D’après le rapport d’une étude publiée dernièrement par Splunk, il n’est pas facile pour les entreprises de se conformer aux exigences en matière de cybersécurité. En France, ce problème concerne plus de la moitié des entreprises. Moins ciblées par les attaques des cybercriminels, ces dernières se soucient toutefois de la transposition de la directive NIS2 au droit national dès l’automne prochain.
En effet, plus de 80 % de RSSI (responsables de la sécurité des systèmes d’information) ayant participé à cette enquête déclarent vouloir prioriser la conformité aux nouvelles réglementations et y consacrer plus de budgets.
Quels seront les changements apportés par la directive européenne NIS2 ?
La NIS2 remplacera la directive NIS mise en place en 2016. Ce nouveau texte prévoit l’extension des obligations de conformité à d’autres secteurs d’activité.
Parmi ceux-ci figurent les administrations publiques, les industries pharmaceutiques et chimiques, les réseaux de gestion des déchets ou encore le secteur de l’alimentation.
Les entités concernées seront classées en 2 catégories (essentielles et importantes) suivant leur niveau de criticité, mais aussi sur les désagréments pouvant être causés par le dysfonctionnement de leurs systèmes d’information.
Cette nouvelle directive met également l’accent sur la responsabilité de la direction en cas de non-respect de ces exigences. Celle-ci devrait alors prendre des dispositions appropriées afin de mieux gérer les risques qui menacent les réseaux et les SI.
Mais cette étude a révélé que plus de 80 % des répondants déclarent vouloir prioriser la conformité à ces récentes réglementations et y consacrer plus de budgets.
Les entreprises tricolores disposent d’un délai de 3 ans
L’Anssi (Agence nationale de la sécurité des systèmes d’information) a annoncé qu’elle n’opèrera des contrôles qu’à partir de 2028. Les entreprises françaises disposent ainsi d’un délai de 3 ans pour se mettre aux normes. Pour cela, elles peuvent se faire aider par un expert cybersécurité.
À noter qu’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou représentant 2 % du chiffre d’affaires est prévue pour toute entité ayant omis de lancer une première alerte auprès de cette autorité 24 heures après une intrusion.
Ensuite, elle devra fournir tous les détails de l’incident ainsi qu’une évaluation de l’impact dans les 72 heures suivant l’attaque.