Plus de la moitié des entreprises françaises ont été la cible d’au moins une cyberattaque en 2023 (53 %, contre 48 % en 2022, selon les données officielles). Ce chiffre en hausse reflète une réalité : les actes malveillants se multiplient, en particulier à l’encontre des structures les plus vulnérables, comme les PME ou les ETI. C’est dans ce contexte que la directive européenne NIS2 a été mise en place. Elle impose de nouvelles règles en matière de cybersécurité aux entités dites « essentielles » ou « importantes ». Tour d’horizon de ce qu’il faut retenir.
NIS2 : une directive européenne aux exigences renforcées
Entrée en vigueur en janvier 2023, la directive NIS2 (Network and Information Security) renforce et élargit le cadre de la première directive NIS (adoptée en 2016). Son objectif : améliorer la protection des acteurs économiques face à des menaces numériques de plus en plus complexes et fréquentes.
Qui est concerné ? Les structures opérant dans 18 secteurs d’activité jugés critiques, dont certaines PME et ETI qui entrent désormais dans le champ d’application, en tant qu’entités « essentielles » ou « importantes ». Ces entreprises doivent désormais respecter un ensemble d’obligations strictes pour prévenir les risques cyber.
Pourquoi les PME sont particulièrement ciblées ?
Contrairement à une idée reçue, les pirates informatiques ne s’attaquent pas uniquement aux grands groupes. Les petites et moyennes entreprises représentent une cible privilégiée, en raison de dispositifs de sécurité souvent moins robustes. En 2022, 40 % des attaques par rançongiciel enregistrées par l’ANSSI visaient des PME ou ETI (source : Francenum).
Le message porté par NIS2 est clair : quelle que soit leur taille, les entreprises doivent élever leur niveau de sécurité numérique pour mieux résister aux attaques et garantir la continuité de leur activité.
Quelles sont les principales obligations ?
Les exigences de la directive NIS2 s’appliquent aux structures concernées depuis 2023. En voici les grands principes :
- Approche par les risques : l’entreprise doit identifier les menaces majeures pesant sur ses activités et adopter des mesures adaptées pour limiter leur impact. Il ne s’agit plus simplement de « faire de la cybersécurité », mais de piloter une stratégie globale de résilience.
- Responsabilité de la direction : même dans les structures de taille modeste, la gouvernance doit s’impliquer pleinement. La nomination d’un responsable cybersécurité est fortement recommandée.
- Notification obligatoire : en cas d’incident significatif, un signalement doit être transmis à l’ANSSI dans un délai de 24 heures (et, le cas échéant, à la CNIL dans un délai de 72 heures).
- Sécurité des partenaires : l’entreprise doit s’assurer que ses prestataires et sous-traitants respectent également les exigences en matière de cybersécurité. La chaîne d’approvisionnement numérique devient un enjeu à part entière.
Que risque-t-on en cas de non-conformité ?
L’un des apports majeurs de NIS2 est son caractère obligatoire. Les sanctions en cas de manquement sont renforcées : jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires annuel. Mais au-delà de l’aspect financier, une cyberattaque peut mettre en péril la survie même de l’entreprise : interruption d’activité, perte de données sensibles, atteinte à la réputation…
Comment renforcer la résilience de votre entreprise ?
Pour répondre aux exigences de la directive et sécuriser leur activité, les entreprises peuvent adopter plusieurs bonnes pratiques :
- Évaluer les risques critiques, en distinguant les menaces portant sur la continuité d’activité et celles touchant les produits ou services.
- Formaliser un plan d’action, avec des procédures claires en cas d’incident : qui fait quoi, comment, dans quel délai ?
- Intégrer des clauses de sécurité dans les contrats avec les prestataires et s’assurer de leur conformité, en privilégiant les fournisseurs européens.
- Mettre à l’épreuve vos dispositifs de continuité, en testant régulièrement les plans de reprise d’activité.
- Former les équipes, en sensibilisant chacun aux réflexes à adopter en cas de tentative d’intrusion ou de comportement suspect.
La cybersécurité n’est plus une option mais une condition de pérennité pour les entreprises. Anticiper les risques, formaliser une stratégie de protection, sécuriser son écosystème numérique : autant d’actions indispensables pour préserver l’activité de votre structure dans un environnement digital en constante évolution.
