber-résilience à travers l’UE. Les menaces pesant sur les réseaux et les systèmes d’information des services essentiels doivent être contenues. Cela visait à assurer la continuité des services, en particulier dans les secteurs clés, afin de ne pas nuire à l’économie et à la société.

Les premiers succès ont déjà été enregistrés. Les recherches ont montré que des progrès significatifs ont été réalisés dans le renforcement de la cyberrésilience. Cependant, il est également apparu clairement que la mise en œuvre des exigences de la directive (UE) 2016/1148 varie grandement selon les États membres de l’UE, ce qui signifie en fin de compte que le risque d’attaque est plus élevé pour certains États membres que pour d’autres. Dans le pire des cas, cependant, cette situation peut avoir des conséquences négatives pour l’ensemble de l’Union européenne. Il a donc été décidé de rendre les exigences minimales obligatoires pour tous les États membres. Ces mesures ont désormais été résumées dans une directive mise à jour sur les mesures pour un haut niveau commun de cybersécurité (NIS2 – (UE) 2022/2555 en abrégé) (Journal officiel de l’Union européenne).

En tant que fournisseur d’une approche à 365° de la cybersécurité, Perseus peut conseiller et soutenir activement les petites et moyennes entreprises, en particulier dans la mise en œuvre de la directive NIS 2 et des mesures qu’elle contient.

D’autres secteurs sont tenus responsables

La directive NIS 2 élargit le champ des entreprises qui doivent se conformer aux exigences minimales fixées. En plus des secteurs « essentiels », tels que Les fournisseurs d’énergie ou les entreprises de santé, des secteurs « importants » sont également impliqués. Cela inclut, par exemple : Prestataires de gestion des déchets ou de services postaux.

Voici la liste complète :

Essentiel :

• Énergie (électricité, pétrole, gaz, chauffage, hydrogène)
• Santé (Services publics, laboratoires, R&D, pharma)
• Transport (aérien, ferroviaire, eau, routier)
• Banques et marchés financiers
• Eau et eaux usées
• Les entreprises numériques (y compris les fournisseurs de points d’échange Internet (IXP), les fournisseurs de services DNS, les enregistrements de noms TLD,
• Fournisseurs de services de centres de données, fournisseurs de services d’informatique en nuage, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services de confiance)
• Gestion des services TIC, Espace, Administration publique

Important :

• Poste et messagerie
• Gestion des déchets
• Chimie
• Nutrition
• Industrie (technique et ingénierie)
• Services numériques (places de marché en ligne, moteurs de recherche en ligne, réseaux sociaux)
• Recherche

Les petites entreprises sont également confrontées à des difficultés

Une autre nouveauté est que ce ne sont pas seulement les entreprises et les grandes entreprises qui doivent démontrer les concepts de sécurité réseau et informatique. La règle dite de la « limite de taille » est introduite. En conséquence, les entreprises employant plus de 50 personnes, ayant un chiffre d’affaires annuel ou un bilan de plus de 10 millions d’euros, et opérant dans un secteur critique ou important devront désormais répondre à la demande (Infoguard.ch). C’est un changement par rapport aux directives précédentes.

La raison de cet élargissement est que les petites et moyennes entreprises représentent une part significative de l’économie dans tous les États membres de l’UE. Pour aggraver les choses, ces entreprises en particulier peinent à s’adapter à un monde plus connecté et de plus en plus numérisé. Les développements récents, tels que la pandémie de Covid-19, le passage au télétravail qui en a résulté, ainsi que l’utilisation accrue des services en ligne, ont encore aggravé la situation.

La faible sensibilisation à la cybersécurité, le manque de sécurité informatique et les coûts élevés des solutions de cybersécurité ne sont que quelques-uns des défis auxquels les petites et moyennes entreprises doivent être confrontées.

Négliger, retarder ou même ignorer ces problèmes n’est plus une option. La directive NIS2 doit être mise en œuvre par les États membres avant le 17 octobre 2024. La Commission doit ensuite examiner régulièrement le fonctionnement de la directive – pour la première fois d’ici le 17.10.2027.

