« La règlementation NIS 2 est un pas important car c’est tout le SI qui est concerné, y compris les environnements OT et plus seulement le SI administratif comme c’était le cas auparavant. De plus, des sanctions pénales et financières sont prévues, il faut peut-être en arriver là mais s’il n’y a pas de sanctions il n’y aura pas de changements », intervient Arnaud Masson, directeur technique OT/XIoT chez l’intégrateur Nomios et d’ajouter : « Contrairement à d’autres pays européens, l’application a pris du retard en France, le décret n’étant pas encore correctement retranscrit, en soi, il n’y a pas encore d’obligations et de contrôles. » En effet, les remous politiques actuels font que la France a pris du retard dans la transposition des lois européennes dont la NIS 2. Rappelons que cette directive est une évolution de la NIS 1 (Network & Information Security) adoptée en 2016 par l’Union européenne et transposée en France en 2018. Son objectif est toujours de renforcer la cybersécurité en Europe mais d’en élargir le spectre, ainsi, plus de 20 000 structures en France sont concernées par cette directive, appartenant à plus de 18 secteurs. Selon l’Anssi, environ 600 types d’entités différentes seront ciblés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC 40. « Les entreprises industrielles de plus de 50 salariés et 10 millions de CA sont très nombreuses et leurs réseaux OT vont être largement impactés par NIS 2 », précise à ce titre Arnaud Masson. Pour Emmanuel Serrurier, directeur des ventes pour Armis France, la NIS 2 participe à une prise de conscience généralisée dans toutes les entreprises : « Nous observons qu’une feuille de route se dessine dans toutes les catégories d’entreprises et qu’elle prend en compte les environnements IT et OT/IoT, les métiers y participant avec les équipes IT. »
Des exigences et des sanctions
Pour les entreprises déjà concernées par la NIS 1, la mise à jour vers la NIS 2 devrait être plus simple, pour les autres, notamment les PME, qui intègreront le périmètre, l’Anssi a publié un guide accessible en ligne sur leur site, qui constitue une base solide de mesures concrètes et pérennes. Pour Eric Antibi, directeur technique de Palo Alto France, les grandes entreprises, déjà matures sur cette réglementation, vont aider ces plus petites entreprises nouvellement concernées car elles sont souvent leurs sous-traitants.
Plus stricte, en cas d’incident, la NIS 2 oblige les acteurs à émettre une alerte dans les 24 heures puis une notification plus détaillée dans les 72 heures. Cette notification doit notamment inclure une évaluation initiale de l’incident indiquant sa gravité, son impact et les indicateurs de compromission. Un rapport final doit être fourni au bout d’un mois pour montrer que des leçons peuvent être tirées des incidents précédents. De plus, tous devront se soumettre à des audits de sécurité dans le but de recevoir des recommandations et ainsi répondre à des normes de sécurité drastiques. En cas de non-respect, les sanctions seront sévères avec des amendes pouvant atteindre les 10 millions d’euros ou 2 % du CA de l’entité concernée. A relativiser car l’Anssi a annoncé en septembre 2024 qu’aucune sanction ne sera appliquée pendant les trois premières années après le lancement de la directive.
Commentaire