La directive NIS2 (UE 2022/2555), officiellement publiée au Journal Officiel de l’UE le 27 décembre 2022, est entrée en vigueur dans l’ensemble des pays de l’Union Européenne le 18 octobre 2024, à la date limite prévue pour la transposition dans les Etats membres.

En France, le projet de loi relatif à la résilience des infrastructures critiques est en cours d’examen, avec une promulgation peu probable avant la fin 2025.

NIS2 représente une révision ambitieuse de la NIS1 publiée en 2016, et marque un tournant décisif dans la gestion de la cybersécurité en Europe : de moins de 300 entités régulées sous NIS1, la France passe à plus de 10 000 à 15 000 entités concernées.

 

 

Directive NIS2 et cybersécurité : quelles obligations pour les PMEs et ETIs ? Ce guide s’adresse aux dirigeants (DG, DAF, directeurs juridiques), désireux de comprendre :

 

• • si leur entreprise est concernée par NIS2, selon leur secteur, taille ou rôle de fournisseur/sous‑traitant ;
  • quelles obligations ils doivent respecter ;
  • quel est le calendrier d’application, y compris le début des sanctions ;
  • comment NIS2 interagit avec d’autres réglementations comme le RGPD, DORA ou l’ISO 27001 ;
  • comment se préparer efficacement ;
  • et d’avoir une checklist pratique pour action immédiate.

 

 

 

 

Êtes-vous concerné ?

 

Critères de secteur et taille

La directive vise 18 secteurs stratégiques (listés aux Annexes I & II de la directive), allant des infrastructures numériques, énergie, transports, santé, services financiers à la gestion des déchets et de l’eau. Une entité est concernée :

 

• • si elle appartient à un secteur listé et est une grande entreprise (> 250 salariés et > 50 M€ CA)
  • ou si elle appartient à un secteur listé et dépasse un seuil de taille de moyenne entreprise (≥ 50 salariés et CA ≥ 10 M€ ou bilan ≥ 10 M€) .

 

Prestataires et effets en chaîne

Même une PME non visée directement peut être concernée si elle fournit des services à un client soumis à NIS2 (ex. : hébergeurs, intégrateurs, prestataires cloud, infogérance). NIS2 renforce la résilience de la chaîne d’approvisionnement, exigeant que les sous‑traitants respectent les normes de cybersécurité

 

Entités essentielles vs entités importantes

NIS2 supprime la catégorie OSE (opérateur de services essentiels) instituée par NIS1, et introduit deux nouvelles classes d’entités concernées par la directive:

 

• • Entités essentielles (EE) : les grandes entreprises des 11 secteurs « hautement critiques » (Annexe I) ; les entreprises nominativement désignées comme essentielles par l’État ; les entités de l’administration publique nationale ; et les fournisseurs de services de communication électroniques, de confiance numérique ou de noms de domaine.
  • Entités importantes (EI) : les entreprises moyennes des secteurs hautement critiques (Annexe I), et toutes les entités non essentielles des 7 secteurs « critiques » (Annexe II) .

Les obligations, contrôles et sanctions diffèrent selon que l’on est une entité essentielle ou importante.

 

Exemples pour dirigeants PME/ETI

 

• • PME industrielle de plus de 50 salariés fournissant des fabricants d’équipements : entité importante.
  • PME infogérant des données pour une collectivité locale : concernée via la chaîne d’approvisionnement.
  • Start-up IT de moins de 50 salariés fournissant des services cloud pour un secteur critique : potentiellement EI, voire EE selon l’identité de ses clients.

 

 

Vos obligations concrètes en matière de cybersécurité

 

Mesures techniques et organisationnelles

Les entités concernées doivent adopter un ensemble de mesures proportionnées inspirées des normes ISO 27001 ou NIST :

 

• • Analyse régulière des risques ;
  • Gestion des accès, authentification multifacteur (MFA), chiffrement des données, journalisation des événements ;
  • Surveillance des vulnérabilités, plans de mise à jour des S.I. ;
  • Formation du personnel, gouvernance interne, réponse à incident.

 

Obligations de notification des incidents

Toute entité concernée a obligation de notifier tout incident significatif :

 

• • alerte initiale dans les 24 h,
  • rapport détaillé dans les 72 h,
  • rapport final dans le mois suivant.

 

Responsabilité des dirigeants au titre de NSI2

La directive NIS2 contraint les dirigeants à s’impliquer : formation, supervision, gouvernance transparente. Leur responsabilité personnelle peut être engagée en cas de non‑conformité grave ou répétée.

 

Supply chain & continuité d’activité

Il est impératif de superviser les fournisseurs, sous‑traitants et prestataires critiques. Un plan de continuité d’activité et reprise d’activité (PCA/PRA) et des garanties contractuelles doivent être en place pour limiter les risques de défaillance ou d’attaque propagée.

 

 

 

Calendrier d’application de NSI2 et sanctions

 

Dates clés

 

• • 27 décembre 2022 : publication au JOUE,
  • 18 octobre 2024 : entrée en vigueur au niveau UE,
  • 2025‑2027 : période de transition. Notification d’incident déjà obligatoire depuis début 2025.
  • fin 2027: conformité totale exigée.