Le NIS 2 appelle à des mesures concrètes pour la cybersécurité

Afin de mettre en œuvre les exigences minimales requises, l’UE spécifie un catalogue de mesures que les entreprises doivent suivre et qui sont surveillées par les autorités nationales. Ces mesures sont définies à l’article 21 de l’INN 2. L’objectif principal ici est de réduire les risques pour la sécurité informatique à long terme et de limiter l’impact au maximum. La mise en œuvre et la proportionnalité des mesures dépendent de certains paramètres de l’organisation : l’exposition au risque de l’entreprise, la taille de celle-ci et la probabilité qu’un incident de sécurité survienne – et, en fin de compte, la gravité de l’ampleur d’un incident cybernétique pour la société et l’économie.

Vous pouvez trouver un résumé des contenus les plus importants ici :

• Concepts d’évaluation des risques, d’analyse des risques et de sécurité de l’information
• Gestion de crise et gestion des incidents de sécurité
• Assurer les opérations commerciales (gestion de sauvegarde)
• Fourniture de concepts de sécurité d’accès
• Fourniture de concepts d’authentification multifactorielle et de communication chiffrée
• Mesures préventives (par exemple, procédures de base d’hygiène cybernétique et formation à la cybersécurité, sécurité du personnel)

Défis pour les entreprises concernées

Selon Handelsblatt , le fondateur de Hisolution, Tino Kob, considère que le premier défi est que de nombreuses entreprises ignorent même qu’elles sont concernées par la directive NIS 2. Selon son estimation, 40 000 entreprises supplémentaires seront désormais tenues responsables.

Les experts ne voient aucun obstacle majeur pour les grandes entreprises et organisations déjà affectées par la directive NIS de 2016. Ils estiment également que les entreprises ont déjà traité les questions de sécurité informatique et de cybersécurité grâce à des exigences de diligence raisonnable avant l’adoption de la directive NIS 2. Ce qui est différent aujourd’hui, c’est que cela doit être prouvé par des processus systématiquement mis en place (Handelsblatt).

Les experts de Perseus voient des problèmes dans l’intégration des exigences minimales, en particulier parmi les micro, petites et moyennes entreprises. Surtout, le manque de spécialistes informatiques peut entraîner un manque d’organes consultatifs pour soutenir le développement et la mise en œuvre des mesures requises, et laisser ces entreprises à leurs propres affaires. Si de nombreux aspects requis sont nouveaux ou pas encore pertinents dans l’organisation, il existe un risque que ces entreprises soient submergées.

D’autres obstacles, tels qu’un manque de ressources financières et humaines, peuvent également entraver la mise en œuvre de la directive NIS 2.

Perseus est le partenaire idéal pour les PME

Et c’est précisément là que Persée peut aider les entreprises. Le portefeuille de produits de cybersécurité de Perseus comprend de nombreuses mesures requises. Par exemple, la solution de prévention Perseus peut aider à former et sensibiliser les employés. Des directives élaborées sur des sujets tels que les concepts de sécurité des données, la gestion des autorisations, la gestion des correctifs et le travail mobile contribuent à la mise en œuvre des exigences en matière d’hygiène cybernétique.

Avec le Security Baseline Check, les entreprises peuvent vérifier le concept de sécurité de base de manière standardisée. Le Cyber Risk Dialogue fournit des analyses approfondies.

Et Perseus peut également soutenir des entreprises dans le domaine de la gestion des urgences. Un plan d’urgence personnalisable offre un aperçu de tous les processus et applications qui doivent être observés en cas d’urgence ou qui doivent être protégés séparément contre un incident. Le plan aide également à relancer rapidement les opérations commerciales – en cas de sinistre potentiel. En cas d’urgence cybernétique, l’équipe d’urgence Perseus aide également à gérer les dégâts. Ici, l’équipe est disponible pour ses clients 24h/24 et conseille également en cas de suspicion.