La nouvelle directive européenne sur la sécurité des réseaux et des systèmes d’information (Nis2), entrée en vigueur le 17 octobre , pèse sur les ressources des entreprises. «95% des entreprises de la région EMEA puisent dans d’autres budgets pour tenter de respecter les délais de mise en conformité», dit une enquête réalisée récemment par Censuswide pour le compte de Veeam Software.

Principal point de pression pour ces entreprises: le manque de compétences. Près d’une sur trois déclare ainsi avoir mis à contribution son budget de recrutement pour atteindre les objectifs liés à Nis2. «La conformité à la directive amplifie la pénurie de compétences IT», souligne l’enquête.

Nis2 vise à renforcer la cybersécurité en Europe en imposant des obligations strictes pour la gestion des risques, la notification des incidents et la collaboration transfrontalière. Par rapport à Nis1, qui couvrait notamment l’énergie et la santé, Nis2 élargit le périmètre à de nouveaux secteurs tels que l’administration publique, l’espace, la gestion des eaux usées, la gestion des déchets et les services numériques.

Méconnaissance des obligations

«De nombreuses entreprises semblent encore peu préparées, parfois même mal informées quant à leurs obligations», observe le responsable de la sécurité des systèmes d’information (Ciso) de la Bil, Nicolas Remarck. «En France, certains dirigeants continuent de penser, à tort, que Nis2 ne s’applique qu’aux produits de grande consommation. Or, la directive couvre un large éventail de secteurs critiques.»

Cette méconnaissance pourrait conduire certaines entreprises à rester non conformes, simplement parce qu’elles ne se sentent pas concernées. «Tôt ou tard, les régulateurs remettront les choses au carré et feront le nécessaire pour clarifier cette situation», estime le spécialiste.

Le niveau de préparation des entreprises européennes – et luxembourgeoises en particulier – à la directive Nis2 semble être relativement moyen. auprès de ses clients européens en assurance cyber met en lumière plusieurs points faibles:

– Dépendance aux systèmes en fin de vie. 70% des entreprises européennes s’appuient encore sur des systèmes en fin de vie.

– Lacunes dans la gestion des accès à privilèges. Les entreprises n’ont mis en œuvre que 32% du périmètre de la gestion des accès à privilèges en moyenne.

– Adoption insuffisante de l’authentification multifactorielle. Seulement 60% des entreprises exigent une authentification multifactorielle (MFA) pour l’accès aux données/systèmes critiques, une obligation de la directive Nis2.

– Solutions anti-malwares inégales. Bien que les solutions anti-malwares soient bien mises en œuvre sur les postes de travail et les ordinateurs portables, les taux d’adoption chutent pour les serveurs et les appareils mobiles.

Selon Marsh, le secteur de la finance et des assurances, considéré comme vital dans le cadre de Nis2, est en tête en termes de maturité des contrôles, avec un score moyen de 67%. Le secteur de la fabrication et de la distribution de produits chimiques est à la traîne, avec un score de 48%. Quant au secteur de la santé, également jugé vital, il obtient un score moyen de seulement 52%. illustre les difficultés rencontrées par certaines organisations pour se conformer aux exigences de cybersécurité.

En regardant les résultats par pays, le Luxembourg affiche un score moyen de 57%, ce qui le place dans la moyenne européenne. L’Italie (68%), la France (67%) et les Pays-Bas (65%) apparaissent comme les pays les mieux préparés, tandis que l’Allemagne (48%) et le Portugal (46%) sont à la traîne.

Le régulateur confiant

Au Luxembourg, l’Institut luxembourgeois de régulation (ILR) est l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information pour la grande majorité des secteurs – le secteur financier étant surveillé par la CSSF. «L’ILR constate un grand intérêt d’une majorité de ces entités à se mettre en conformité en amont de l’entrée en vigueur de la transposition de la directive Nis2», déclare le régulateur, qui se dit «en étroite collaboration avec toutes ces entités afin de les préparer au mieux».

