La nouvelle directive NIS permet d’homogénéiser le marché, mais elle sera difficile à mettre en musique, indique Frédéric Lens. (Photo: F3C-Systems)

La nouvelle directive NIS permet d’homogénéiser le marché, mais elle sera difficile à mettre en musique, indique Frédéric Lens. (Photo: F3C-Systems)

Une mise à jour de la directive européenne sur la cybersécurité entrée en vigueur cette année vise à «traiter tout le monde de la même façon», assure l’expert en sécurité informatique Frédéric Lens. Mais elle risque d’être difficile à appliquer. 

La directive 2 sur la sécurité des réseaux et de l’information (NIS2) est entrée en vigueur le 16 janvier. Elle vise à accroître les capacités de cybersécurité des pays de l’Union européenne en renforçant la supervision et en promouvant la coopération et les échanges d’informations au niveau de l’UE.

«En 2013, les instances de l’UE se sont rendu compte que la sécurité informatique faisait défaut à bien des égards pour des secteurs jugés critiques. Il n’y avait pas de compréhension politique commune sur les besoins en cybersécurité et pas de règles communes», commente le CEO de F3C-Systems, Frédéric Lens. «Les organes de l’UE se sont mis d’accord sur une stratégie de cybersécurité, qui a conduit à la directive NIS en 2016.»

La directive SRI, qui couvrait des secteurs tels que les infrastructures des marchés bancaires et financiers, la santé, l’approvisionnement en eau ou les fournisseurs de services numériques, a contribué à renforcer la sécurité des réseaux et des systèmes d’information dans l’UE. Mais sa mise en œuvre dans l’ensemble du marché intérieur a été difficile et fragmentée.

La faille de NIS1

«Il y avait une faille fondamentale dans la directive NIS», souligne M. Lens. «Elle pouvait être transposée par les États membres avec une certaine liberté.» Différents pays avaient des règles différentes pour différents secteurs.

Alors, comment la directive NIS2 renforce-t-elle la cybersécurité? «Pour le dire franchement, le but est de monter un peu le niveau», répond M. Lens. «Les améliorations portent sur l’harmonisation des règles, la réduction des incohérences et l’amélioration de la communication entre les autorités compétentes. Entre la publication des deux directives, une consultation publique ouverte a eu lieu, qui a, par exemple, mis en évidence des incohérences dans la façon dont les différents pays labellisent les opérateurs de services essentiels (OES) et les fournisseurs de services numériques (DSP).»

«Le premier changement fondamental est dans la manière dont OES et DSP sont identifiés en imposant les règles de chaque entité travaillant dans les secteurs et sous-secteurs identifiés par la Commission [européenne]», indique M. Lens. «Il n’y a plus de distinction entre les deux entreprises d’un même secteur, ce qui pouvait être le cas avec [la directive] NIS. Ce qui nous amène à ce que je considère être le changement le plus fondamental de cette directive: NIS2 supprime la possibilité pour les États membres d’adapter les exigences de sécurité. Tout le monde est traité de la même manière, quel que soit le territoire d’opération, tant que les affaires sont menées avec l’UE et sous la supervision de l’Enisa (l’Agence de l’Union européenne pour la cybersécurité, ndlr).»

Élargir la portée

La nouvelle directive inclut les marchés en ligne, les moteurs de recherche et les plateformes de médias sociaux dans son champ d’application. Même si une entreprise est basée, par exemple, aux États-Unis, mais a des activités dans l’Union européenne, ces entreprises sont toujours couvertes par la directive.

«Ce ne sont pas seulement les entités de l’UE qui doivent se conformer. Tant que vous avez une entreprise informatique qui fait des affaires avec l’Europe, comme Facebook, elle doit se conformer», estime encore le CEO de F3C-Systems. «C’est super puissant. C’est comme le RGPD à l’époque… Mais c’est impossible à faire respecter. Comme avec NIS. À moins que les États ne fassent leur travail de vérification de la conformité et de la mise en œuvre de NIS2, rien ne se passera. Et c’est l’un des points de la Fedil», a-t-il ajouté, faisant référence à .

Le texte de la directive, cependant, n’inclut aucune exigence sur les audits, par exemple, ou même sur qui est censé effectuer les audits. «Celles-ci devraient être systématiques», ajoute-t-il.

Davantage de secteurs concernés

NIS2 comprend davantage de secteurs, les classant comme des entités essentielles ou importantes, telles que les fournisseurs de réseaux ou de services publics de communications électroniques, les services numériques tels que les réseaux sociaux et les services de centres de données, la gestion des eaux usées et des déchets, l’espace ou les services postaux.

«Les entreprises doivent commencer à prendre la cybersécurité au sérieux», recommande M. Lens. «Cela n’arrivera pas du jour au lendemain, car la directive doit être transposée en droit national. J’espère qu’il n’y aura pas trop de retard avant que les entités ne commencent à prendre des mesures pour améliorer leur posture de sécurité. Nous avons beaucoup de banques, beaucoup d’institutions financières, et celles-ci sont déjà dans la directive NIS1, donc elles ont déjà investi beaucoup de temps et d’argent dans les procédures et la gestion des risques, ainsi que dans l’arsenal technique pour se protéger. Mais ce n’est pas le cas pour les petites entités.»

«C’est là que l’État doit entrer en jeu», dit M. Lens. «Il doit financer la cybersécurité pour les petites entités.»

Cet article, traduit depuis l’anglais et publié initialement sur le site de , est issu de la newsletter hebdomadaire Paperjam Tech, le rendez-vous pour suivre l’actualité de l’innovation et des nouvelles technologies. Vous pouvez vous y abonner .

Articles Associés