Cyberattaque par-ci, rançongiciel par là, l’espace numérique européen est assailli de toutes parts. Les groupes mafieux s’en prennent aux entreprises, aux particuliers, aux collectivités locales et établissements de santé. Et les attaques dites étatiques orchestrées depuis l’étranger, notamment par Moscou en raison de la guerre en Ukraine, se multiplient. L’Union européenne a donc demandé aux 27 pays membres de renforcer le niveau de cybersécurité des systèmes économique et administratif en ligne.
Dans le détail, les pays européens sont invités à adopter une démarche proactive en corrigeant, par exemple, en amont, les failles de sécurité qui permettraient aux pirates informatiques de s’introduire dans leur système d’information. Les particuliers seront indirectement les bénéficiaires de cette directive, nous précise Jérôme Vosgien, expert cybersécurité chez Logpoint. Cet éditeur européen de solutions de sécurité propose aux organismes publics comme privés des dispositifs d’analyses pour détecter les menaces informatiques avant qu’elles ne détruisent l’ensemble des systèmes d’information :
« En étant un acteur de la cyberdéfense, de la cybersécurité, des entreprises et des organisations, même du monde militaire, on constate qu’il y a une augmentation du périmètre du spectre des organisations qui sont concernées par NIS 2. C’est plutôt une bonne nouvelle ! J’ai visité récemment une mairie qui estimait ne pas être concernée par la nouvelle directive. Cette mairie de taille assez importante qui a la charge du traitement des eaux usées entre évidemment dans le cadre des règlementations de NIS 2. Les mesures de cyberdéfense de la directive européenne concernent les secteurs de l’énergie, le traitement des eaux usées et en définitive l’ensemble des structures vitales et stratégiques d’un pays dans l’UE. Toutes les entités publiques ou privées qui sont principalement gérées par informatique entrent dans ce cadre. Car en cas d’attaques réussies par des pirates informatiques, elles peuvent menacer la sûreté physique des citoyens. »
100 000 organisations en Europe sont concernées par le NIS 2
La directive s’applique à 18 secteurs clefs considérés comme stratégiques pour l’UE. Elle s’adresse, par exemple, aux fournisseurs de réseaux numériques, aux administrations publiques, aux collectivités territoriales, aux gestionnaires des systèmes de transports, du traitement des déchets ou de l’eau potable. Mais aussi aux secteurs de l’énergie, aux organismes bancaires ou encore aux établissements de santé qui sont régulièrement et constamment piratés.
Pour s’assurer de l’application effective de ces mesures, NIS 2 prévoit un cortège de sanctions pour les retardataires qui ne mettraient pas en place ces mesures. Notamment, des amendes qui peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial d’une entreprise. Toutefois, pas de panique, pour se conformer à la loi qui entre en vigueur ce jeudi 17 octobre, la date butoir annoncée par Bruxelles ne concerne pour l’instant que le texte règlementaire qui doit être transposé dans le droit national des pays de l’UE. Et non sa mise en œuvre effective qui, elle, est fixée au plus tard à décembre 2027. Par ailleurs, force est de constater que les décideurs politiques dans les pays européens sont à la traîne pour mettre en place la nouvelle directive. Seuls deux États membres sur les 27, nommément, la Belgique et la Croatie, l’ont déjà intégré dans leur législation.
Source du contenu: www.rfi.fr