Que faut-il savoir sur les législations NIS 2 et DORA qui renforcent la cybersécurité en entreprise ?

Sus aux pirates informatiques. Dans les prochains mois, deux réglementations européennes sur la cybersécurité des entreprises, NIS 2 et DORA, entreront en vigueur. Objectif : prévenir les risques de vols de données dans un contexte de sophistication accrue des cyberattaques et de multiplication des ingérences étrangères.

L’objectif affiché par la réglementation Network and Information Security 2 (NIS 2) est de renforcer la précédente mouture du texte, en vigueur depuis 2018. Votée en novembre 2022, la directive est actuellement peaufinée par les parlements des États membres et devra être mise en application à partir d'octobre 2024. Les entreprises concernées ont donc quelques mois pour se mettre à niveau.

Qui est concerné par NIS 2 ?

Pour définir les entreprises auxquelles elle s’applique, NIS 2 raisonne en secteurs d’activité, en effectif et en chiffre d'affaires. Les secteurs concernés sont nombreux. La liste comprend les structures déjà listées dans la première directive NIS et l’étend le champ d’application à de nouveaux domaines : énergie, transports, assurance, banques, spatial, agro-alimentaire, technologies de l’information, sécurité, etc.

Les entreprises de ces secteurs sont catégorisées en entités essentielles (EE) ou entités importantes (EI). Les grandes entreprises, c’est-à-dire celles qui emploient plus de 250 personnes ou ont un chiffre d'affaires supérieur à 50 millions d'euros, ainsi que toutes les infrastructures numériques, les services d'information et de communication pour les entreprises, toutes les administrations publiques, quels que soient leur taille et leur niveau (local ou régional), sont des entités essentielles.

Les moyennes entreprises de 50 à 250 employés et un chiffre d'affaires entre 10 et 50 millions d'euros sont des entités importantes. Par conséquent, les entreprises concernées par cette directive seront donc plus nombreuses, passant d’environ 300 structures classées comme « opérateurs de services essentiels », autrement dit les secteurs hautement critiques répertoriés dans NIS 1, à 20 000 EE et EI potentiellement sommées de respecter NIS 2.

Ces dernières gagneront à demander aux sous-traitants qui leur fournissent des produits et des services d’adapter leur niveau de cybersécurité aux mesures nouvellement mises en place. Les petites entreprises, dotées de moins de 50 employés et d’un chiffre d'affaires inférieur à 10 millions d'euros, bien que non soumises à NIS 2, gagnent à s’y conformer si elles offrent des prestations à des entreprises EI ou EE.

L’exigence élémentaire : l’hygiène numérique

En 2021, le Sénat estimait dans un rapport d'information que « 80 % des risques cyber seraient liés à l'humain et 90 % d’entre eux proviennent d'un mail frauduleux, appelé hameçonnage ou phishing ». L’hygiène numérique suffit donc à s’en prémunir.

Elle est la première brique d’une démarche de cybersécurité, avec quelques actions essentielles à intégrer au quotidien : faire attention aux données diffusées en ligne ou non, utiliser un antivirus, faire des sauvegardes régulières, choisir un mot de passe solide, ne pas mélanger les interfaces et cloud professionnels et personnels, ajuster ses paramètres de confidentialité sur les réseaux sociaux, identifier les mails frauduleux, avoir une procédure concernant la création de comptes pour les nouveaux entrants dans l’entreprise et leur fermeture en cas de départ... L’ensemble des collaborateurs doivent appliquer ces principes.

NIS 2 entend aller plus loin. La directive met en place une approche préventive et proactive plutôt que réactive a posteriori. Il s’agit d’une part d’anticiper les attaques et les risques en créant un cadre solide, mais aussi de gérer au plus vite l’attaque lorsqu’elle advient. Cela se concrétise légalement en 12 entrées, dans les articles 20 sur la gouvernance et 21 sur la prévention et l’analyse des risques.

Parmi les points clefs de ces dispositifs se trouve la formation des membres des comités directeurs des entreprises essentielles (art. 20.2). Ces derniers sont considérés comme responsables de la cybersécurité. Ceux des entreprises importantes sont encouragés à se former également, ainsi que tout rôle clef dans l’entreprise (informatique, juridique et RH).

La directive impose également d’adopter une approche tous risques pour anticiper et gérer les risques concernant la sécurité des réseaux et des systèmes d’information, puis pour amenuir voire supprimer les conséquences d’un éventuel incident (article 21.1 et 21.2). Un protocole doit par exemple être mis en place pour assurer une continuité des activités (article 21.2.c).