 

Sanctions financières et pénales

 

• • Entités essentielles : jusqu’à 10 M€ d’amende ou 2 % du chiffre d’affaires mondial ;
  • Entités importantes : jusqu’à 7 M€ ou 1,4 % du CA mondial.
  • La publication des manquements, des audits obligatoires, et la suspension de fonctions dirigeantes sont possibles en cas de manquement grave.

 

 

 

NIS2 et autres réglementations : comment s’y retrouver ?

 

NIS2 vs RGPD

Le RGPD vise la protection des données personnelles, tandis que la NIS2 cible la résilience des systèmes informatiques et la continuité des services critiques. Les deux peuvent se compléter notamment dans les domaines incidents et gouvernance de sécurité.

 

NIS2 et DORA (secteur financier)

Pour les entités financières, DORA impose une gouvernance numérique et une gestion de risques similaires. NIS2 complète DORA en étendant les obligations à tous les aspects de cybersécurité et de notification des incidents au niveau UE.

 

Alignement avec les normes ISO 27001 et 22301

Adopter des référentiels éprouvés améliore la conformité à NIS2 et facilite les audits. Les normes ISO 27001 (gestion de la sécurité de l’information) et ISO 22301 (management de la continuité d’activité) offrent un cadre pragmatique et reconnu.

 

 

 

Comment bien se préparer ?

 

Évaluation de conformité initiale

 

• • Faites le test sur le site de l’ANSSI pour vérifier si votre entité est concernée :
  • Réalisez une cartographie de vos actifs critiques et de vos risques et une analyse de conformité en faisant appel à un auditeur externe spécialisé. Eurolaw France Cyber peut vous orienter.

 

Gouvernance et formation

 

• • Désignez un Responsable de la sécurité des systèmes d’information (RSSI) ; Il peut être externalisé.
  • Établissez une politique de sécurité du système d’information et assurez-vous qu’elle soit officiellement validée par vous en tant que dirigeant.
  • Assurez la formation continue de l’équipe de direction et la sensibilisation des équipes aux menaces et aux procédures.

 

Protection et réponse aux incidents

 

• • Vous devez adopter une politique de sécurité des données et de gestion des identités pour assurer une protection de vos données et de votre système d’information.
  • Il vous faut mettre en place un processus de notification des incidents significatifs aux autorités compétentes (ANSSI)
  • Vous devez définir un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).
  • Vous pouvez déléguer tout ou partie à un prestataire de services de cybersécurité et à des éditeurs de solutions de cybersécurité.
  • Tous ces prestataires doivent à leur tour être conformes à NIS2 et assurer la bonne mise en œuvres des exigences vous concernant (notification des incidents, PCA etc.)

 

Financements et accompagnement

 

• • Des programmes publics comme Cybermalveillance.gouv.fr peuvent permettre un accompagnement à moindre coût, de même que des mécanismes de subventions régionales ou nationales.
  • Faites-vous accompagner par un conseil spécialisé pour piloter votre mise en conformité et prioriser en tenant compte de vos impératifs business et de vos contraintes budgétaires. Eurolaw France Cyber peut vous orienter.

 

 

 

Checklist NIS2 pour dirigeants PME/ETI

 

 

 

• • Suis-je dans un secteur visé par les Annexes I ou II de la directive ?
  • Ma structure dépasse-t-elle les seuils de taille/CA définis ?
  • Mes fournisseurs ou sous-traitants sont-ils soumis à NIS2 ?
  • Ai-je identifié les actifs et risques critiques de mon SI ?
  • Ai-je mis en place les 10 mesures minimales imposées (authentification multi-facteurs, chiffrement…) ?
  • Puis-je notifier un incident dans les délais de 24h / 72h ?
  • Mon COMEX et mon RSSI sont-ils formés et engagés ?
  • Mes contrats fournisseurs intègrent-ils les exigences cybersécurité ?
  • Ma gouvernance est-elle alignée avec le RGPD, avec l’ISO 27001/22301, ou avec DORA si je suis dans le secteur financier ?
  • Ai-je évalué les risques financiers et juridiques en cas de non‑conformité ?

 

 

 

Conclusion

La directive NIS2 représente un tournant crucial pour la cybersécurité des PME et ETI. Elle s’applique à un grand nombre d’entre elles (selon le secteur d’activité) et impose des obligations strictes, une surveillance de la chaîne d’approvisionnement, et une responsabilité directe des dirigeants.

Il n’est pas trop tard pour agir : réalisez un diagnostic complet, formez vos équipes, élaborez une gouvernance solide, et anticipez les audits ou notifications d’incident. Une préparation bien menée peut transformer cette contrainte réglementaire en opportunité stratégique : renforcer votre résilience, conforter votre relation avec vos clients et minimiser les risques juridiques ou financiers.

 

 

Source officielle

Consultez le texte de la directive NIS2 en Français sur le site officiel EUR-Lex.

 

 

FAQ – Vos questions fréquentes sur la directive NIS2

Quels sont les délais de mise en conformité avec NIS2 ?

