L’ANSSI a récemment publié son panorama de la cybermenace 2024, un document riche en enseignements que je vous invite à consulter. Ce panorama revient sur les moyens mis en œuvre par les attaquants et les vulnérabilités exploitées. L’année a été particulièrement marquée par des vulnérabilités affectant les équipements de sécurité situés en bordure de SI et par des attaques visant la supply chain.

En juin 2024, une enquête menée par l'ANSSI auprès des membres du CLUSIF, une association de professionnels du cyber, a révélé qu'une attaque coûte en moyenne entre 5 et 10 % du chiffre d'affaires d’une organisation. Ces coûts se répartissent entre pertes d'exploitation, frais de prestations externes pour l'accompagnement et la remise en état, atteinte à la réputation.

Le projet de loi relatif à « la résilience des infrastructures critiques et au renforcement de la cybersécurité », adopté au Sénat le 12 mars, est désormais examiné en commission à l’Assemblée. Ce projet de loi vise à transposer les directives REC, NIS2 et DORA. La directive REC actualise les dispositifs de sécurité des activités vitales, tandis que la directive DORA concerne les secteurs financier, bancaire et assurantiel.

Pour rappel, la directive NIS2 a pour objectif de renforcer la cybersécurité d’environ 15 000 entités essentielles et 1 500 collectivités territoriales. Ces critères d’application comprennent des critères sectoriels et de taille. Parmi les secteurs visés, les fournisseurs d’infrastructure numériques et services d’information et de communication. En termes de taille, les acteurs de moins de 50 salariés et réalisant moins de 10 millions d’euros de chiffre d’affaires ne sont pas concernés. Enfin, les organismes déjà sujet à une règlementation sectorielle équivalente ne seront pas non plus concernés.

Il appartient à chaque organisme, public ou privé, de vérifier s’il est concerné par la NIS2 et, le cas échéant, de se déclarer à l’ANSSI. Pour faciliter cette démarche, l’ANSSI a ouvert une page dédiée, « monespacenis2.cyber.gouv.fr », comprenant un test en ligne pour déterminer si votre entité est régulée par NIS 2. Ce test n’a pas de valeur juridique et devra le cas échéant être confirmé par une analyse plus précise.

Si votre organisme est régulé par NIS2, les incidents devront être déclarés à l’ANSSI. Le projet de loi définit un incident comme « un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ».

Vincent Strubel, directeur de l’ANSSI, a annoncé une période de mise en conformité de trois ans, durant laquelle il conviendra de justifier d’investissements en cybersécurité.

Après cette période, les amendes administratives pourront atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Les prochaines étapes : l’adoption définitive de la loi, les décrets d’application, puis la publication d’un référentiel technique par l’ANSSI.