La transposition de la nouvelle directive Network & Information Security 2 est prévue pour le 17 octobre 2024, avec une mise en conformité exigée d’ici à 2025. Que faut-il en attendre ?

Très attendue par les prestataires de cybersécurité qui misent sur un marché de plusieurs milliards d’euros, la directive NIS2 a été élaborée au lendemain du Covid19 en réponse à « la sophistication, l’intensification et l’impact croissant des cyberattaques en Europe ». Succédant à la directive NIS1 de 2016, elle élargit considérablement le spectre des entités régulées, qui passent de 300 à plus de 15 000 en France (et 160 000 en Europe). Un changement d’échelle lourd d’implications pour les 18 secteurs concernés et les organismes de régulation. 

Un changement de paradigme

La directive entraîne en effet de nombreuses ruptures. D’abord dans la gouvernance, puisqu’elle fait entrer durablement la cybersécurité dans le comex, en engageant la responsabilité pénale des dirigeants (qui peuvent désormais considérer les affaires SolarWinds et Vastaamo comme de véritable memento mori). Les législateurs européens espèrent ainsi mettre en place une gestion du risque rigoureuse, assortie d’une obligation de divulgation des vulnérabilités et un reporting des cyberattaques touchant l’ensemble du système d’information (et non plus seulement les systèmes désignés comme « essentiels » par NIS1). 

C’est aussi tout un contrôle de la supply chain qui doit être mis en place par des entités désignées comme « essentielles » ou « importantes », afin d’éviter les attaques par rebond. NIS2 implique finalement la mise en place d’une authentique politique de cybersécurité, nourrie par un processus continu et fondée sur une véritable culture comparable à celle de l’ISO27001. Concrètement, les mesures représentent à minima l’application des 42 mesures d’hygiène de l’ANSSI : gestion de l’Active Directory, des privilèges et des sauvegardes, chiffrement des données, mise en place du MFA, etc. 

Une stratégie européenne de la régulation

NIS1 accordait une grande marge de manœuvre aux États, entraînant des disparités d’application au sein de l’UE. NIS2 au contraire impose des mesures minimales (que l’ANSSI a résumé en 20 objectifs majeurs) et un réseau de coopération de CSIRT sous l’égide de l’ENISA. Cette stratégie européenne d’harmonisation, ambitieuse, reste cependant très en deçà de son équivalent aux États-Unis. La cybersécurité américaine est en effet étroitement associée à la stratégie de défense nationale et pensée comme un outil essentiel pour maintenir l’avantage concurrentiel du pays. Instrument de souveraineté numérique, la cybersécurité n’est pas seulement un enjeu de lutte contre la Chine, la Russie ou l’Iran. Elle est incluse dans les secteurs de pointe où les États-Unis veulent maintenir l’avantage. 

De même, l’européenne NIS2 incarne une vision de la cybersécurité nettement plus « agnostique » que la stratégie d’hybridation et de « Runet souverain » portée par la Russie, où « la distinction entre cyber et informationnel a disparu et où l’infrastructure technique est d’abord considérée comme une infrastructure cognitive critique », observe Kevin Limonier. Pour autant, cette stratégie de régulation européenne de la résilience, sans être aussi holistique, peut-elle être l’occasion de « valoriser les acteurs nationaux et européens de la cyber » ? C’est en tout cas le souhait de nombreux acteurs de l’écosystème dont Dorothée Decrop, déléguée générale d’Hexatrust, se faisait récemment la porte-voix

Un projet de loi très attendu  

En tout état de cause, c’est seulement la transposition de NIS2 réalisée par les parlementaires français, dont le rôle sera déterminant, qui donnera une consistance à la directive. De son côté, Vincent Strubel, le directeur général de l’ANSSI, se veut rassurant. L’agence de cybersécurité, en charge pour les services du Premier Ministre de la rédaction d’un premier projet de loi, proposera au Parlement « des exigences proportionnées au risque », avec pour objectif de d’adresser « la menace systématique plus que le pointu », confiait-il lors de la séance plénière du Forum InCyber en mars dernier. 

Cependant, des craintes nombreuses ont été exprimées durant la phase consultation menée par l’ANSSI. On reproche à la directive son manque de clarté, la confusion entraînée par la multiplicité des acteurs institutionnel qu’elle mobilise en France (ce que le Canard enchaîné qualifie crûment de « cyberbordel ») ; son impact sur la performance des entreprises, les difficultés à recruter des professionnels compétents pour l’appliquer, l’inégalité de traitement qu’elle instaure entre le privé et le public (les directeurs d’administration ne sont pas tenus pénalement responsables), la complexité et les doublons qu’elle entraîne ou tout simplement son coût. Impossible à déterminer avec précision, ce dernier est estimé en fonction de la maturité des entités à 12 % ou 22 % du budget SI (à croire KPMG), ou bien un forfait d’environ 400 000 euros selon une étude d’impact ministérielle révélée par L’Informé

Un paysage durablement redessiné par NIS2 ?

À l’inverse, certains craignent une transposition trop légère d’une directive dont l’application effective risque d’être repoussée à plusieurs années par l’ANSSI. Le temps pour l’agence de se dimensionner à l’image de la CNIL afin d’être en mesure de contrôler plus de 15 000 entités en France. Dans cet intervalle, certains patrons de PME, prestataires de services cyber de grande qualité, risquent de mettre la clé sous la porte avant d’avoir trouvé leur marché. « Contrairement aux géants américains et aux principaux cabinets de conseils de l’hexagone », regrette l’un d’eux. Dans le même temps, des acteurs plus fragiles auront peine à se protéger durablement et à trouver des prestataires de confiance. La France, tout comme l’Allemagne, accusent en effet un retard préjudiciable dans sa transposition de NIS2, contrairement par exemple à la Belgique où la directive est effective depuis le 26 avril

Avec plus de 15 000 entités concernées, pour un coût estimé à plusieurs centaines de milliers d’euros, NIS2 crée un marché de plusieurs milliards d’euros à l’échelle de la France. En élargissant très largement le périmètre du contrôle de l’État, bien au-delà des 200 opérateurs d’intérêt vitaux désignés par la Loi de Programmation Militaire, la directive pourrait donc à la fois généraliser en France une véritable culture de la cybersécurité, renforcer la résilience du tissu économique dans un contexte géopolitique tendu et faire émerger un écosystème de prestataire compétitifs sur le marché européen. Autant d’objectifs cruciaux qui exigent toutefois, pour le député Philippe Latombe, « une réflexion systémique, coopérative, mutualisée, à la fois pour l’anticipation des fragilités et pour l’économie des ressources publiques ».

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.