Les incidents devront être déclarés auprès de l’Agence nationale de la sécurité des systèmes (ANSSI) d'information dans les 72 heures, et un protocole devra être instauré pour évaluer, répondre et se remettre de l’attaque.

Quelles sont les sanctions en cas de non-respect ?

NIS 2 engage la responsabilité de la direction (à travers le président et le COMEX). En cas de non-respect de la NIS 2, les entreprises essentielles s’exposent à des sanctions financières pouvant atteindre 10 millions d'euros ou 2% du chiffre d’affaires mondial, voire à la suspension et l’interdiction d’exercer pour les dirigeants. Quant aux entreprises importantes, les sanctions encourues sont de l’ordre de 7 millions d'euros ou 1,4% du chiffre d'affaires mondial total. Toutefois, elles ne sont pas sujettes à une interdiction d'exercice pour leurs dirigeants.

Concrètement, comment appliquer NIS-2 ?

La première étape pour l’entreprise est d’identifier si elle est concernée. Si oui, elle doit se déclarer à l’ANSSI, qui fait figure de référence et d’autorité dans la mise en place des règlements numériques (et propose par ailleurs un guide d'hygiène numérique).

Les entreprises entrantes commenceront par une démarche évaluative de leur système informatique (SI) puis établiront une cartographie des rôles présents dans la société. Quels usages informatiques pour chaque poste ? Quel impact sur l’activité globale ? A quel point est-il concerné par NIS 2 et quel sera son besoin de formation pour comprendre et appliquer le règlement ? Ensuite, il convient d’évaluer la maturité en cybersécurité et d’élaborer une feuille de route de mise en conformité.

Pour les entreprises financières, DORA

Également adopté par l’UE en novembre 2022, le Digital Operational Resilience Act (DORA) - règlement (UE) 2022/2554 et directive (UE) 2022/2256 - doit être mis en œuvre par les entreprises financières à l’échéance (maximum) de janvier 2025. Comme son nom l’indique, il s’oriente autour de la notion de résilience opérationnelle numérique.

Si NIS 2 entend rehausser le niveau de cybersécurité dans l’UE, DORA entend faire en sorte que les entreprises financières soient en mesure de rejeter les tentatives de cyberattaques. Les textes sont donc complémentaires. Si DORA est considéré lex specialis (la loi spécifique prime sur la loi généraliste) de NIS 2, les entreprises concernées par les deux réglementations doivent les respecter chacune.

DORA s’applique aux entités financières, des établissements de crédit ou de paiement aux prestataires de services d’information sur les comptes, en passant par les assureurs, les sociétés de gestion, les agences de notation de crédit, les services de financement participatif, etc.  

Quels sont les points clefs de DORA ?

L’essentiel du règlement concerne la prévention et la gestion des risques. L’établissement financier doit assumer et déclarer les incidents techniques numériques, qu’ils soient de sa responsabilité ou de celle d’une entreprise prestataire de technologies de l’information et de  communication.

L’entreprise est soumise à une exigence consistant à collecter, diffuser les informations au sujet des incidents et documenter ces derniers. Cette documentation doit être accessible pour les autorités de régulation en cas de contrôle. DORA invite les établissements financiers à communiquer entre eux au sujet des cybermenaces repérées et à les signaler aux autorités de régulation.

Un autre point clef est la mise en place annuelle de tests de résilience opérationnelle numérique. Concrètement, il s’agit de simuler des cyberattaques factices et de tester la résistance des systèmes et applications, pour évaluer et réajuster au besoin.

En sus, les entreprises concernées doivent anticiper pour assurer la continuité des activités, en établissant des processus à appliquer en cas de perturbation. Cela inclut, entre autres, la mise en place de systèmes et serveurs de sauvegarde différenciés et de canaux de communication alternatifs pour pourvoir continuer à échanger.

Quelles sanctions en cas de non-respect ?

Le règlement DORA laisse aux États membres le soin de définir les sanctions. Des pénalités financières ou des déclarations publiques indiquant les manquements légaux sont envisagées en cas de non-conformité. Les autorités financières seront chargées du contrôle, notamment l’Autorité de contrôle des assurances et des mutuelles (ACAM) et l’Autorité des marchés financiers (AMF).

Les établissements financiers concernés étaient déjà soumis, en fonction de leur secteur, à des directives telles que CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM… La nouvelle directive les place dans le sillage du règlement DORA qui prend donc le pas sur ces dernières. Néanmoins déjà habituées aux précédentes législations, les entreprises ont des clefs pour appréhender DORA. Il est recommandé de faire un audit ou un état des lieux afin d’évaluer les besoins et d’établir une feuille de route qui comprendra la formation des salariés et une remise à niveau des systèmes informatiques.

Stéphanie Thiriet