Confiant, l’ILR ajoute avoir constaté «une augmentation en maturité en cybersécurité pour tous les secteurs et toutes les entités déjà couverts par la directive Nis1 au cours des années dernières». Le Luxembourg peut-il se contenter d’être dans la moyenne européenne en termes de préparation à Nis2, comme l’indique Marsh? «Ce qui est primordial, c’est d’accroître la maturité en cybersécurité de manière continue», répond l’ILR, qui «s’attend à une plus grande maturité et 'preparedness' des entités concernées d’année en année».

Ce qui est en train de se passer avec Nis2 est comparable à ce que nous avons vécu avec le RGPD.

Nicolas Remarck, Ciso, Bil

«Ce qui est en train de se passer avec Nis2 et le règlement sur la résilience opérationnelle numérique (Dora) est comparable à ce que nous avons vécu avec le règlement général sur la protection des données», estime pour sa part Nicolas Remarck. «À l’époque, de nombreuses entreprises avaient pris conscience de l’ampleur des exigences réglementaires seulement dans les derniers mois précédant l’échéance. Tout le monde s’était lancé dans un sprint final pour être conforme avant la date limite, bien que les règles aient été connues bien en amont.»

Ce retard dans la prise en main de la conformité est en partie lié au niveau d’exigence élevé de Nis2, rendant certains aspects de la réglementation complexes à appliquer. Le Ciso de la Bil anticipe toutefois une «phase d’adaptation», au cours de laquelle les entreprises bénéficieront d’une certaine tolérance de la part des autorités – le régulateur ayant sous-entendu qu’il n’imposerait pas immédiatement des sanctions.

Reste qu’invoquer «n’est pas vraiment une excuse valable», insiste Nicolas Remarck. «Les grandes lignes de Nis2 sont connues depuis longtemps, et de nombreuses clarifications ont été apportées par le régulateur européen.» Par exemple, l’Union européenne a détaillé ce qui constitue un «incident critique» selon le type d’acteur concerné, avec des exigences adaptées pour un réseau social ou un fournisseur de Domain Name System (DNS).

Des aides disponibles

Sans commenter le délai pris par l’État pour transposer la directive («le processus législatif suit son cours»), le ministère de l’Économie évoque son objectif «d’accompagner au mieux les entreprises afin de se conformer aux nouvelles règles en vigueur, et d’offrir des aides ou programmes de soutien adaptés pour répondre au mieux à leurs besoins identifiés en amont de l’entrée en vigueur de la loi».

Le ministère, avec la Luxembourg House of Cybersecurity (LHC) et l’ILR, a ainsi défini une procédure pour aider les petites sociétés concernées par la directive Nis2. Ces entreprises peuvent utiliser un outil gratuit pour un autodiagnostic de conformité au standard «NIST cyber fundamentals». Si le score est inférieur à 85%, un expert identifie les manquements et propose des mesures correctives. Une fois ces mesures mises en œuvre, la LHC réalise un audit et délivre un «label» reconnu par l’ILR.

Le ministère élabore en outre un «SME-Package cybersecurity», disponible en fin d’année, pour aider les PME à financer leurs mesures de cybersécurité via un système de vouchers, similaire aux autres SME-Packages existants. Ce programme soutiendra les sous-traitants d’opérateurs de services essentiels ou importants visés par la directive Nis2. Les PME pourront ainsi mieux se protéger contre les cyber-risques et répondre aux obligations légales européennes, insistent les services de (DP).

Sans compter que, pour accompagner la mise en conformité avec Nis2, des outils technologiques adaptés au suivi des infrastructures critiques voient le jour. À l’instar de IDPS-ESCAPE, une solution open source boostée à l’IA disponible depuis le 1er septembre. Ce projet jugé prometteur renvoie à l’intérêt croissant pour des outils d’analyse comportementale des réseaux.