La directive NIS2 est entrée en vigueur automatiquement le 18 octobre 2024 faute d’avoir été transposée avant cette date. Les entités sont censées être opérationnellement conformes depuis début 2025, notamment pour la notification des incidents. Toutefois, la mise en œuvre complète des mesures techniques, de gouvernance et d’audit est attendue d’ici fin 2027.

Dois-je m’aligner si je risque de dépasser le seuil de 50 salariés prochainement ?

Oui, il est fortement recommandé de se préparer en amont si votre entreprise est en croissance ou en phase de structuration. Une entreprise proche du seuil (ex. : 45‑49 salariés) dans un secteur critique peut être qualifiée d’entité importante dès que les seuils sont franchis.

De plus, l’anticipation vous évite des efforts correctifs en urgence.

Qui porte la responsabilité juridique en cas d’attaque ?

La directive engage la responsabilité des organes de direction, y compris le DG, le directeur juridique et le DSI, selon les cas. En cas de non‑conformité grave (absence de mesures minimales, non‑notification d’un incident, gouvernance défaillante), la responsabilité individuelle du dirigeant mandataire social peut être engagée, notamment par des sanctions administratives, pécuniaires ou professionnelles.

Que faire si mon prestataire n’est pas conforme ?

En tant qu’entreprise concernée par NIS2, vous avez l’obligation de vous assurer que vos fournisseurs et sous-traitants respectent les exigences de sécurité. Si un prestataire n’est pas conforme :

• Documentez les risques qu’il génère dans votre cartographie ;
• Renforcez les clauses contractuelles sur la sécurité (PRA, notification d’incident, auditabilité) ;
• Envisagez de changer de fournisseur si le risque reste élevé.

NIS2 impose une supervision renforcée de la chaîne d’approvisionnement – un prestataire défaillant peut compromettre votre propre conformité.

 

L’article Directive NIS2 : quelles obligations pour les PMEs et ETIs ? est apparu en premier sur EUROLAW FRANCE CYBER.

Contribution parue dans le Journal du Management Juridique N°102, Novembre 2024

par Mohamed Beghdadi, Directeur Cybersécurité et membre d’EUROLAW FRANCE CYBER.

Le dirigeant d’entreprise privée ou publique se doit de préparer son plan de réponse à incident cybersécurité : quel est le chemin de l’attaque ?

Lorsqu’une entreprise privée ou publique n’est pas préparée à gérer un incident cyber, les conséquences peuvent être lourdes, s’enchaîner et s’accumuler : voici quelques éléments clés.

 

L’irrationnel

• La première étape d’une attaque cyber : le dirigeant de l’entreprise ne comprend pas ce qu’il lui arrive.

• La deuxième étape, il se demande pourquoi lui ?

• La troisième étape, aurait-on pu l’éviter ?

• Et si les tensions sont fortes en interne, le dirigeant veut trouver le coupable parce qu’il y a forcément une cause interne à cet incident cyber.

 

Le rationnel

• Il commence à réaliser les conséquences d’une dégradation du service/métier.

• Il demande aux équipes IT une solution.

• Il évalue les pertes commerciales.

• Il cherche des solutions pour continuer à opérer.

• Il communique plus au moins bien ou pas avec ses clients, ses actionnaires, ses parties prenantes.

La raison

• Il cherche désespérément un prestataire pour aider à résoudre le problème mais cela n’était pas prévu au budget !

• Il commence à comprendre le problème.

• Les équipes commencent à s’organiser pour rendre le service/métier en mode dégradé.

• Il identifie le problème.

• Il cherche à tout prix à rétablir le système d’information.

• Sans trop savoir si l’attaquant pourra revenir dans le système d’information.

« Les emmerdes volent en escadrilles »

• Il découvre que les données captées sont exposées sur le darknet et à la vente.

• Il réalise qu’il faudra plusieurs semaines voire des mois pour rétablir une situation normale.

• Il peut se voir exposer dans les médias et les réseaux sociaux.

• Il reçoit un ou plusieurs recommandés de clients mécontents.

• Il commence à comprendre qu’il va falloir demander au service juridique de travailler le sujet (CNIL/RGPD, DORA, NIS 2, IA, etc.).

• Il observe une érosion de l’activité commerciale les semaines ou mois qui suivent l’attaque.

« Circulez y’a rien à voir»

• La crise finie, on veut oublier tout cela.

• On n’a pas le temps de comprendre.

• Et puis l’IT, c’est ennuyeux.

• Alors on ne prend pas le temps de se corriger.

• De toute manière, l’activité commerciale reprend.

Un an, deux ans plus tard : l’histoire se répète

• Le dirigeant avait identifié le problème mais pas son origine.

• Il avait tout de suite cherché à rétablir la situation à la normale.

• Mais il n’avait pas compris que l’attaquant avait mis en place un chemin d’attaque.

• Et l’attaquant a revendu ses accès dans le système d’information à un autre groupe d’attaquant.

• Et là je vous laisse imaginer le scénario…

Que retenir de ce constat ?

Les militaires s’entraînent tout au long de l’année car ils doivent être capables de réagir face à des situations extrêmes parfois imprévisibles. Les pompiers s’entraînent à éteindre le feu. Il doit en être de même pour les sociétés/organisations.

