L'attaque par rançongiciel qui a visé le groupe de presse Bayard dimanche dernier, paralysant des publications telles que La Croix, montre l’ampleur des cybermenaces. Cet incident a mis une nouvelle fois en lumière l'importance de la sécurité numérique pour toutes les entreprises, quel que soit leur secteur. Avec l’entrée en vigueur de la directive NIS 2 en octobre 2024, les dirigeants doivent prendre conscience que la gestion des cyber-risques n’est plus seulement une question technique.
Elle devient une responsabilité stratégique.
 

La directive NIS 2 renforce et étend le cadre de protection introduit par NIS 1 en 2016, qui ciblait des secteurs critiques limités.

Désormais, le périmètre couvre un plus grand nombre de secteurs d’activité, touchant des milliers d’entités, y compris des PME, des collectivités locales et des acteurs de la chaîne d’approvisionnement numérique. Ce changement de paradigme répond à la sophistication croissante des cyberattaques, comme celle ayant touché le groupe Bayard, qui n’épargne plus aucun secteur.

La NIS 2 place les dirigeants au centre des mesures de protection. Désormais, les échelons décisionnaires, et non seulement les équipes techniques, sont directement responsables de la mise en œuvre des stratégies de sécurité numérique.
 

1. Responsabilité renforcée :

Avec NIS 2, la responsabilité des dirigeants est directement engagée en cas de non-conformité aux obligations de cybersécurité. En cas de défaillance, les sanctions financières pourront être proportionnelles au chiffre d'affaires global, ce qui rappelle les principes du RGPD. Cette approche vise à garantir que les décideurs s’impliquent activement dans la sécurité de leurs systèmes.

2. Une approche stratégique nécessaire :

La cybersécurité n’est plus uniquement un enjeu technologique, c’est désormais un sujet de gouvernance. Les comités de direction doivent intégrer la cybersécurité dans leurs décisions stratégiques. La sécurité numérique devient une priorité au même titre que la gestion des risques financiers ou opérationnels. Il s'agit de garantir non seulement la continuité des activités, mais aussi de protéger la réputation de l'entreprise.

3. Une préparation immédiate :

L’ANSSI propose des outils pratiques pour aider les entreprises à se conformer à la directive. La mise en œuvre de mesures proactives est indispensable. Il s'agit notamment de renforcer les capacités de défense, de sensibiliser l'ensemble des équipes, et d’établir un cadre clair de réaction en cas de crise. L'anticipation devient un facteur clé de succès pour se protéger des attaques.

En adoptant la NIS 2, les entreprises peuvent transformer une obligation réglementaire en un avantage concurrentiel. En renforçant leur cybersécurité, elles ne se contentent pas de se conformer à la loi, mais augmentent leur résilience face aux attaques, minimisant ainsi les interruptions d’activité, comme celles récemment subies par La Croix.

Cette directive favorise également une coopération accrue entre les acteurs privés et les autorités publiques, avec l’objectif commun de créer un écosystème numérique plus sûr. Pour les dirigeants, il est temps d’envisager la cybersécurité non plus comme une contrainte, mais comme une opportunité stratégique pour se protéger et innover en toute confiance.

L'attaque contre le groupe Bayard est une piqûre de rappel sur les vulnérabilités numériques. Avec la directive NIS 2, les dirigeants sont mis au premier plan pour garantir la sécurité numérique de leur organisation. Cette réglementation, qui responsabilise les échelons décisionnaires, doit être vue comme un levier pour instaurer une culture de sécurité au sein de l’entreprise, anticiper les menaces, et bâtir un avenir numérique plus robuste.
 

Consultant senior en communication sensible et gestion de crise.
Veillemag Le Magazine des Professionnels de l'information stratégiUE
element - Management de l'incertitude, crise et enjeux sensibles, Management in times of uncertainty, crisis and issues

 La confidentialité et l'intégrité des données sont mises en danger, mais c'est la disponibilité des données qui est compromise. Les liaisons hertziennes sont interrompues, aucun signal radio n'atteint les téléviseurs, les communications sont bloquées.
Cette situation peut se produire à différents niveaux, d'une petite zone à une région entière. Les données nécessitent des ondes radio pour être transmises, donc sans signal, plus aucune donnée n'est accessible. Une telle catastrophe est envisageable, mettant en danger nos systèmes de communication essentiels.

