L’entrée en vigueur de la directive NIS 2 en France ferait progresser la résilience numérique du pays, selon une étude de WPI Economics pour Splunk
mai 2024 par Splunk
Essentiellement concentrée sur la cybersécurité et principalement axée sur l’établissement d’un niveau commun élevé de cybersécurité, l’approche de la France en matière de résilience numérique est trop restrictive et ne permet pas d’adresser de manière adéquate l’ensemble des défis liés à la résilience numérique selon le rapport « Renforcer la résilience numérique en France » réalisé par WPI Economics pour Splunk.
Le gouvernement français n’a pas défini une stratégie de prévention des problèmes et des incidents des systèmes numériques, en dehors de ceux qui résultent de cyberattaques. Cependant, l’entrée en vigueur de la directive de l’Union européenne NIS 2 (ou SRI 2) dans la loi française, prévue pour octobre 2024, pourrait bien changer la donne.
Donner plus de pouvoir aux organisations françaises
La Stratégie nationale pour la sécurité du numérique de 2015 confère à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) un rôle important pour assurer la visibilité des vulnérabilités des systèmes. Elle est également en charge, entre autres, de diffuser les informations relatives aux menaces, de contrôler les projets informatiques les plus importants et les plus sensibles ou encore de coordonner la réponse aux interruptions de service résultant d’incidents informatiques.
Néanmoins, le rapport de WPI Economics pour Splunk indique que la stratégie centralisée adoptée par la France, avec le rôle prépondérant de l’ANSSI, entrave la responsabilité des organisations à prévenir les attaques et à davantage intégrer les pratiques numériques en faveur d’une résilience globale.
L’adoption de la directive NIS 2 en droit français obligera un plus grand nombre d’organismes publics français (et d’autres organisations « essentielles ») à se conformer à des normes organisationnelles plus strictes en matière d’informatique et de résilience numérique, ainsi qu’à des exigences en matière de déclaration et de délais pour les incidents majeurs. Ces mesures de sécurité requises comprennent des plans de continuité d’activité, dont la gestion des sauvegardes et la reprise après sinistre.
Cette directive mettra également davantage l’accent sur la gestion de la sécurité et les procédures de révision et d’amélioration des politiques et des systèmes numériques, en imposant aux organisations d’adopter une « cyberprotection active ». Ce concept est défini comme « la prévention, la détection, la supervision, l’analyse et l’atténuation actives des violations de la sécurité du réseau ».
Afin de satisfaire à cette obligation, les organisations françaises devront assurer la supervision de leurs systèmes et procéder à une analyse continue de leurs services et de leurs procédures, pour se prémunir contre les cybermenaces et autres perturbations potentielles de la résilience numérique.
En outre, le gouvernement français exigera des services de sécurité numérique, tels que la gestion de la configuration et la journalisation, aux petites et moyennes organisations qui ne disposent pas de ces moyens. Ainsi, l’observabilité des processus sera améliorée dans de nombreux secteurs publics et organisations du secteur tertiaire de plus petite taille.
« L’entrée en vigueur de la directive NIS 2 est une excellente nouvelle pour l’ensemble des organisations françaises, quel que soit leur secteur d’activité ou leur taille. C’est également une opportunité pour elles de procéder à un état des lieux de leur niveau de résilience et d’identifier les améliorations à prendre ces prochains mois afin d’être conforme avec cette directive. Comme le démontre le rapport de WPI Economics, la résilience numérique ne se limite pas aux incidents de cybersécurité, même s’ils sont aujourd’hui extrêmement répandus. Une erreur humaine ou un incident météorologique peut aussi bien causer des dommages importants ayant des répercussions financières ou impactant la réputation d’une entreprise. La continuité d’activité doit aujourd’hui être la priorité de tous, que l’on soit une entreprise du secteur tertiaire, une usine ou un organisme public. » déclare Fanny Doukhan, AVP, Strategic Sales France chez Splunk.