Les organisations doivent intégrer dans leur gestion du risque la capacité de se préparer à répondre à un incident de sécurité et de s’exercer pour y remédier.

Préparer son plan de réponse à incident, c’est :

• Cartographier ses données sensibles (ce qui a de la valeur).

• Préparer les équipes à intervenir (qui fait quoi ?).

• Identifier qui fera la réponse à incident (maîtriser les coûts).

• Être accompagné pour bien communiquer.

• Impliquer le juridique pour maîtriser les conséquences en amont et en aval de l’incident.

• S’adosser à un assureur/courtier pour disposer de services idoines et performants.

• Faire travailler les métiers avec les équipes IT.

• Simuler régulièrement des incidents dans des exercices de war room.

En se préparant à définir une stratégie de réponse à incident, en la simulant et en se faisant accompagner par des experts (ingénieurs cyber, juristes spécialisés cyber, etc.), le dirigeant d’entreprise privée ou publique évitera l’impensable, contrôlera ses coûts, sa communication, rassurera son environnement (clients, actionnaires, parties prenantes) et finalement se construira une posture cyber qui est la capacité de démontrer que l’entreprise est résiliente.

La cyberattaque est certaine un jour ou l’autre, sa date de survenance ne l’est pas. Il faut donc se préparer à l’affronter avec détermination et professionnalisme.

Retrouvez l’article dans le Journal du Management Juridique sur Village de la Justice

crise cyber
cyberassurance
cyberattaque
cybercriminalité
droit international
géopolitique
inforensique
preuve numérique
risque cyber
réponse à incident
souveraineté

L’article Préparer son plan de réponse à incident cyber est apparu en premier sur EUROLAW FRANCE CYBER.

Journal Spécial des Sociétés: entretien avec Pierre-Marie GAUTHIER, Secrétaire Général d’EUROLAW FRANCE CYBER.

Tandis que 20 % des entreprises françaises ont déjà été victimes d’une cyberattaque, selon un récent baromètre Cyblex/Docaposte, Pierre-Marie Gauthier, secrétaire général de l’association Eurolaw France Cyber, plaide pour une sensibilisation accrue des dirigeants, qui peuvent être tenus juridiquement responsables en cas d’attaque.

 

JSS : Quels sont les différents visages du risque cyber ?

Pierre-Marie Gauthier : Sur le plan mondial, le risque cyber peut être distingué de trois façons. Premièrement, il y a les erreurs humaines au sein des entreprises, qui peuvent entraîner la perte ou la destruction de données, ou encore le dysfonctionnement des systèmes informatiques, rendant ces derniers indisponibles. Bien que ce type de risque soit relativement rare, il reste pertinent. Prenons l’exemple récent de CrowdStrike, que vous avez peut-être suivi. Dans ce cas précis, il s’agit d’une erreur humaine, et non d’une cyberattaque. Une mise à jour de leur logiciel intégré à Windows n’avait pas été suffisamment testée, ce qui a conduit à des dysfonctionnements majeurs pour les utilisateurs. Certains se sont retrouvés avec un écran bleu, et pour corriger ce problème, il a fallu intervenir poste par poste, ce qui est évidemment gérable pour une petite entreprise, mais devient un véritable casse-tête pour des organisations comptant des milliers de postes.

Le deuxième type de risque est la malveillance, que je diviserais en deux catégories. La première, la malveillance politique, concerne des États suspects tels que la Chine, la Russie ou la Corée du Nord, qui utilisent leurs services secrets pour mandater des entreprises tierces afin de mener des attaques ou des actions de malveillance. Ces attaques peuvent prendre la forme de blocages, de désinformation, ou d’autres types d’agressions numériques visant à déstabiliser un adversaire.

Ensuite, il y a la malveillance financière, dont l’objectif est de voler des données, de bloquer des systèmes, ou même de nuire à un concurrent par le biais de ce que l’on pourrait appeler des « tueurs à gages cyber ».

JSS : En quoi consiste la mission d’Eurolaw France Cyber auprès des entreprises susceptibles de connaître des cyberattaques ?

P-M.G : Il est essentiel de se demander ce qui existait auparavant sur le marché pour accompagner les entreprises face aux risques cyber. On y trouvait principalement des avocats, des experts informatiques, et de grandes sociétés d’audit. En plus de ces acteurs, il y avait des entreprises spécialisées dans la gestion de crise, des fabricants de logiciels, et bien sûr, des assureurs. L’idée derrière la fondation de notre association a été de rassembler cette diversité de services sous un même toit, offrant ainsi une approche globale pilotée en fonction des besoins spécifiques de chaque client.

Notre mission va au-delà de la simple formation ou information sur les cyber-risques. Nous proposons une gestion complète des risques, incluant la cartographie et la hiérarchisation des risques, ainsi que l’élaboration de plans d’action pour les atténuer. Cette approche englobe la détection et le traitement des vulnérabilités, et s’étend jusqu’à la création de plans de résilience. Pour ce faire, notre panel de services inclut non seulement des avocats et des experts informatiques, mais aussi des éditeurs de logiciels, assurant une couverture complète des besoins des entreprises.