Et ça peut arriver ! La directive NIS2 prévoit-elle une protection sur ces infrastructures ? Nous sommes au cœur du sujet.
On en parle le lundi 16 septembre, 18h par Zoom.

Un brouillage constitue un danger. C’est une menace tout aussi critique qu’une attaque informatique. Un brouillage porte atteinte à la disponibilité des communications ou des informations véhiculées sur les liaisons hertziennes concernées et peut causer un déni de service. En empêchant le bon fonctionnement d’applications de communication ou de transmission et réception de données. Or, les trois concepts fondamentaux en sécurité de l’information sont la confidentialité, l’intégrité et la disponibilité.

Le brouillage est une menace cyber à part entière.

En assurant le contrôle du spectre de manière préventive et curative, l’ANFR participe à la cybersécurité et plus largement à la sécurité numérique et économique et à la sécurité de l’État.

L’ANFR intervient chaque jour sur le terrain avec ses agents habilités et assermentés, munis d’équipements de pointe, pour trouver les sources des brouillages et y mettre fin et rétablir la continuité des applications, services et infrastructures qui ont besoin de liaisons hertziennes pour fonctionner. Chaque année entre 1500 et 1800 brouillages lui sont signalés.

L’ANFR intervient aussi pour sécuriser les fréquences sur de grands évènements : JO, Tour de France 24 h du Mans, Roland Garros, …

Il était grand temps, car la cybersécurité et la sécurité physique ont longtemps été gérées de manière indépendante. Cette division a engendré des lacunes susceptibles d'être exploitées par les pirates informatiques qui savent tirer parti des failles dans les systèmes numériques et physiques.
Comment parvenir à converger de manière efficace et judicieuse ?
Quels profils sont impliqués et quelle est la feuille de route ? Nous allons examiner tout cela pendant cette émission.
 

Adrien Frossard, Deputy Head of Executive Protection chez AXA
Iris Wickham, Senior Account Director France d'Everbridge
Patrick Guyonneau, Directeur de la sécurité Groupe chez Orange
Michel Cazenave, CISO/CSO de PwC France

Everbridge est une entreprise américaine fondée en 2002, à la suite des attentats du 11 septembre 2001, en se donnant la mission d’assurer la sécurité des personnes dans les situations de crise. Everbridge développe des applications qui automatisent l’envoi d’information critique, afin d’assurer la sécurité des personnes et la continuité opérationnelle des organisations.

Dès la mise en vigueur de la directive européenne NIS 2, le Clusif a mis en place une task force qui a produit :

• Une grille d’autoévaluation de la maturité, par rapport à la transposition nationale de la directive NIS2 (version préliminaire) 
• Une table de correspondance entre la transposition nationale de NIS2 (version préliminaire) et les deux versions de l’ISO27001 (2013 et 2022)

Ces deux outils sont pour l’instant réservés aux membres du Clusif et seront ouverts au téléchargement cet automne.

Dans l’intervalle, le groupe a également rédigé une fiche réflexe A5 résumant les principaux enjeux de la directive. Construite de la même manière que notre fiche "Porter plainte " , elle permet notamment aux professionnels de la sécurité de l’information de communiquer auprès des autres parties prenantes de manière synthétique.

• Objectif : Assurer un niveau élevé de sécurité des réseaux et des systèmes d’information dans l'UE.
  

• Sanctions : Les sanctions de NIS 2 seront plus sévères, basées sur un pourcentage du chiffre d’affaires mondial des entités concernées.
  

• Entités concernées : Plus de 10 000 organisations appartenant à l'un des 18 secteurs d'activité définis par la directive.
  

• Périmètre : Tout le système d'information (gestion et industriel).
  

• Ressources externes : ANSSI, lien vers la directive NIS 2 et Mon espace NIS 2 pour plus d'informations.
  

Source : https://clusif.fr/publications/fiche-clusif-directive-nis2/