Pour harmoniser et renforcer la sécurité informatique des entreprises, la nouvelle directive européenne NIS2 impose des exigences accrues à un périmètre élargi d’agents économiques. Décryptage avec Vincent Bazillio, Global Business Development Manager – Cybersecurity, au sein de la marque Axians.
C’est un tournant important dans la stratégie de protection et de prévention des organisations économiques face au risque cyber. Entrée en vigueur le 17 octobre 2024, la directive européenne NIS2 (Network and Information Security) place les entreprises face à leurs responsabilités de premier ordre en matière de sécurité numérique.
Ce nouveau bouclier réglementaire succède à la NIS1 de 2016, avec une portée élargie et un niveau d’exigence accru pour les organisations. Alors que la première mouture ciblait principalement les opérateurs de services essentiels dans sept secteurs d’activité, NIS2 étend son périmètre aux entreprises privées, collectivités locales, centres de recherche, établissement de santé, etc. Ce, dans 18 secteurs d’activité.
Au total, ce ne sont plus quelques centaines d’entités qui tombent sous le coup de la loi, mais vraisemblablement plus de 15 000, réparties en deux grands blocs : les entités essentielles (EE), où se retrouvent les grandes entreprises, et les entités importantes (EI), désignant plutôt les PME.
Changement d’échelle
« NIS2 introduit véritablement une gestion du risque à 360° au sein des entreprises, désormais tenues de décliner la cybersécurité à toutes leurs strates fonctionnelles et opérationnelles, depuis la R&D jusqu’aux services supports en passant par les activités industrielles et les infrastructures. Les exigences de la nouvelle directive étant de surcroît étendues aux sous-traitants et aux fournisseurs, on passe de la logique du château fort à celle du réseau sécurisé, un réseau très ouvert et étendu bien au-delà des frontières de l’entreprise », résume Vincent Bazillio, Global Business Development Manager – Cybersecurity chez Axians, la marque ICT de VINCI Energies.
« La cybersécurité est un continuum. »
Un changement d’échelle qui oblige les entreprises à construire une solide feuille de route et à organiser avec rigueur leur plan d’action. D’autant que la NIS2 ne se contente pas de poser un cadre, elle prévoit également des sanctions financières en cas de manquement aux nouvelles règles, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial total pour les EE et jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires total pour les EI.
Les entreprises sont désormais tenues de signaler les incidents considérés comme « importants » dans un délai de 24 heures. Pour les entités essentielles, cette alerte doit être suivie dans les 72 heures d’une notification complète puis d’un rapport final détaillé dans les 30 jours.
Culture du risque cyber
Pas de panique pour autant, l’objectif de NIS2 n’est pas d’accabler les entreprises, mais bien d’accélérer leur transition vers une culture du risque cyber. Mais sans précipitation excessive ! « La cybersécurité est un continuum, qui repose sur une démarche progressive et sans cesse adaptée. Il faut donc procéder étape par étape. Cela commence par une cartographie de l’ensemble des activités ‘métiers’ et l’identification des besoins de sécurité spécifiques à chaque entreprise, pour évaluer les impacts d’une attaque sur l’activité et définir les plans de continuité », insiste Vincent Bazillio.
Toutes les entreprises ne partent pas à armes égales. Si les EE ont de longue date engagé leur mise en conformité et disposent des ressources internes nécessaires à la maîtrise des outils et des process, les PME, pour beaucoup d’entre elles, doivent être accompagnées.
« Là encore, à chaque structure ses besoins spécifiques. Il ne s’agit plus de multiplier des firewalls tous azimuts, mais d’apprendre aux entreprises à raisonner en termes d’analyse de risques, à identifier des priorités pour concentrer les actions aux endroits stratégiques, avec une vision organique sur le long terme. C’est le gage de leur sécurité, mais aussi de leur résilience en cas d’attaque », souligne Vincent Bazillio.
15/07/2025