À chaque étape, nous proposons un chef de projet dédié qui veille à définir les besoins du client de manière précise, et à adapter notre offre en conséquence. Cela inclut également la mise en place de contrats d’assurance, car nous avons constaté que de nombreuses entités, qu’elles soient publiques ou privées, n’avaient pas un accès adéquat au marché de l’assurance pour faire face aux cyberattaques, que ce soit d’un point de vue financier ou technique.

Le manque d’information et de maturité intellectuelle sur ces sujets empêchait ces entreprises de définir un plan d’action efficace. C’est pourquoi notre association s’est particulièrement focalisée sur la sensibilisation des dirigeants. En effet, c’est à travers eux, qu’ils soient à la tête d’entreprises publiques ou privées, que la décision de déployer une politique de gestion des risques cyber peut être prise et mise en oeuvre de manière efficace. Il est crucial de commencer par le commencement, et c’est en sensibilisant les dirigeants que nous pourrons véritablement les accompagner dans la mise en place d’un plan d’action complet et d’un traitement durable des risques.

JSS : Entre autres risques liés à une cyberattaque, on l’oublie souvent, la responsabilité des dirigeants d’entreprise et des exécutifs publics peut être engagée. Comment cela se fait-il ? Quels risques encourent-ils ?

P-M.G : La première source de droit en matière de cybersécurité repose sur le droit civil général, qui établit que toute personne causant un préjudice à un tiers peut être tenue responsable et, en conséquence, être contrainte de verser des dommages et intérêts, conformément aux principes établis dans le Code civil français. Ce concept de responsabilité est universel, présent dans les systèmes juridiques français, allemand, américain, et bien d’autres.

Cependant, face à la spécificité des risques liés au cyberespace, le législateur a jugé nécessaire d’introduire des cadres juridiques additionnels. Parmi ces cadres, la réglementation sur la protection des données personnelles, établie au niveau européen, joue un rôle crucial. Cette réglementation encadre la gestion des données personnelles, c’est-à-dire toutes les informations permettant d’identifier un individu, telles que le nom, le prénom, l’adresse, le numéro de sécurité sociale, les données bancaires, ainsi que les préférences religieuses, sexuelles, politiques, etc. En raison de la capacité des technologies informatiques à stocker, regrouper, et traiter ces données, les entités, qu’elles soient des personnes morales ou physiques, de droit privé ou public, qui traitent ces informations se voient imposer une responsabilité spécifique.

En cas de non-respect de ces obligations, les sanctions peuvent être sévères. Pour les personnes morales, les amendes peuvent atteindre jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial, ce qui constitue une pénalité extrêmement dissuasive. Les personnes physiques, quant à elles, risquent jusqu’à 300 000 euros d’amende et cinq ans d’emprisonnement.

C’est la CNIL (Commission nationale de l’informatique et des libertés) en France, ou son équivalent dans d’autres pays européens, qui est l’organisme chargé de veiller au respect de ces réglementations. En cas de fuite de données personnelles, la loi LOPMI impose désormais une obligation de déclaration à la CNIL dans un délai de 72 heures. Les responsables doivent alors mettre en oeuvre des mesures correctives et notifier les tiers concernés, les informant que leurs données pourraient avoir été compromises et détaillant les actions prises pour en limiter les effets, dans la mesure du possible.

JSS : Quelles mesures ont été mises en place pour réduire l’écart de sécurité entre les PME, les entreprises de taille intermédiaire (ETI) et les grandes entreprises face aux cyberattaques ?

P-M.G : Le deuxième point crucial est la directive NIS 2, qui représente une avancée majeure dans la régulation des cyber-risques. Cette directive européenne, qui entrera en vigueur en octobre 2024, impose un ensemble d’obligations spécifiques aux entreprises face aux menaces cybernétiques. Contrairement au RGPD qui s’adresse plus largement à toute entité traitant des données personnelles, la directive NIS 2 cible spécifiquement les entreprises, en particulier celles opérant dans des secteurs critiques.

Les grandes entreprises, à l’échelle mondiale, ont déjà intégré ces problématiques dans leur gouvernance. Elles disposent généralement de services dédiés à la gestion des risques, et ont conscience de leur vulnérabilité, ce qui fait du cyber-risque un sujet de gouvernance prioritaire.

En revanche, les PME et les ETI, qui n’ont pas la même structure ou les mêmes ressources, sont souvent plus concentrées sur leurs opérations courantes, comme gérer leur business plutôt que sur la gestion des risques cyber. Cela les rend particulièrement vulnérables, surtout si elles n’ont pas encore été confrontées directement à des incidents de cybersécurité. Surtout qu’elles représentent une cible privilégiée pour les hackers, qui les exploitent comme une porte d’entrée vers des entreprises plus importantes. En attaquant ces PME et ETI, souvent moins bien protégées, les cybercriminels peuvent accéder aux informations cruciales des grandes entreprises qu’elles sous-traitent, permettant ainsi de récupérer des données stratégiques sans affronter directement les défenses robustes des grandes corporations.

