Deux
réglementations s’appliqueront dès cette année à certaines entreprises. L’une,
NIS 2, entend renforcer la cybersécurité des entreprises considérées sensibles
en termes de données personnelles, l’autre, DORA, complète la première, en
s’appliquant aux entreprises financières.
Sus
aux pirates informatiques. Dans les prochains mois, deux réglementations
européennes sur la cybersécurité des entreprises, NIS 2 et DORA, entreront en
vigueur. Objectif : prévenir les risques de vols de données dans un
contexte de sophistication accrue des cyberattaques et de multiplication des ingérences
étrangères.
L’objectif
affiché par la réglementation Network and Information Security 2 (NIS 2)
est de renforcer la précédente mouture du texte, en vigueur depuis 2018. Votée
en novembre 2022, la directive est actuellement peaufinée par les parlements
des États membres et devra être mise en application à partir d'octobre 2024.
Les entreprises concernées ont donc quelques mois pour se mettre à niveau.
Qui
est concerné par NIS 2 ?
Pour
définir les entreprises auxquelles elle s’applique, NIS 2 raisonne en secteurs
d’activité, en effectif et en chiffre d'affaires. Les secteurs concernés sont nombreux. La liste comprend
les structures déjà listées dans la première directive NIS et l’étend le
champ d’application à de nouveaux domaines : énergie, transports, assurance,
banques, spatial, agro-alimentaire, technologies de l’information, sécurité, etc.
Les
entreprises de ces secteurs sont catégorisées en entités essentielles (EE) ou entités
importantes (EI). Les grandes entreprises, c’est-à-dire celles qui emploient plus
de 250 personnes ou ont un chiffre d'affaires supérieur à 50 millions d'euros,
ainsi que toutes les infrastructures numériques, les services d'information et
de communication pour les entreprises, toutes les administrations publiques,
quels que soient leur taille et leur niveau (local ou régional), sont des entités
essentielles.
Les
moyennes entreprises de 50 à 250 employés et un chiffre d'affaires entre 10 et
50 millions d'euros sont des entités importantes. Par conséquent, les entreprises concernées par
cette directive seront donc plus nombreuses, passant d’environ 300 structures
classées comme « opérateurs de services essentiels », autrement dit
les secteurs hautement critiques répertoriés dans NIS 1, à 20 000 EE et
EI potentiellement sommées de respecter NIS 2.
Ces
dernières gagneront à demander aux sous-traitants qui leur fournissent des
produits et des services d’adapter leur niveau de cybersécurité aux mesures
nouvellement mises en place. Les petites entreprises, dotées de moins de 50
employés et d’un chiffre d'affaires inférieur à 10 millions d'euros, bien que
non soumises à NIS 2, gagnent à s’y conformer si elles offrent des prestations
à des entreprises EI ou EE.
L’exigence élémentaire : l’hygiène numérique
En 2021, le Sénat estimait dans un rapport d'information que
« 80 %
des risques cyber seraient liés à l'humain et 90 % d’entre eux proviennent
d'un mail frauduleux, appelé hameçonnage ou phishing ». L’hygiène numérique suffit donc à s’en prémunir.
Elle est la première brique d’une
démarche de cybersécurité, avec quelques actions essentielles à intégrer au
quotidien : faire attention aux données diffusées en ligne ou non, utiliser un antivirus, faire
des sauvegardes régulières, choisir un mot de passe solide, ne pas mélanger les
interfaces et cloud professionnels et personnels, ajuster ses paramètres de
confidentialité sur les réseaux sociaux, identifier les mails frauduleux, avoir
une procédure concernant la création de comptes pour les nouveaux entrants dans
l’entreprise et leur fermeture en cas de départ... L’ensemble des collaborateurs
doivent appliquer ces principes.
NIS 2 entend aller plus loin. La directive met
en place une approche préventive et proactive plutôt que réactive a posteriori.
Il s’agit d’une part d’anticiper les attaques et les risques en créant un cadre
solide, mais aussi de gérer au plus vite l’attaque lorsqu’elle advient. Cela se concrétise légalement en 12 entrées, dans les articles
20 sur la gouvernance et 21 sur la prévention et l’analyse des risques.
Parmi les points clefs de ces
dispositifs se trouve la formation des membres des comités directeurs des entreprises
essentielles (art. 20.2). Ces derniers sont considérés comme responsables de la
cybersécurité. Ceux des entreprises importantes
sont encouragés à se former également, ainsi que tout rôle clef dans
l’entreprise (informatique, juridique et RH).
La directive impose également d’adopter
une approche tous risques pour anticiper et gérer les
risques concernant la sécurité des réseaux et des systèmes d’information, puis
pour amenuir voire supprimer les conséquences d’un éventuel incident (article
21.1 et 21.2). Un protocole doit par exemple être mis en place pour assurer une
continuité des activités (article 21.2.c).
