NIS2 en ligne de mire : les entreprises doivent se préparer

Selon un article de recherche publié par Cyber Rescue Alliance en 2022, quasiment toutes les entreprises mondiales ont déjà été la cible d’attaques d’hameçonnage. Dans 12% des cas d’attaques réussies, les pirates informatiques ont pu avoir un accès complet aux données de l’entreprise pendant plus d’un an avant leur chiffrement par le ransomware. Si les cybercriminels parviennent à leurs fins, les entreprises risquent rapidement de voir leur production affectée. Cela peut aller jusqu’à l’arrêt de la production, avec de graves répercussions financières associées.

Selon un rapport de l’assureur international Hiscox, un cinquième des entreprises victimes d’une cyberattaque sont au bord de la faillite. Un sondage mondial réalisé en 2022 a révélé qu’environ 46 % des entreprises allemandes interrogées avaient été victimes au moins une fois d’une cyberattaque. En moyenne, 49% environ des entreprises sondées dans les différents pays ont déclaré avoir subi au moins une cyberattaque au cours des 12 derniers mois.

Obliger les entreprises et les pouvoirs publics à se protéger

NIS2 vise en premier lieu les infrastructures critiques, et va concerner, à plus ou moins long terme, la quasi-totalité des entreprises implantées en Europe. Il s’agit pour le moment essentiellement des opérateurs d’infrastructures critiques, notamment des entreprises, instances publiques et organismes importants pour le maintien de l’ordre économique, juridique et sanitaire.

La définition des infrastructures critiques donnée par NIS2 n’inclut pas seulement les organisations classiques comme les hôpitaux ou les fournisseurs d’énergie, mais aussi les entreprises des secteurs de l’approvisionnement en eau, des transports, des télécommunications, de la santé et de la finance. Les services numériques, postaux et de messagerie, la gestion des déchets, l’alimentation, les industries (notamment l’industrie chimique) et la recherche font quant à eux partie des autres secteurs critiques.

Il convient de noter ici que les fournisseurs et prestataires de services des entreprises précitées sont eux aussi concernés. D’autres secteurs seront également intégrés dans le cadre de NIS2. L’intention est claire : à l’avenir, la quasi-totalité des entreprises, indépendamment de leur taille et du secteur auquel elles appartiennent, devront se conformer aux obligations de NIS 2. Ceci semble très pertinent car il est en fin de compte de l’intérêt de toute entreprise d’échapper aux tentatives de piratage des cybercriminels.

D’ici octobre 2024, les différents pays de l’UE devront avoir transposé les exigences de NIS2 dans leur droit national, obligeant les entreprises, à compter de cette date, à adopter des mesures de protection appropriées. Dans le domaine de la cybersécurité, les projets s’étendent bien souvent sur plusieurs années.

À l’heure actuelle, nombre d’entreprises ne disposent, par exemple, d’aucun système de management de la sécurité de l’information. Elles ne collectent pas d’indicateurs et ne réalisent pas d’audits de sécurité, autant de facteurs qui vont s’avérer indispensables à l’avenir. Il est donc grand temps que les entreprises commencent à se préoccuper de NIS2.

De nombreuses entreprises sous-estiment leur propre importance pour la chaîne d’approvisionnement dans laquelle elles se trouvent. Or selon la directive, les sous-traitants d’entreprises critiques sont eux aussi considérés comme critiques. Les grandes entreprises devraient à l’avenir être plus regardantes sur la cybersécurité de leurs fournisseurs, avec pour ces derniers le risque de perdre rapidement des clients si celle-ci se révèle insuffisante.

Les entreprises qui ne respecteront pas les obligations de NIS2 risqueront de perdre des clients

Selon la directive, les efforts de protection ne portent pas uniquement sur l’entreprise critique en elle-même mais aussi sur ses fournisseurs et sous-traitants, ceux-ci étant également responsables du bon fonctionnement et de la résilience de l’entreprise. Si un fournisseur est confronté à une défaillance importante, qui finit par affecter la chaîne d’approvisionnement, l’entreprise critique au sens de la directive NIS2 devra alors en changer afin de garantir sa propre résilience.

On peut également s’attendre à ce que les entreprises évincent volontairement les fournisseurs qui ne se protégeront pas suffisamment contre les cyberattaques. Cette nouvelle directive concerne en effet aussi bien les petites et moyennes entreprises que les grands groupes et pouvoirs publics si celles-ci veulent non seulement se protéger elles-mêmes, mais aussi assurer leur survie économique.

Garantir la résilience des entreprises

NIS2 ne vise pas seulement à prévenir les cyberattaques, ce qui semble compromis au regard du nombre croissant d’attaques et de la professionnalisation constante des acteurs. Le renforcement de la résilience des entreprises est en effet au cœur de NIS 2. Une entreprise doit être en mesure de faire face à une cyberattaque réussie et d’en éliminer les traces le plus vite possible. Il s’agit de faire en sorte que les cyberattaques, même celles qui aboutissent, n’affectent pas une entreprise ou un organisme public au point de perturber durablement et significativement son activité.

La directive NIS2 doit donc permettre d’endiguer les menaces et de limiter les perturbations dues aux cyberattaques le plus rapidement possible afin que la chaîne d’approvisionnement ne soit pas affectée. Si une entreprise n’est pas en mesure d’apporter cette garantie, elle sera tôt ou tard exclue de la chaîne d’approvisionnement, étant donné que les cyberattaques vont continuer à se multiplier.

Les dirigeants d’entreprises doivent par conséquent se poser trois questions majeures : quand aura lieu la prochaine cyberattaque ? Mon entreprise peut-elle la combattre, et est-elle suffisamment résiliente pour maintenir son activité ? Sommes-nous préparés de manière optimale pour faire face aux cyberattaques ?

Conseils pratiques

Pour anticiper les exigences de la directive, il est utile d’adopter une approche structurée et surtout, de se préparer de manière cohérente afin de s’assurer que les cyberattaques n’auront aucune conséquence majeure sur l’entreprise. Pour cela, il convient de s’interroger sur les points suivants :

• De quels actifs et ressources dispose l’entreprise ? Qui les détient ? Quels sont leurs risques et points faibles ?
• Quelles peuvent être les cibles potentielles des pirates informatiques au sein de l’entreprise ?
• Existe-t-il des dispositifs pour gérer les accès des nouveaux collaborateurs et des employés quittant l’entreprise ?
• Comment et où les données sont-elles stockées et qui les utilise ?
• Les utilisateurs doivent avoir accès uniquement aux données qui leur sont nécessaires, les autres devant être archivées en lieu sûr.
• Il n’est pas toujours judicieux de passer complètement au cloud.
• Les droits d’administration sont-ils réglementés et limités ?
• Les processus de travail qui doivent se dérouler en cas de cyberattaque sont-ils documentés, établis et testés ?
• Les incidents de sécurité sont-ils soigneusement analysés ?
• Un dispositif a-t-il été mis en place pour contrer les attaques qui peuvent survenir 24 heures sur 24 et 7 jours sur 7 ?
• L’entreprise dispose-t-elle de partenaires prêts à apporter une aide rapide en cas d’urgence ?
• Est-il possible de collaborer avec d’autres entreprises pour satisfaire conjointement aux exigences ?

Le niveau de maturité cyber dans l’entreprise doit être défini le plus rapidement possible et les mesures de sécurité et capacités de réaction planifiées. Objectif : que l’organisation propre de l’entreprise soit protégée efficacement contre les attaques et qu’elle puisse apprendre de celles qui sont déjà survenues. C’est ainsi que l’entreprise pourra protéger son activité et minimiser les dommages éventuels.