Du coup, cette directive NIS 2 est conçue pour combler le fossé en matière de cybersécurité au sein des entreprises. En France, elle va concerner environ 10 000 entreprises réparties sur 18 secteurs d’activité considérés comme hautement critiques. Ces entreprises, selon leur importance et l’impact potentiel d’une cyberattaque sur la fourniture de services essentiels aux États membres, seront tenues de mettre en place des mesures de protection rigoureuses contre les risques cyber. L’objectif de cette directive est d’améliorer la résilience des entreprises face aux menaces numériques, un enjeu crucial dans un monde où la digitalisation rapide expose les organisations à des risques de plus en plus importants. Pour s’assurer de la conformité, l’ANSSI sera chargée de contrôler que ces entreprises respectent bien les exigences de la directive.

Les dirigeants devront prouver qu’ils ont suivi des formations spécifiques et démontrer qu’ils ont instauré une véritable politique de gestion des risques, avec des plans d’action détaillés et des mesures d’évaluation. Si ces exigences ne sont pas respectées, des sanctions pourront être imposées, pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’entreprise.

Pour les PME et les ETI, la mise en conformité avec NIS 2 représente un défi important. Elles devront soit s’équiper de solutions de protection appropriées, soit faire appel à des sous-traitants spécialisés pour gérer la protection de leurs données. Il est probable qu’une période de transition soit accordée pour permettre à ces entreprises de se préparer avant que les sanctions ne soient appliquées.

JSS : En 2021, une task force opérationnelle a été lancée au sein de votre réseau, en cas de mise en cause de leur responsabilité civile ou pénale. Quelle expertise, quel service apportez-vous ?

P-M.G : Alors, justement, tout cet accompagnement autour des obligations juridiques telles que le RGPD ou la directive NIS 2 englobe en réalité un ensemble d’exigences complexes. L’objectif est d’aider les entreprises à répondre à leurs impératifs de conformité. Concrètement, cela commence par l’intervention des avocats, qui se chargent de structurer la partie juridique de ces obligations. Leur rôle ne se limite pas à conseiller sur les politiques à mettre en place, mais aussi à rédiger des procédures claires et adaptées au fonctionnement interne de l’entreprise, afin de s’assurer que rien n’a été négligé et que tout est conforme.

Sur le plan technique, l’accompagnement prend une dimension tout aussi cruciale. Il s’agit d’assister les entreprises sur le plan informatique pour qu’elles puissent établir et piloter une véritable politique de gestion des risques. À cet égard, une société du groupement Eurolaw, nommée EGERIE, joue un rôle clé. EGERIE propose un logiciel déjà largement utilisé par de grandes entreprises, qui permet de centraliser toutes les informations relatives à la gestion des risques en fonction des normes internationales en vigueur.

Les experts d’Eurolaw France Cyber sont ainsi capables de guider les entreprises dans la mise en place et le déploiement de leurs politiques de gestion des risques sur cette plateforme. Celle-ci offre un pilotage extrêmement fin des vulnérabilités cyber et permet également de développer un plan d’action pour quantifier les risques. À partir de cette quantification, les entreprises peuvent planifier leurs investissements financiers de manière progressive et ciblée afin de renforcer leur sécurité et de réduire leurs vulnérabilités.

En outre, EGERIE a développé un module spécifique pour l’assurance, qui permet de renseigner toutes les données nécessaires aux assureurs pour évaluer si le risque est assurable. Ce logiciel peut extraire les informations pertinentes pour chaque compagnie d’assurance, ce qui facilite grandement le travail des courtiers. Car ces derniers, en fonction des politiques de sécurité mises en place par l’entreprise, peuvent ainsi identifier les assureurs les plus adaptés à son profil de risque, en s’appuyant sur une évaluation précise et objective des risques.

JSS : Comment les dirigeants peuvent-ils se prémunir d’une cyberattaque, et ainsi, éviter que leur responsabilité ne soit engagée ?

P-M.G : Le sujet central ici, c’est de mettre en place une véritable politique de gouvernance du risque cyber pour les entreprises. Pour cela, il est nécessaire de s’entourer d’experts afin de bien cerner et comprendre la nature de son risque cyber. Pour un dirigeant de PME ou d’ETI, il s’agit de se poser les bonnes questions : quelles sont les données personnelles que je traite, en quelle quantité, et dans quel contexte ? Comment mon système informatique est-il armé pour résister à des attaques potentielles ? Tout cela commence par un audit approfondi.

Cet audit initial est indispensable pour dresser un état des lieux clair de ce qui est fait, de ce qui ne l’est pas, et de ce qui doit être amélioré. C’est exactement ce que nous faisons actuellement pour un gros syndicat de l’eau, où tout a commencé par un audit détaillé. À partir de cet audit, nous avons pu recommander un ensemble de mesures prioritaires à mettre en place, mais ce n’est que le début du processus de mise en place d’une véritable politique de gestion du cyber-risque.

Cela signifie aussi nommer un DPO (délégué à la protection des données) si l’entreprise n’en a pas, surtout lorsqu’il s’agit d’une entité essentielle. Il faut également s’assurer que l’on dispose d’un RSSI (responsable de la sécurité des systèmes d’information) et qu’un plan soit mis en place pour protéger les vulnérabilités détectées, avec un suivi régulier des mesures mises en oeuvre.

