Devant la montée en puissance des cyberattaques, l’Europe a décidé d’imposer des normes de sécurité strictes aux entreprises et aux collectivités jugées vitales pour l’économie de leur pays. En cas de non-respect de ces exigences, des amendes conséquentes peuvent être infligées et les dirigeants mis en cause. Cette mesure vise à protéger les données sensibles et à garantir la stabilité des infrastructures essentielles face aux menaces croissantes de piratage informatique.
Les cyberattaques sont de plus en plus fréquentes et touchent non seulement les entreprises, les administrations et les collectivités, mais aussi les particuliers. En 2016, la France et l’Allemagne ont mis en place la directive NIS pour lutter contre ces attaques, qui est entrée en vigueur en Europe en 2018. En France, environ 300 entreprises ont été désignées comme « opérateurs d’importance vitale » dans 12 secteurs d’activité différents.
Ces entreprises ont désormais des obligations renforcées en matière de sécurité et sont responsables devant l’Agence nationale de la sécurité des systèmes d’information (ANSSI). En cas de cyberattaque, leur défaillance pourrait entraîner des conséquences graves pour le pays. La directive NIS a donc poussé ces entreprises à investir dans la sécurité et à revoir leur organisation interne pour se conformer aux normes européennes.
Les grandes entreprises sont de plus en plus numérisées et hyperconnectées, ce qui les rend vulnérables aux attaques. Pour renforcer la sécurité, la directive NIS-2 entrera en vigueur le 17 octobre prochain, soumettant environ 15 000 entreprises et collectivités locales françaises à de nouvelles obligations. De nouveaux secteurs ont été ajoutés, tels que la santé, les fournisseurs de services numériques et les communes de plus de 30 000 habitants.
La transposition de la directive en droit français est en cours, mais le processus a été interrompu par la dissolution de l’Assemblée nationale. Il faudra donc réinscrire le sujet à l’ordre du jour du Parlement. En attendant, l’ANSSI a mis en place un site internet dédié pour accompagner les entreprises et les élus locaux concernés. Des amendes sont prévues en cas de non-respect des obligations de sécurité, pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires globalisé.
Une nouveauté est l’engagement de la responsabilité personnelle des dirigeants en cas de faille de sécurité. L’objectif est de sensibiliser les décideurs à l’importance de la sécurité numérique et de ne pas laisser cette responsabilité uniquement entre les mains des techniciens.