« Cybersécurité : ce que les PME européennes doivent savoir sur la directive NIS2 »[TRIBUNE de Magali Moreau, SHARP] De récentes études ont montré qu’à l’heure actuelle les PME sont de plus en plus exposées aux cyberattaques tandis qu’une récente étude de Sharp montre qu'un tiers des entreprises européennes ont été touchées par une attaque informatique. Dans ce cadre, la directive NIS2 va profondément modifier le comportement des entreprises concernant leur engament et leur réactivité en matière de cybersécurité. État des lieux par Magali Moreau, directrice marketing et communication chez Sharp Business Systems France. Face à la menace croissante des cyberattaques, l'Union européenne a mis en place plusieurs directives qui imposent aux entreprises d'optimiser leur cyberrésilience, c'est-à-dire leur capacité à prévenir les cyberincidents, à y résister et à les surmonter. La première de ces directives intitulée Sécurité des réseaux et de l'information (dite directive NIS), adoptée en 2016, visait à atteindre un niveau élevé de sécurité des réseaux et des systèmes d'information dans toutes les infrastructures. Aujourd’hui, la directive NIS2, entrée en vigueur en octobre de cette année, vise à renforcer la cyberrésilience collective de l'Union européenne en exigeant la mise en place d'une solide gestion des risques, de contrôles de sécurité et d'audits réguliers. Tout en autorisant une certaine souplesse au niveau national, NIS2 établit des normes de base en matière de cybersécurité à l'échelle européenne qui reflètent les standards et les meilleures pratiques mondiales. Ce qui devrait garantir un niveau plus élevé de préparation et de résilience contre les cyberincidents qui pourraient perturber le fonctionnement des services de première nécessité et des infrastructures critiques. De fait, NIS2 vise à atteindre cet objectif par l’intégration de normes et d’exigences plus strictes en matière de cybersécurité, y compris la mise en œuvre de politiques de cybersécurité, de plans de réponse aux incidents et d'évaluations régulières des risques. En outre, la directive élargit le champ d'application des règlements antérieurs en incluant davantage de secteurs et d'entités qu'elle juge impératifs et fondamentaux, tels que les secteurs de l'administration publique, de l'énergie, de la santé, des services IT, des services postaux et de messagerie, de la production et de la distribution de denrées alimentaires et de l'industrie manufacturière. Parallèlement à la prise en compte d’un plus grand nombre d’entreprises, NIS2 instaure aussi de nouvelles mesures de contrôle pour les petites entreprises. Les PME de plus de 50 salariés réalisant un chiffre d'affaires de plus de 10 millions d'euros sont ainsi soumises aux exigences renforcées de NIS2 en matière de cybersécurité. Les PME face à leur besoin de formation Afin que la directive soit un succès, quelle que soit leur taille, les entreprises européennes se doivent d’améliorer la sécurité des services IT à tous les niveaux. Une sécurité optimale ne peut être possible que si tous les appareils sont intégrés dans la stratégie de sécurité IT. Il s'agit non seulement des appareils principaux, mais aussi des dispositifs périphériques connectés. Les petites entreprises qui entrent dans le champ d'application de la directive NIS2 doivent donc prendre plusieurs mesures pour se préparer et se conformer aux nouvelles exigences. En premier lieu, les PME doivent faire appel à leur fournisseur d'assistance IT pour réaliser un audit complet des risques afin d'identifier les vulnérabilités et les menaces potentielles de cybersécurité. Ensuite, l'entreprise doit également examiner et actualiser les contrats, les accords de niveau de service et les autres documents pertinents afin de s'assurer qu'ils répondent aux exigences de la directive et qu'ils établissent avec clarté les responsabilités et les obligations en matière de cybersécurité. Une fois toutes les évaluations effectuées, il est enfin impératif d'élaborer et de mettre en œuvre des politiques et des procédures de cybersécurité dans l'ensemble de l'entreprise. Ces formalités doivent s'aligner sur les exigences de la directive NIS2, telles que les pratiques de gestion des risques, les protocoles de signalement des incidents et les mesures de sécurité pour les réseaux et les systèmes d'information. Ici, le défi pour les entreprises n'est pas seulement la mise en œuvre des mesures, mais aussi de continuer à effectuer des contrôles réguliers, que ce soit sous la forme d'analyses de vulnérabilité, d'évaluations de sécurité, de tests d’intrusion ou de simulations de cyberattaques. Des compétences technologiques fondamentale à acquérir Les cybermenaces sont souvent considérées comme des phénomènes extérieurs à l'entreprise. Cependant, il est important de comprendre que la plupart des atteintes à la sécurité informatique sont principalement dues à des erreurs humaines plutôt qu'à des défaillances technologiques. Par conséquent, même si une entreprise tente de rendre la technologie aussi sûre que possible, si les salariés ne comprennent pas comment et pourquoi la sécurité est nécessaire, les politiques mises en place seront vaines. A ce niveau, la formation régulière des salariés à la cybersécurité et à la sensibilisation est donc un élément fondamental pour les entreprises. Cette formation permettra au personnel de comprendre la nécessité de la cybersécurité et de suivre les meilleures pratiques pour protéger les informations et les systèmes sensibles. En prenant des mesures proactives pour s'assurer que la cybersécurité est une priorité et s'aligne sur les exigences du NIS2, les PME peuvent mieux se protéger contre les cybermenaces, assurer la continuité des activités et éviter les amendes ou pénalités potentielles en cas de non-conformité. |