Directive NIS 2 : quel impact pour les professionnels de la sécurité physique ?

Aujourd’hui, les organisations concernées par la directive NIS 2 se retrouvent dans une course contre la montre pour s’y conformer et être prêtes à son entrée en vigueur en 2024.

Comprendre l’évolution de NIS 2 par rapport à NIS 1 est essentiel pour apprécier son importance. A quels types d’organisations la nouvelle directive s’applique-t-elle ? Que leur demande-t-on ? Qu’est-ce que cela implique pour les professionnels de la sécurité physique ?

La directive NIS 1 se concentrait sur la cybersécurité des infrastructures essentielles, c’est-à-dire les acteurs des secteurs critiques tels que l’énergie, les transports et les télécommunications. Autrement dit, les entreprises et organisations où toute panne ou atteinte à la sécurité des systèmes d’information pourrait avoir un sérieux impact sur la continuité des opérations, la vie des citoyens ou la stabilité de la société.

NIS 2 a une portée bien plus large. La nouvelle directive ne vise pas seulement les opérateurs de services essentiels. Elle distingue désormais entités “essentielles” et “importantes” (selon des critères de taille et d’activité), et est élargie à leurs fournisseurs de services numériques, à leur chaîne d’approvisionnement critique, ainsi qu’aux administrations publiques.

Dans ce cadre, NIS 2 revêt une importance cruciale pour les professionnels de la sécurité physique. La protection contre les menaces physiques est en effet tout aussi primordiale que celle contre les cybermenaces.

Cybersécurité et sécurité physique sont étroitement liées pour assurer la résilience globale, créant ainsi une interdépendance entre ces deux domaines. Et c’est particulièrement vrai pour les infrastructures essentielles.

Par ailleurs, parce qu’ils embarquent et intègrent toujours plus de composants technologiques (caméras intelligentes, serrures électroniques, capteurs en tous genres…), les systèmes de sécurité physique sont eux aussi de plus en plus vulnérables aux cyberattaques et peuvent représenter une faille s’ils ne sont pas correctement sécurisés.

NIS 2 permet de garantir aux acteurs des secteurs critiques que les solutions de sécurité physique qu’ils utilisent ne mettront pas en péril leur cybersécurité. Les exemples concrets abondent.

Imaginez le piratage de serrures électroniques qui compromettrait l’accès à un site crucial. Leur fabricant, auparavant hors de la sphère de NIS 1, entre désormais dans le champ de NIS 2 s’il fournit des solutions de sécurité à des infrastructures essentielles. A ce titre, il devra s’adapter à un niveau de cybersécurité élevé.

Concrètement, NIS 2 va exiger des acteurs concernés, et notamment des professionnels de la sécurité, de mettre en place des mesures de cybersécurité robustes pour protéger leurs systèmes et réseaux numériques :

• Identification des actifs numériques essentiels

Les organisations devront dresser une liste de leurs actifs numériques critiques, c’est-à-dire les éléments et ressources numériques qui revêtent une importance vitale pour leur activité, comprenant notamment leurs équipements, logiciels et données sensibles.

• Gestion des cyber-risques

Les organisations devront régulièrement effectuer des évaluations des risques pour identifier les potentielles cybermenaces et vulnérabilités, et définir des stratégies de mitigation de ces risques.

• Mise en place de mesures de cybersécurité appropriées

Les organisations devront déployer des dispositifs de sécurité techniques (pare-feux, antivirus, détection des intrusions…), et mettre en œuvre des politiques de cybersécurité strictes.

• Déclaration des incidents

En cas d’incident de cybersécurité, les acteurs seront tenus de signaler rapidement et de manière appropriée tout événement qui pourrait avoir un impact sur leurs opérations ou la sécurité de l’information.

• Collaboration avec les autorités compétentes

Les organisations devront coopérer avec les autorités nationales en matière de cybersécurité et contribuer à la gestion des cybercrises.

• Formation du personnel

Les employés devront être sensibilisés aux enjeux de cybersécurité et formés pour utiliser les nouvelles technologies de manière sécurisée.

• Mise en conformité et preuve

Les acteurs devront s’assurer que leurs activités respectent les exigences de NIS 2 et qu’ils sont en mesure de fournir des preuves de leur conformité.

NIS 2 n’est pas une simple formalité réglementaire. Les entreprises qui négligeront leur mise en conformité risquent de subir des sanctions sévères.

Les amendes, pouvant aller jusqu’à 2 % du chiffre d’affaires mondial, peuvent s’avérer astronomiques. Imaginez une entreprise de sécurité physique dont les systèmes de gestion vidéo ou de contrôle d’accès sont compromis. Si cette entreprise n’a pas respecté NIS 2, les conséquences financières pourraient être dévastatrices.

La directive NIS 2 représente une avancée significative dans le domaine de la cybersécurité, étendant son champ d’application aux fournisseurs de services numériques et à leur chaîne d’approvisionnement.

NIS 2 exige une série de mesures rigoureuses mais, en cette ère de cybermenaces en constante évolution, la mise en conformité ne pourra que renforcer la sécurité dans tous les secteurs, contribuant ainsi à la résilience de nos infrastructures essentielles.