Par ailleurs, acheter un logiciel de protection ne suffit pas. Il s’agit d’instaurer une politique d’audit rigoureuse, avec une révision régulière de ce plan pour ajuster les investissements humains et financiers nécessaires. La formation joue aussi un rôle clé, car une bonne politique de cybersécurité repose avant tout sur les bons réflexes. On le constate chez les particuliers, où les erreurs d’hygiène numérique, comme le partage de données bancaires à des arnaqueurs via des phishing, sont fréquentes. Il y a donc tout un travail d’éducation à mener au sein des entreprises pour instaurer une véritable culture de la sécurité numérique.

JSS : Dernièrement, quelles méthodes de piratages des entreprises ont le plus la cote ?

P-M.G : En entreprise, le phishing reste la méthode la plus redoutable et la plus courante, visant à escroquer, voler ou crypter des données, souvent en préparation d’une attaque par ransomware. Cette technique est largement répandue car elle est financièrement efficace, surtout dans le secteur privé où, malgré les recommandations contraires et l’obligation de déclarer les sinistres dans les 72 heures, certaines entreprises privées peuvent encore céder à la tentation de payer la rançon demandée. Dans le secteur public, le paiement de rançons est moins fréquent, en grande partie à cause des restrictions légales et des contraintes budgétaires.

La nature des attaques varie également en fonction du type de cybercriminel en question. Par exemple, lorsqu’il s’agit d’acteurs motivés par des objectifs politiques, les attaques de type DDoS, qui consistent à saturer les serveurs d’une entreprise jusqu’à les rendre inopérants, sont courantes. Ces attaques sont purement malveillantes, et visent à paralyser l’entreprise sans chercher à en tirer un gain financier direct. Il en va de même pour les attaques virales qui ont pour seul but de perturber le fonctionnement de l’entreprise, voire de l’anéantir.

Il existe bien sûr d’autres types d’attaques, souvent moins sophistiquées, mais toujours dans le but de voler des données ou de bloquer des services critiques. Ainsi, il n’est pas surprenant que le phishing et les attaques DDoS soient en pleine expansion, car ce sont les moyens les plus directs et les plus efficaces pour les cybercriminels d’atteindre leurs objectifs. Quant aux virus informatiques traditionnels, souvent créés par de jeunes génies cherchant à se faire un nom, ils existent toujours, mais ils ne représentent pas la menace principale pour les entreprises aujourd’hui.

JSS : Les Jeux Olympiques de Paris 2024 ont-ils contribué à l’augmentation du nombre d’entreprises touchées par les attaques ? Peut-on le craindre également avec les Jeux Paralympiques ?

P-M.G : Je pense qu’il sera pertinent de faire le point dans un certain temps, car il est encore trop tôt pour se prononcer de manière définitive. Cependant, il est évident que les risques sont nombreux, car la France est particulièrement exposée à diverses menaces. Prenons par exemple la situation avec la Russie : l’exclusion des athlètes russes des JO pourrait bien susciter des réactions, et il n’est pas exclu que certains espèrent voir la France rencontrer des difficultés cet été, notamment en matière de sécurité.

Mais on assiste souvent lors de tels événements à une recrudescence des attaques cybernétiques, comme cela a été le cas lors des précédents Jeux Olympiques. Les grands événements internationaux attirent toujours une attention accrue, non seulement des spectateurs et des médias, mais aussi des cybercriminels et autres acteurs malveillants, qui voient là également une opportunité de perturber, d’exercer des pressions ou de démontrer leurs capacités.

JSS : Comment jugez-vous l’efficacité de notre arsenal législatif français et européen pour faire face à la menace cyber qui plane sur les entreprises ?

P-M.G : Je pense que nous avançons progressivement dans la bonne direction, notamment avec le déploiement de la directive NIS 2, même si cela ajoute une certaine complexité pour les entreprises. En parallèle, le Règlement général sur la protection des données (RGPD) est en vigueur dans toute l’Europe, mais il y avait une faille majeure qui est enfin en train d’être corrigée : la vulnérabilité des données européennes lorsqu’elles sont stockées sur des clouds souverains américains. Ce problème est lié au Cloud Act, la législation américaine qui permet aux autorités américaines de récupérer, en toute légalité mais de manière discutable, des données appartenant à des entités étrangères.

Cette situation pose un problème crucial de souveraineté et d’extraterritorialité, car elle permet aux États-Unis d’exercer une forme d’impérialisme numérique. C’est particulièrement dangereux compte tenu de l’avance technologique significative des États-Unis dans ce domaine. Il ne faut pas oublier que la majorité des grandes entreprises technologiques mondiales sont américaines, et que près de 80 % du savoir-faire technologique est concentré là-bas. En conséquence, si les États-Unis peuvent accéder aux données du monde entier, cela donne un sens très réel au concept de « Big Brother is Watching You ».

