L’UE renforce les exigences en mati\u00e8re de cybers\u00e9curit\u00e9 pour les infrastructures et services critiques avec la nouvelle directive NIS2. Qu’est-ce que cela signifie pour les petites entreprises ?<\/p>\n\n\n\n
La cybers\u00e9curit\u00e9 est essentielle pour toute entreprise. Cependant, toutes ne sont pas expos\u00e9es aux m\u00eames menaces ou obligations r\u00e9glementaires. Dans cet article, nous expliquons ce qu’est la directive NIS2, \u00e0 qui elle s’applique, et si les petites entreprises doivent prendre des mesures.<\/p>\n\n\n\n
La directive NIS2 est une l\u00e9gislation europ\u00e9enne sur la cybers\u00e9curit\u00e9. Elle impose des mesures l\u00e9gales pour renforcer la cybers\u00e9curit\u00e9 au sein de l’UE. \u00c0 partir d’octobre 2024, les entreprises fournissant certains services essentiels ou infrastructures critiques devront se conformer \u00e0 ses exigences en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n
Cette directive vise principalement les entreprises moyennes et grandes. Mais, si vous dirigez une petite entreprise, comment cette initiative vous impacte-t-elle ?<\/p>\n\n\n\n
La Recommandation 2003\/361\/CE de la Commission europ\u00e9enne d\u00e9finit clairement une petite entreprise comme une entreprise employant moins de 50 personnes et dont le chiffre d’affaires annuel ou le bilan annuel est inf\u00e9rieur \u00e0 10 millions d’euros.<\/p>\n\n\n\n
La directive NIS2 concerne principalement les grandes entreprises, et seulement une infime fraction des petites entreprises doit s’y conformer. Les petites entreprises op\u00e9rant dans des secteurs critiques et essentiels, ainsi que celles fournissant des services de communication \u00e9lectronique ou de confiance, doivent respecter la directive, quelle que soit leur taille.<\/p>\n\n\n\n
Les entreprises employant plus de 50 mais moins de 250 personnes, avec un chiffre d’affaires annuel n’exc\u00e9dant pas 50 millions d’euros et\/ou un bilan annuel inf\u00e9rieur \u00e0 43 millions d’euros, sont class\u00e9es comme \u00ab entreprises de taille moyenne \u00bb par l’UE.<\/p>\n\n\n\n
Cependant, m\u00eame les entreprises de taille moyenne ne seront concern\u00e9es par la directive NIS2 que si elles op\u00e8rent dans l’un des secteurs critiques sp\u00e9cifi\u00e9s dans les annexes de la directive.<\/p>\n\n\n\n
Les solutions de cybers\u00e9curit\u00e9 con\u00e7ues pour aider les entreprises \u00e0 respecter la directive NIS2 sont souvent plus complexes et n\u00e9cessitent une expertise en s\u00e9curit\u00e9 pour \u00eatre mises en \u0153uvre et g\u00e9r\u00e9es. Elles sont donc probablement plus co\u00fbteuses \u00e0 acheter et \u00e0 exploiter. Elles sont g\u00e9n\u00e9ralement destin\u00e9es \u00e0 \u00eatre utilis\u00e9es par des \u00e9quipes internes de cybers\u00e9curit\u00e9 ou par un fournisseur de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s (MSSP).<\/p>\n\n\n\n
Cependant, pour les petites entreprises sans personnel informatique et\/ou expertise en cybers\u00e9curit\u00e9, plus un syst\u00e8me est complexe, plus il est susceptible d’\u00eatre mal configur\u00e9, ce qui peut aboutir \u00e0 une solution moins s\u00e9curis\u00e9e que pr\u00e9vu.<\/p>\n\n\n\n
De plus, aucune solution logicielle unique ne peut garantir une conformit\u00e9 totale \u00e0 la directive NIS2, car les directives de la NIS2 vont bien au-del\u00e0 du d\u00e9ploiement de logiciels de cybers\u00e9curit\u00e9, exigeant des mesures organisationnelles et op\u00e9rationnelles suppl\u00e9mentaires ainsi que le respect d’obligations documentaires \u00e9tendues.<\/p>\n\n\n\n
Il est \u00e9galement important de noter que la directive NIS2 d\u00e9crit les mesures de s\u00e9curit\u00e9 requises de mani\u00e8re tr\u00e8s g\u00e9n\u00e9rale. Des d\u00e9tails suppl\u00e9mentaires sur les mesures de s\u00e9curit\u00e9 sp\u00e9cifiques n\u00e9cessaires pour se conformer \u00e0 la directive seront inclus dans les actes d\u00e9l\u00e9gu\u00e9s de la Commission europ\u00e9enne et les lois locales adopt\u00e9es par les \u00c9tats membres pour la mise en \u0153uvre de la directive, qui ne sont actuellement pas encore compl\u00e8tement d\u00e9finies.<\/p>\n\n\n\n
Bien que la directive NIS2 introduise des mesures importantes de cybers\u00e9curit\u00e9 et de r\u00e9silience, la plupart des entreprises (quelle que soit leur taille) ne sont pas soumises \u00e0 ces exigences strictes en raison de leur secteur d’activit\u00e9 et de leur profil de risque. Cependant, comprendre et adopter volontairement certaines de ses meilleures pratiques pourrait encore b\u00e9n\u00e9ficier aux petites entreprises en renfor\u00e7ant leur posture de cybers\u00e9curit\u00e9 et en aidant \u00e0 instaurer la confiance des clients.<\/p>\n\n\n\n