Trop c’est trop… Les attaques informatiques ont causé de trop grands dégâts à des organisations européennes. L’impact a été majeur sur ces sociétés mais aussi sur de nombreux services vitaux : électricité, santé, etc. La directive NIS2 vise donc à renforcer mais aussi à harmoniser les normes de cybersécurité en Europe. Quelles sont les conséquences pour les entreprises françaises et à quel degré sont-elles concernées ?
L’obligation de respecter certaines normes européennes est a priori mal vécue. L’entreprise voit se dresser de nouvelles contraintes, la nécessité de reportings coûteux en ressources humaines, la perspective de lourdes amendes en cas de non-respect de règles… Telle est la situation avec la directive NIS2 entrée en vigueur au niveau européen le 17 janvier 2023 – avec une date limite pour la France fixée au 17 octobre 2024. NIS est l’acronyme de « Network and Information Systems », soit « Réseaux et systèmes d’information ».
Pourquoi cette nouvelle directive européenne ?
L’objectif de NIS2 est de pousser les administrations et entreprises en charge de services essentiels à investir durablement et efficacement dans la sécurisation de leur informatique. Ces sociétés doivent non seulement être protégées au mieux mais aussi en situation de résilience : le cas échéant, elles pourront se remettre rapidement en état de fonctionnement. Il y a un message sous-jacent : il sera habituellement moins coûteux de se conformer à cette directive que de subir une cyberattaque. Selon l’étude Les cyberattaques en France – Rapport 2025 publiée par jedha.co, 43 % des entreprises françaises ont subi au moins une cyberattaque réussie et le coût moyen a été estimé à environ 59 000 €.
Une affaire qui dépasse les seules entreprises
Il reste que la cybersécurité pourrait sembler être avant tout l’affaire de chaque entreprise. Si elle subit une attaque faute d’avoir suffisamment protégé son informatique, n’est-ce pas juste regrettable pour elle ? Pourquoi serait-il nécessaire de lui imposer de sécuriser ses données avec la perspective de sanctions éventuelles ?
Il se trouve qu’il existe un certain nombre d’opérateurs dont le bon fonctionnement est vital pour la société. Et en réalité, NIS2 vise à protéger non seulement les entreprises, mais aussi les citoyens des retombées indésirables qui peuvent résulter d’attaques informatiques. Quelques exemples concrets suivent.
Les hôpitaux
Prenons l’exemple d’un hôpital ou d’une clinique. De nombreux établissements de ce type ont été touchés par des cyberattaques au cours des années précédentes. Les conséquences ont été graves : impossibilité d’accéder aux dossiers médicaux des patients, obligation d’annuler certaines opérations urgentes… Des patients ont dû être redirigés vers d’autres établissements, leur vie a pu être mise en danger.
Avec la directive NIS2, un hôpital est tenu de mettre en place une surveillance continue de sa sécurité informatique.
Fournisseurs d’énergie
Il en est de même pour un fournisseur d’énergie. S’il subit une attaque entraînant un dysfonctionnement de ses services, il peut en résulter des coupures d’électricité à grande échelle. Des dizaines ou centaines de milliers de foyers peuvent se retrouver sans chauffage en plein hiver, des entreprises vitales peuvent être dans l’impossibilité de mener leurs opérations, des fonctions publiques comme les feux de circulation peuvent cesser de fonctionner… Clairement, la protection de l’informatique d’un fournisseur d’énergie est une priorité majeure, tant une panne peut impacter de secteurs divers.
Transports
Le secteur des transports n’est pas en reste. Le bon fonctionnement des systèmes de signalisation ferroviaire, le respect des horaires peut s’avérer critique pour de nombreux voyageurs. Là encore, une panne qui durerait longtemps est rarement envisageable.
Les banques
Quid des banques privées ? Une cyberattaque peut entraîner le vol de données personnelles ce qui est déjà bien inquiétant mais elle peut aussi bloquer l’accès aux comptes et empêcher à des milliers d’usagers de régler leurs achats quotidiens ou encore de recevoir leur salaire. Et donc là encore, la mise en place de mesures de cybersécurité de haut niveau est cruciale.
Pourquoi NIS1 n’était plus suffisant ?
Une première directive européenne, NIS1 avait été édictée en 2016. Pourtant, entre temps, les attaques informatiques ont atteint un degré de sophistication imprévu – notamment avec l’essor des ransomware ou rançongiciels. Elles sont aussi devenues plus fréquentes et plus coûteuses. Et elles touchent des entreprises de tous secteurs et de toutes tailles.
Or, NIS1 ne s’appliquait qu’à un nombre limité de secteurs jugés essentiels (énergie, transport, santé, etc.). De nombreuses administrations ou fournisseurs de services critiques n’étaient pas concernés par son application. De plus, chaque État membre disposait d’une liberté d’interprétation et de mise en œuvre qui dans la pratique, s’est avérée excessive, et limitait les possibilités de coordination et coopération. Il en a résulté des failles que les cybercriminels étaient en mesure d’exploiter.
Ce que change la directive NIS2
En conséquence, NIS2 a inclus davantage de secteurs et d’entreprises, les administrations publiques dans leur ensemble, mais aussi les PME qui fournissent des services critiques. Fait nouveau, cette directive améliorée harmonise les mesures de cybersécurité minimales dans l’UE. Elle renforce et accélère les obligations de signalement des incidents. Les délais sont réduits à 24 heures pour l’avis initial, et à 72 heures pour la remise d’un rapport complet. Les dirigeants voient leur responsabilité personnelle accrue. Enfin, NIS2 impose des sanctions dissuasives pouvant s’élever jusqu’à 10 millions d’euros.
NIS2 est entrée en vigueur sur le sol français le 17 octobre 2024, mais les entreprises disposent habituellement d’un délai pour mettre en œuvre cette directive, délai pouvant varier selon leur activité et taille.
Des amendes excessives ?
À première vue, une amende pouvant atteindre 10 millions d’euros ou encore 2 % du chiffre d’affaires annuel mondial peut sembler excessive. Que l’on se rassure toutefois. Seuls les secteurs réellement vitaux pour la société (santé, énergie, transports, etc.) sont visés par de telles sanctions et celles-ci n’interviendraient qu’en cas de manquements majeurs et répétés. De plus, les sanctions prennent en compte la taille et le chiffre d’affaires de l’entreprise : une PME sera bien moins pénalisée qu’une entreprise comptant des dizaines de milliers d’employés.
Ces chiffres doivent aussi être mis en rapport avec d’autres facteurs. En premier lieu, les cyberattaques coûtent des milliards d’euros chaque année et ont des conséquences souvent fâcheuses : vols de données, interruption des services, baisse de confiance du public envers un opérateur donné, etc. Ainsi les attaques contre des hôpitaux ont parfois résulté en des coûts financiers colossaux.
Retenons que l’objectif est d’amener les entreprises à réellement prendre la sécurité de leurs infrastructures informatiques très au sérieux. Mieux vaut prévenir que guérir !