Cependant, il est encourageant de voir que la Cour Européenne de Justice a apporté un nouveau cadre important pour renforcer la protection des données (dit cadre de protection des données : CPD, ou DPF en anglais : « Data privacy framework »). L’Union européenne commence enfin à prendre fermement position contre ce type de lois extraterritoriales. Cela montre que l’arsenal juridique et réglementaire européen se renforce progressivement, même si, comme pour toute chose, cela prendra du temps à se mettre pleinement en place.

Propos recueillis par Romain Tardino pour le JSS.

Lire l’interview sur le site du Journal Spécial des Sociétés.

crise cyber
cyberassurance
cyberattaque
cybercriminalité
droit international
géopolitique
inforensique
preuve numérique
risque cyber
réponse à incident
souveraineté

L’article Une politique de gouvernance du risque cyber pour les entreprises. est apparu en premier sur EUROLAW FRANCE CYBER.

par Pierre-Marie GAUTHIER

A l’origine, le constat qui ne cesse de se vérifier, que les risques cyber restent la menace numéro 1 pour l’ensemble des entreprises privées et publiques et leurs dirigeants, et que cette menace, par sa complexité, nécessite un traitement préventif et curatif relevant d’expertises complémentaires.

 

Ainsi est née le 9 mai 2022, sous l’impulsion de l’avocat européen bien connu Yves-Marie MORAY, co-fondateur d’EUROLAW en 1992, EUROLAW FRANCE CYBER, association unique en son genre, capable de relever globalement ce défi c’est-à-dire de se positionner comme guichet unique répondant à l’ensemble des besoins des dirigeants d’entreprises relatifs à une maitrise complète des risques cybernétiques.

Avec l’entrée en vigueur de la directive européenne NIS2 dans les tous prochains mois (17 octobre 2024), les besoins de sécurité et de conseils avisés vont se faire croissants, confirmant ainsi la pertinence de notre modèle. 

Une méthodologie éprouvée : la richesse de l’interdisciplinarité.

Au commencement était la science du risk management et ses incontournables méthodologiques :

• Analyse du risque (dommages et pertes consécutives, responsabilités de dirigeants et de l’entreprise): inventaire, hiérarchisation par criticité décroissante, etc.
• Traitement du risque: étude des solutions de prévention (formation, chiffrage des solutions de prévention permettant de réduire ou de supprimer le risque) ou curatif (préparation et gestion de crise)
• Etude de solutions de transfert du risque, dont l’assurance.

Ce constat nous a amené à constituer une équipe interdisciplinaire de spécialistes dans les principaux domaines suivants:

• Juristes d’entreprise experts en cyber droit, avocats en droit public, droit des affaires dont le droit pénal et la propriété intellectuelle
• Spécialistes de la gestion de crise et de la formation opérationnelle pour s’y préparer efficacement
• Economistes référents en matière de l’évaluation du préjudice économique
• Auditeurs cyber multi certifications et ingénieurs informatiques cyber, notamment CISA, ISO 27000 K, DPO AFNOR
• Editeurs de cybersécurité comme TEHTRIS et son XDR bien connu du marché
• Courtiers d’assurances comme FILHET ALLARD, spécialiste du cyber avec sa filiale en ingénierie du cyber-risque.

Comment se réalise l’intégration de l’ensemble des compétences au sein d’Eurolaw France Cyber ?

Tout part de l’audit de risques dont les données sont analysées, hiérarchisées et retravaillées dans l’outil Egerie Risk Manager, pierre angulaire du concept. Cet outil devient rapidement un must de la compréhension du risque cyber et une aide indispensable à la prise de décision des dirigeants d’entreprise, leur permettant d’analyser les scenarii de crise, de les quantifier et de décider les investissements prioritaires en y intégrant notamment des notions de R.O.I.

Face à un marché de la cyberassurance très exigeant et peu capacitif, EUROLAW FRANCE CYBER offre une solution innovante et optimale: un module spécifique assurance et gestion de risques vient d’être développé en commun avec EGERIE, FILHET-ALLARD et Cie et sa filiale PRAEVENTIA, permettant d’optimiser le scoring de risques, c’est-à-dire donnant accès aux meilleurs placements d’assurance sur le marché (couple capacité/prix).

Ainsi, ce logiciel est capable, à partir de données objectives mises à jour par le client chaque année et intégrant les différentes options et choix de priorités d’investissements en gestion du risque cyber, de déterminer comment optimiser son scoring de risque assurance en tenant compte des politiques de souscription des principaux porteurs de risque.

Une telle réalisation n’aurait jamais été possible sans le concours de multiples spécialistes interdisciplinaires et nous les en remercions !

 

A notre connaissance, aucune autre solution de gestion du risque cyber intégrée à ce niveau n’existe sur le marché européen, apportant à nos clients un gain de temps et la confirmation que leurs choix d’investissements en prévention/protection seront reconnus et valorisés par les assureurs !  

Pierre-Marie GAUTHIER est Secrétaire Général d’EUROLAW FRANCE CYBER et actionnaire de FILHET ALLARD. Contact : pmg@eurolaw.eu

L’article Eurolaw France Cyber : le point après deux ans d’existence est apparu en premier sur EUROLAW FRANCE CYBER.