Cybersécurité

La cybersécurité en France à l'horizon de la directive NIS 2


David Commarmond
Dimanche 29 Décembre 2024


Le 17 décembre 2024, le directeur de l'ANSSI, Vincent Strubel a fait plusieurs annonces importantes lors de son audition devant la commission spéciale du Sénat sur la transposition de la directive NIS 2.



Crédit : ANSSI
Crédit : ANSSI

Un Nouveau Paradigme pour la Cybersécurité

La directive NIS2 marque une rupture avec son prédécesseur, NIS1, en répondant à des menaces systémiques accrues, telles que la criminalité organisée et l'activisme. Vincent Strubel a tenu à préciser que NIS2, bien qu'inspirée de NIS1, s'en différencie largement, notamment par la coconstruction avec plus de 70 fédérations professionnelles et associations d’élus. "NIS2 répond à un paradigme différent et un enjeu différent" - Vincent Strubel, directeur de l'ANSSI.
 

Un Champ d'Application Élargi

Contrairement à NIS1, qui concernait environ 500 entreprises, NIS2 s'appliquera à près de 15 000 entités, incluant notamment des PME et des collectivités territoriales. Ce changement d'échelle pose des défis considérables en matière d'information, d'accompagnement et de mise en conformité. "C'est quand même une multiplication par un facteur important d'entreprises concernées".
 

La Proportionnalité au Cœur des Mesures

Vincent Strubel a insisté sur la nécessité de proportionnalité des mesures de sécurité, particulièrement pour les "entités importantes". Un délai de trois ans, de 2025 à 2028, est envisagé pour permettre aux entreprises de s'adapter aux nouvelles exigences. Il a également souligné que les erreurs de NIS1, notamment en matière de surtransposition, ne seront pas répétées.
 

Maintien de la Confiance des Entreprises

Vincent Strubel a rappelé l'importance de l'ANSSI en tant que "cyberpompier", veillant à ne pas transformer l'agence en une autorité répressive. L'ANSSI doit maintenir la confiance des entreprises, même en temps de crise. La directive NIS 2 marque une différence en privilégiant les sanctions administratives, à l'image du RGPD, plutôt que les sanctions pénales.
 

Un Besoin Crucial d'Accompagnement

Outre les sanctions, une commission des sanctions indépendante sera créée pour garantir l'impartialité des décisions. Vincent Strubel a souligné l'importance de l'accompagnement, notamment en termes de communication, de sensibilisation et d'outillage, particulièrement pour les très petites entreprises (TPE). Un travail de pédagogie et de sensibilisation sera mené, notamment par le biais de contrôles à blanc.
 

Ressources et Financements Nécessaires

Pour mener à bien ces missions, Vincent Strubel n'a pas caché que l'ANSSI et ses partenaires auront besoin de financements et de ressources humaines, l'ANSSI regroupe aujourd'hui 600 personnes. Il a insisté sur la nécessité de mailler le territoire avec les CIRT, les campus cyber, les ministères, les collectivités territoriales et les organisations professionnelles pour créer un écosystème résilient. Une des solutions proposées est la création d'un guichet unique, le "17 cyber ", qui pourrait devenir le nouveau réflexe à adopter.






Deux sites web sont mentionnés lors de l'audition :
  • "mon espace NIS 2 ", un portail en version beta permettant aux entreprises de tester leur assujettissement à la directive.
  • "mon aide cyber ", un outil permettant de mettre en relation des aidants et des entités ayant besoin d'aide pour faire un premier diagnostic de sécurité.