Nouveau
Accueil » Actu » Directive NIS 2 : ce qui attend les entreprises en 2025

Directive NIS 2 : ce qui attend les entreprises en 2025

370

Vous pensiez avoir fait le nécessaire sur la sécurisation de votre réseau ? Mauvaise nouvelle, la nouvelle directive européenne NIS 2, entrée en vigueur en octobre dernier, va plus loin que la première mouture et oblige désormais certaines entreprises à se plier à des règles cyber bien plus strictes. L’idée n’est plus seulement de protéger quelques opérateurs critiques, mais de s’assurer que l’économie européenne ne se retrouve pas à la merci du moindre ransomware. De fait, en 2025, toute une frange d’organisations va devoir rehausser son niveau de sécurité pour répondre à ce texte.

Un périmètre élargi, des obligations renforcées

La première directive NIS, adoptée en 2016, concernait principalement ceux qu’on appelle les « opérateurs de services essentiels » (énergie, transport, finance, santé…) et certains fournisseurs de services numériques. Mais elle laissait encore pas mal de secteurs dans l’ombre.

NIS 2 corrige le tir : de nouveaux domaines, parfois inattendus, rejoignent la liste… 15 000 entreprises et collectivités françaises sont concernées.

Ainsi, une PME qui fournit un service support à un grand opérateur peut se retrouver embarquée dans les obligations de la directive.

Même si votre activité n’a pas l’étiquette « sensible » collée sur le fronton, si elle impacte la chaîne globale, vous pourriez être visé.

Autre nouveauté : les mesures sont plus détaillées, plus exigeantes. Objectif : éviter la simple checklist sans effet réel. Mises à jour régulières, contrôle renforcé de la supply chain, plan d’intervention en cas d’incident… tout y passe.

Plus d’exigences, plus de rigueur

Avec NIS 2, plus question de faire de la cybersécurité à sa sauce, tranquillement dans son coin. Les autorités attendent désormais :

  • une véritable analyse de risques documentée,
  • un dispositif de surveillance pour détecter intrusions et anomalies,
  • des plans d’urgence (PRA/PCA) évalués régulièrement,
  • un reporting d’incident cyber quasi immédiat (souvent en moins de 24 heures).

En clair, il va falloir muscler son jeu, aussi bien en termes de dispositif que de ressources spécialisées.

La directive vise à créer un socle minimal de sécurité dans toute l’UE, pour éviter que la compromission d’un acteur fragile ne cause un gros incident en cascade.

Des sanctions qui piquent…et qui devraient donc dissuader de ne pas jouer le jeu

Sans sanction, les meilleurs principes restent lettre morte. D’autant plus lorsque l’on s’adresse à l’IT, déjà bien bien sous pression…

Pour NIS 2, la Commission européenne a donc annoncé la couleur avec des amendes conséquentes, et notamment des pourcentages du chiffre d’affaires, à la manière du RGPD. Et ça ne concerne pas que les très grands groupes.

Au-delà de ça, la pression publique va également s’accroitre sur les acteurs concernés. Un incident grave non signalé, ou une non-conformité un peu trop flagrante, peut entraîner une mise sous le feu des critiques, tant au niveau médiatique qu’auprès des autorités compétentes. Or, la réputation, on le sait, c’est du capital.

Autant dire qu’il vaut mieux investir dans la sécurité en amont plutôt que de subir ensuite une belle claque financière et d’image.

Se préparer : 4 angles d’attaque

1. Être le plus au clair possible

Tout d’abord, le simple bon sens : savoir où on en est. Cartographier son SI, identifier les assets critiques, pointer ce qui est vulnérable, etc. Sans ce diagnostic, impossible de prioriser.

2. Mettre en place une gouvernance claire

Désigner un responsable cybersécurité, systématiser un reporting, définir des process d’alerte, c’est la base. Objectif : ne jamais se retrouver en pleine crise sans savoir qui fait quoi.

3. Bétonner le pilotage technique

Troisième point, le pilotage technique. Mises à jour, segmentations réseau, durcissement des accès, authentification forte, certifications à jour… tout ce qui relève du « pack d’hygiène cyber » doit être en béton armé.

4. Vigilance maximum avec la supply chain

NIS 2 insiste sur la responsabilité qu’on a aussi envers ses partenaires et fournisseurs : un maillon faible, et c’est toute la chaîne qui trinque. Alors on discute contrats, clauses de cybersécurité, audits éventuels, pour éviter la faille provoquée par un tiers un peu à la ramasse.

👉 Pour aller plus loin et assurer une conformité aux standards de sécurité, sachez qu’il existe des experts qui peuvent accompagner les entreprises dans leur mise en conformité avec NIS 2.

Plus qu’une contrainte, une opportunité

C’est effectivement très bateau, mais la réalité c’est que râler contres ces nouvelles obligations ne changera malheureusement pas grand-chose, autant donc prendre le sujet par le bon bout. A savoir que NIS 2 peut devenir un levier d’amélioration.

En effet, en rehaussant votre niveau de protection, vous gagnez la confiance de vos clients et partenaires, vous réduisez nettement le risque d’être touché par un ransomware, sans compter que mettre en place un SOC ou une gestion de vulnérabilités plus rigoureuse peut fluidifier d’autres volets de l’IT.

L’autre opportunité, c’est la montée en compétences de toutes vos équipes. La cybersécurité n’est plus l’apanage de la DSI, c’est un sujet transversal qui implique la direction, les métiers, la communication, etc.

A vous de profiter de cette opportunité pour mettre en œuvre une culture de la vigilance, clarifier des process, et globalement tirer tout le SI vers le haut.

ARTICLES LIÉS