La cybercriminalité évolue au rythme de la digitalisation, faisant de la cybersécurité un enjeu clé pour les entreprises. Raison pour laquelle l’Europe se prépare à coup de directives et de règlements pour pousser «ses» PME à mieux se protéger. La directive NIS2 marque un tournant majeur auquel vous devez vous préparer…
Dans tous les secteurs, la digitalisation galope, créant autant de failles potentielles pour les cyberattaques. La panne géante de Microsoft l’a prouvé: des pans entiers de notre société peuvent être mis hors course en un clic, avec des conséquences dommageables et multiples pour les entreprises concernées. Pour diminuer la vulnérabilité des systèmes numériques européens, l’UE a planché sur une nouvelle directive, baptisée NIS2, qui entre en vigueur en Belgique d’ici la fin de l’année. Son objectif? Contraindre les entreprises à adopter des normes de sécurité plus élevées.
NIS2, un bouclier numérique ambitieux
Depuis sa première stratégie en cybersécurité en 2013, l’UE n’a eu de cesse de renforcer son arsenal législatif. Transposée en droit belge, la directive NIS2 (Network and Information Systems 2) est la dernière initiative en date, qui vient remplacer et élargir considérablement le champ d’application de la première directive NIS de 2016. L’ambition? Améliorer la résilience et les capacités de réponse aux incidents de cybersécurité des entités publiques et privées. Concrètement?
- Qui est concerné? NIS2 s’applique aux moyennes et grandes entreprises — employant plus de 50 personnes ou ayant un chiffre d’affaires annuel dépassant 10 millions d’euros — dans plusieurs secteurs clés, comme l’énergie, les transports, la santé, l’industrie, le numérique, etc.
- Quelles obligations? NIS2 impose des mesures de sécurité renforcées, une gestion des risques plus stricte, mais aussi des obligations de notification en cas d’incident.
- À partir de quand? La date du 17 octobre 2024 marque l’entrée en vigueur des nouvelles obligations pour les entreprises belges, puisque notre pays a jusqu’à cette date pour transposer la directive en droit national.
NIS2, comment agir?
Pour les entreprises visées, la directive européenne exige une refonte complète de la stratégie de cybersécurité, dont voici les principales obligations à anticiper:
- Mettre en place un système de gestion de la sécurité de l’information (politique de sécurité, responsable ad hoc, procédures de gestion des incidents, etc.)
- Effectuer une analyse régulière des risques (identification des actifs critiques, évaluation des menaces potentielles, etc.)
- Prendre des mesures techniques et organisationnelles (sécurité des réseaux et systèmes d’information, contrôles d’accès stricts, chiffrement des données sensibles, etc.)
- Former son personnel aux bonnes pratiques de cybersécurité
- Créer des procédures de notification endéans les 24 heures en cas d’incident
La cybersécurité, un enjeu pour toutes les PME
Même si votre PME n’est pas concernée par NIS2, vous avez intérêt à prendre le sujet très au sérieux. En effet, contrairement aux idées reçues, les cybercriminels visent toutes les entreprises, peu importe leur taille. Investir dans la cybersécurité n’est donc plus une option, mais une nécessité stratégique. Vous ne savez pas par où commencer? Cyberwal, le consortium wallon pour la cybercriminalité, vous permet de tester la maturité cyber de votre organisation. Un premier pas, auquel vous pouvez ajouter des mesures de base, trop souvent négligées:
- Sauvegardes régulières et sécurisées de vos données;
- Utilisation de mots de passe robustes et uniques;
- Mise à jour systématique des logiciels et systèmes;
- Mise en place d’un VPN pour les accès à distance;
- Sensibilisation des employés aux techniques de phishing;
- Etc.
Au-delà de la conformité réglementaire, NIS2 est donc une opportunité unique de tracer la voie d’un avenir numérique plus sûr pour votre PME.
