1. NIS2, êtes-vous prêts ?
Les réseaux et systèmes d’information sont devenus des caractéristiques essentielles de notre vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société.
En effet, de nombreuses activités sociétales ou économiques critiques dépendent du bon fonctionnement de ces réseaux et systèmes d’information.
Cependant, le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents affectant ces réseaux et systèmes représentent désormais des menaces considérables pour la population, les entreprises et les autorités publiques.
Une société de plus en plus numérique et le recours accru aux nouvelles technologies s’accompagne mondialement d’une recrudescence des cyberattaques mais également, comme de nombreux incidents récents nous l’ont encore démontré, d’une intensification de la gravité et du degré de ces attaques. Ces attaques sont menées par des criminels, des terroristes, des activistes ou des services militaires et de renseignement étrangers, en vue de nuire à l’intégrité, à la disponibilité et à la confidentialité des données utilisées par les systèmes d’information.
L’ensemble des citoyens, des entreprises et des pouvoirs publics doivent dès lors être conscients de l’importance de se protéger préventivement contre les cybermenaces et les cyberincidents. Un cyberincident est, en effet, susceptible de provoquer des perturbations opérationnelles graves de ces services essentiels et d’affecter des personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Un incident peut, par exemple, avoir pour conséquence de rendre inopérante la distribution d’énergie ou de rendre indisponibles des services de transport. En ce qu’ils affectent des acteurs essentiels de secteurs clés, en ce compris les pouvoirs publics, ces incidents constituent des menaces graves pour la sécurité publique.
Quelques définitions…
Cybersécurité : les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces (source : Règlement (UE) 2019/881) [1]
Cybermenace : toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes (source : Règlement (UE) 2019/881)
Risque : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise (source : Directive (UE) 2022/2555) [2]
Incident : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles (source : Directive (UE) 2022/2555)
Réseau et système d’information :
a) un réseau de communications électroniques au sens de l’article 2, point 1), de la Directive (UE) 2018/1972 [3] ;
b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance (source : Directive (UE) 2022/2555)
[1] Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité)
[2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)
[3] Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (refonte)