- Accueil
- Cybersécurité
- NIS2 et PMI-PME : tout ce que vous devez savoir pour une cybersécurité optimale
NIS2 et PMI-PME : tout ce que vous devez savoir pour une cybersécurité optimale
La cybersécurité constitue un véritable casse-tête pour les PME. Une étude publiée par OpinionWay pour Cybermalveillance.gouv.fr (2) en octobre dernier met en évidence que 61 % des entreprises françaises de moins de 250 salariés s’estiment faiblement protégées en matière de cybersécurité, bien qu’elles soient conscientes des dangers et des enjeux que cela représente. Elles sensibilisent déjà en grande majorité leurs collaborateurs, mais elles manquent cruellement de ressources expertes pour assurer une solide protection. Dans de nombreux cas, c’est même le chef d’entreprise qui s’y colle. 19 % d’entre elles déclarent par ailleurs ne pas savoir évaluer leur réel niveau de protection.
NIS 2 : répondre plus efficacement à la cybercriminalité
Dans ce contexte, le déploiement de la directive européenne NIS 2 (pour Network and Information Systems Directive) tombe plutôt à point. Aujourd’hui, les entreprises sont ultra-numérisées et hyperconnectées. Un maillage étroit qui renforce évidemment les opportunités de trouver des failles pour les cyber-rançonneurs. Ce texte réglementaire est la deuxième version de la directive,initialement apparue en 2016 au sein des pays membres de l’Union européenne. Elle a pour objectif global que les acteurs concernés soient prêts à atténuer les menaces grâce à des mesures de sécurité appropriées, à la surveillance des menaces et à l’application des meilleures bonnes pratiques internationales.
L’application de NIS 2 était devenue cruciale. En quelques années, la cybercriminalité s’est en effet développée de façon exponentielle à tel point que si sa puissance était mesurée comme celle d’un pays, elle représenterait la troisième économie du monde. Une puissance qui s’appuie sur de nouveaux vecteurs d’attaque de plus en plus sophistiqués, notamment avec le recours à l’intelligence artificielle (IA). Par exemple, les arnaques par hameçonnage basées sur l’IA apprennent à mieux leurrer les utilisateurs peu méfiants et à voler leurs identifiants de connexion en toute facilité. Face au péril, NIS 2 vise donc à imposer des exigences plus strictes en matière de cybersécurité mais aussi des sanctions plus sévères imposées en cas de non-conformité.
Pour satisfaire au nouveau cadre réglementaire, les entreprises vont devoir réaliser dans un premier temps, des audits de sécurité approfondis et ensuite, mettre en place des correctifs et des mesures de sécurité robustes pour se conformer à NIS 2. Un chantier qui peut vite s’avérer titanesque pour une PME car en plus de la modernisation de ses infrastructures existantes, elle va également devoir assurer la formation et la sensibilisation du personnel. L’expérience montre effectivement que les intrusions informatiques délictueuses sont rendues très régulièrement possibles par de simples erreurs humaines. D’où l’importance majeure que chacun à son niveau ait conscience des risques et des procédures à appliquer.
Ne pas ergoter sur la cybersécurité
Si d’aventure, il venait à l’idée chez certains dirigeants d’entreprise de vouloir malgré tout ergoter sur les dépenses de cybersécurité, qu’ils sachent qu’ils mettent d’abord en grave péril la pérennité de leur entreprise. Pour les petites et moyennes entreprises, le coût d’une cyberattaque varie généralement entre 20 000 et 50 000 euros, mais peut dépasser les 300 000 euros dans les cas les plus graves (3). De plus, au-delà du coût financier direct, les cyberattaques ont d’autres conséquences pour les PME : 41 % des PME ne parviennent pas à récupérer leurs données après une violation (4) et 12 % du coût total est directement lié aux pertes de production (5). Sans oublier l’atteinte à la réputation de l’entreprise auprès de ses collaborateurs, de ses clients et de ses fournisseurs.
La douloureuse addition ne s’arrête pas là. En cas de manquement avéré aux obligations de sécurisation, le législateur a prévu des amendes particulièrement salées : de 7 à 10 millions d’euros ou de 1,4 % à 2 % du chiffre d’affaires globalisé en fonction de l’entité concernée. Avec un fait nouveau introduit par NIS 2 : la responsabilité personnelle des dirigeants pourra être engagée avec une possible interdiction temporaire d’exercer. L’idée étant qu’ils ne se déchargent pas de la problématique sur le dos des seuls informaticiens, mais bien que les décisionnaires soient directement impliqués en ce qui concerne la sécurité numérique de l’entreprise.
NIS 2 : un cadre pour mieux gérer les risques numériques
En France, la toute première étape à accomplir pour une PME est de vérifier si elle est éligible à l’application de la directive NIS 2. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a récemment ouvert un site dédié [https://monespacenis2.cyber.gouv.fr/] pour éclairer et accompagner les dirigeants afin d’ évaluer plus précisément :
- dans quelle catégorie d’entité entre sa société,
- ce qu’il va devoir mettre en œuvre par la suite
- mais également pour s’abonner et recevoir des informations sur d’éventuelles évolutions réglementaires.
En fonction de la catégorie où se situe une PME, il est important de savoir que les obligations de NIS 2 ne s’appliquent pas aux organisations de moins de 50 employés et ayant un chiffre d’affaires inférieur à 10 millions d’euros. Néanmoins, la directive encourage vivement une meilleure gestion des risques numériques pour les plus petites structures, NIS 2 pouvant à cet égard servir de cadre référent pour renforcer substantiellement sa sécurité informatique. En 2024, les attaques via un rançongiciel ont connu une hausse de 112 % par rapport à l’année précédente. La fréquence et la gravité accrues de ces attaques peuvent aller jusqu’à signifier la mort d’une petite structure, faute d’avoir investi du temps, de l’argent et des ressources adéquates pour sa cybersécurité.
Sources
- (1) : https://www.ellisphere.com/cybersecurite-en-entreprise-bilan-2023-et-tendances-2024/
- (2) : https://www.usine-digitale.fr/article/cybersecurite-pres-de-la-moitie-des-tpe-et-pme-francaises-s-estiment-trop-peu-protegees.N2219704
- (3) : https://www.akaoma.com/chiffres-cles-cybersecurite
- (4) : https://www.ellisphere.com/cybersecurite-en-entreprise-bilan-2023-et-tendances-2024/
- (5) : https://banqueentreprise.bnpparibas/post/anticiper-les-risques/article/cyberattaque-combien-ca-vous-coute-concretement-clo3b98sc00wt4tqy5l5gegvy
la newsletter
la newsletter