Les
incidents devront être déclarés auprès de l’Agence nationale de
la sécurité des systèmes (ANSSI) d'information dans les 72 heures, et un
protocole devra être instauré pour évaluer, répondre et se remettre de
l’attaque.
Quelles sont les sanctions en cas de
non-respect ?
NIS
2 engage la responsabilité de la direction (à travers le président et le
COMEX). En cas de non-respect de la NIS 2, les entreprises essentielles s’exposent
à des sanctions financières pouvant atteindre 10 millions d'euros ou 2% du chiffre
d’affaires mondial, voire à la suspension et l’interdiction d’exercer pour les
dirigeants. Quant aux entreprises importantes, les sanctions encourues sont de
l’ordre de 7 millions d'euros ou 1,4% du chiffre d'affaires mondial total.
Toutefois, elles ne sont pas sujettes à une interdiction d'exercice pour leurs
dirigeants.
Concrètement, comment appliquer NIS-2 ?
La première
étape pour l’entreprise est d’identifier si elle est concernée. Si oui, elle
doit se déclarer à l’ANSSI, qui fait figure de référence et d’autorité dans la
mise en place des règlements numériques (et propose par ailleurs un guide d'hygiène numérique).
Les
entreprises entrantes commenceront par une démarche évaluative de leur système
informatique (SI) puis établiront une cartographie des rôles présents dans la
société. Quels usages informatiques pour chaque poste ? Quel impact sur
l’activité globale ? A quel point est-il concerné par NIS 2 et quel
sera son besoin de formation pour comprendre et appliquer le règlement ? Ensuite,
il convient d’évaluer la maturité en cybersécurité et d’élaborer une feuille de
route de mise en conformité.
Pour les
entreprises financières, DORA
Également adopté par l’UE
en novembre 2022, le Digital
Operational Resilience Act (DORA) - règlement (UE) 2022/2554 et
directive (UE) 2022/2256 - doit être mis en œuvre par les entreprises financières
à l’échéance (maximum) de janvier 2025. Comme son nom l’indique, il s’oriente
autour de la notion de résilience opérationnelle numérique.
Si NIS 2 entend rehausser
le niveau de cybersécurité dans l’UE, DORA entend faire en sorte que les
entreprises financières soient en mesure de rejeter les tentatives de cyberattaques.
Les textes sont donc complémentaires. Si DORA est considéré lex specialis
(la loi spécifique prime sur la loi généraliste) de NIS 2, les entreprises
concernées par les deux réglementations doivent les respecter chacune.
DORA s’applique aux
entités financières,
des établissements de crédit ou de paiement aux prestataires de services d’information
sur les comptes, en passant par les assureurs, les sociétés de gestion, les
agences de notation de crédit, les services de financement participatif, etc.
Quels sont les points clefs de DORA ?
L’essentiel du règlement concerne la prévention et la gestion des
risques. L’établissement financier doit assumer et déclarer les incidents
techniques numériques, qu’ils soient de sa responsabilité ou de celle d’une
entreprise prestataire de technologies de l’information et de communication.
L’entreprise est soumise à une exigence consistant
à collecter, diffuser les informations au sujet des incidents et documenter ces
derniers. Cette documentation doit être accessible pour les autorités de
régulation en cas de contrôle. DORA invite les établissements financiers à
communiquer entre eux au sujet des cybermenaces repérées et à les signaler aux
autorités de régulation.
Un autre point clef est la mise en place
annuelle de tests de résilience opérationnelle numérique. Concrètement, il
s’agit de simuler des cyberattaques factices et de tester la résistance des
systèmes et applications, pour évaluer et réajuster au besoin.
En sus, les entreprises concernées doivent
anticiper pour assurer la continuité des activités, en établissant des
processus à appliquer en cas de perturbation. Cela inclut, entre autres, la
mise en place de systèmes et serveurs de sauvegarde différenciés et de canaux
de communication alternatifs pour pourvoir continuer à échanger.
Quelles sanctions en cas de non-respect ?
Le règlement DORA laisse aux États membres le soin de définir les
sanctions. Des pénalités financières ou des déclarations publiques indiquant
les manquements légaux sont envisagées en cas de non-conformité. Les
autorités financières seront chargées du contrôle, notamment l’Autorité de contrôle des assurances et des mutuelles
(ACAM) et l’Autorité des marchés financiers (AMF).
Les établissements financiers concernés étaient
déjà soumis, en fonction de leur secteur, à des directives telles que CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2,
AIFM… La nouvelle directive les place dans le sillage du règlement DORA qui
prend donc le pas sur ces dernières. Néanmoins déjà habituées aux précédentes
législations, les entreprises ont des clefs pour appréhender DORA. Il est
recommandé de faire un audit ou un état des lieux afin d’évaluer les besoins et
d’établir une feuille de route qui comprendra la formation des salariés et une
remise à niveau des systèmes informatiques.
Stéphanie
Thiriet