Avec la directive NIS2 désormais en vigueur dans une grande partie de l’Union européenne, les entreprises des secteurs de l’énergie et de la fabrication sont confrontées à la réalité d’un cadre de cybersécurité beaucoup plus strict. La plupart des États membres ont transposé la directive dans leur législation nationale, mais avec des définitions, des délais de signalement et des attentes en matière d’audit variables. Ce patchwork réglementaire signifie que les entreprises opérant dans plusieurs juridictions doivent composer avec des obligations différentes en même temps — une difficulté qui en a déjà pris certaines au dépourvu.
En vertu de NIS2, les entités « essentielles » comme les entités « importantes » sont soumises à des exigences renforcées en matière de gestion des risques, de sécurité de la chaîne d’approvisionnement, de signalement des incidents et de responsabilité au niveau de la direction. Pour les entreprises de l’énergie et de la fabrication, dont les systèmes soutiennent la vie quotidienne et des chaînes d’approvisionnement critiques, il ne s’agit plus d’un simple exercice administratif mais d’un enjeu stratégique de résilience et de réputation.
La nouvelle réalité pour les opérateurs énergétiques
Les réseaux énergétiques sont des cibles privilégiées pour les cybercriminels et les acteurs soutenus par des États. La directive exige des opérateurs qu’ils renforcent leurs systèmes, qu’ils évaluent leurs fournisseurs et qu’ils mettent en place des capacités robustes de détection et de réponse.
Imaginons, par exemple, un opérateur régional de transport d’électricité exploitant des postes de transformation et des plateformes d’équilibrage du réseau dans deux pays de l’UE. Comme chaque pays a transposé NIS2 différemment, l’opérateur doit suivre deux ensembles de règles et veiller à ce que ses contrôles, processus et signalements respectent le régime le plus strict. Il doit également mettre en place une authentification multifacteur (MFA) pour l’accès à distance et les connexions des prestataires, segmenter les réseaux critiques et documenter toute modification.
Si un groupe de ransomware compromettait les identifiants d’un prestataire et modifiait la logique de contrôle d’un poste électrique, l’opérateur devrait envoyer une alerte initiale dans les 24 heures et un rapport détaillé dans les 72 heures, tout en restaurant les opérations et en gérant la communication publique. Sans un plan de réponse aux incidents bien rodé, ces obligations parallèles pourraient rapidement submerger les équipes internes.
Le défi pour la fabrication
Les fabricants de composants critiques pour les secteurs aéronautique, automobile ou chimique sont désormais considérés comme des « entités importantes » au titre de NIS2. Cela implique des obligations en matière de cybersécurité et de signalement couvrant à la fois les systèmes informatiques (IT) et les technologies opérationnelles (OT).
Imaginons un fabricant multi-sites avec des centaines de capteurs IoT, des systèmes robotiques et une chaîne d’approvisionnement complexe. Conformément à NIS2, il doit :
- Séparer les réseaux OT et IT et déployer des systèmes de détection d’intrusion dans les environnements industriels.
- Mettre en place une politique de correctifs et de gestion des changements, ou documenter des mesures compensatoires lorsque l’application de correctifs n’est pas possible.
- Exiger des fournisseurs qu’ils respectent des normes de sécurité définies, avec des clauses contractuelles et des droits d’audit.
- Maintenir et tester régulièrement des plans de réponse aux incidents et de continuité des activités.
Si un fournisseur était compromis et envoyait une mise à jour de firmware malveillante à l’un des contrôleurs robotiques, provoquant un arrêt de la production, le fabricant devrait isoler les lignes affectées, notifier rapidement les autorités et prouver qu’il disposait de contrôles « appropriés et proportionnés ». Les dirigeants sont responsables de la mise en place et du test de ce cadre.
La responsabilité de la direction selon NIS2
L’un des changements les plus importants introduits par NIS2 concerne la responsabilité de la direction. L’article 20 de la directive (Gouvernance) définit clairement les obligations des administrateurs et des dirigeants, faisant de la cybersécurité une responsabilité de leadership et non plus un simple sujet technique.
Les organes de direction ont désormais trois obligations principales :
- Approuver les mesures de gestion des risques – Les administrateurs doivent approuver formellement le cadre de gestion des risques cyber de l’organisation et s’assurer qu’il est aligné sur l’appétit pour le risque et les obligations réglementaires de l’entreprise. Cela ne peut plus être entièrement délégué aux équipes IT ou sécurité.
- Superviser la mise en œuvre – Les dirigeants doivent suivre activement la mise en place du cadre de cybersécurité, demander des rapports réguliers, surveiller les performances à l’aide d’indicateurs clés et tenir les équipes responsables des progrès réalisés.
- Participer et promouvoir la formation – Les membres du conseil doivent eux-mêmes suivre des formations en cybersécurité et encourager une culture de la sécurité dans l’ensemble de l’organisation. Cela marque un changement culturel majeur, où la direction doit montrer l’exemple.
Dans de nombreuses entreprises, où le risque cyber a longtemps été perçu comme un sujet technique plutôt que stratégique, ces obligations de gouvernance représentent un véritable changement de mentalité. Des amendes et des responsabilités peuvent s’appliquer non seulement à l’entreprise, mais aussi, dans certains cas, aux dirigeants si ces obligations sont négligées.
Comment Integrity360 peut aider
Parce que NIS2 représente à la fois un défi technique, de gouvernance et de chaîne d’approvisionnement, les organisations bénéficient d’une expertise externe couvrant ces différents aspects. Chez Integrity360, nous collaborons avec des fournisseurs d’énergie et des fabricants dans toute l’Europe pour :
- Cartographier et classer les systèmes soumis à NIS2, y compris les opérations transfrontalières.
- Évaluer les écarts entre les contrôles existants et les exigences nationales de NIS2.
- Concevoir et mettre en œuvre des améliorations de sécurité telles que MFA, la segmentation réseau, la détection des terminaux et la gestion des vulnérabilités dans les environnements IT et OT.
- Renforcer la préparation à la réponse aux incidents grâce à des playbooks, des exercices de simulation et une surveillance 24/7.
- Gérer les risques liés aux tiers grâce à des vérifications préalables, un soutien contractuel et des évaluations continues des fournisseurs.
- Fournir des rapports au niveau du conseil d’administration pour que les dirigeants puissent démontrer leur responsabilité.
En combinant conseil, services managés et expertise technique pratique, nous aidons les organisations à aller au-delà de la simple conformité pour construire une véritable résilience — réduisant ainsi la probabilité et l’impact des incidents perturbateurs.
Si votre organisation opère dans les secteurs de l’énergie, de la fabrication ou dans tout autre domaine couvert par NIS2, le moment d’agir est maintenant. Même dans les pays où la transposition nationale est retardée, les régulateurs s’attendent à ce que les entreprises progressent vers la conformité. Un seul incident ou un délai de notification manqué peut entraîner des amendes, des dommages à la réputation et des perturbations opérationnelles.
Commencez par cartographier vos obligations dans toutes les juridictions, évaluer vos contrôles et votre chaîne d’approvisionnement, et impliquer votre conseil d’administration. Testez ensuite vos plans avant d’en avoir besoin. Avec la bonne approche et le bon partenaire, NIS2 peut devenir un catalyseur pour des opérations plus solides et plus résilientes, plutôt qu’une simple contrainte réglementaire.
Pour savoir comment Integrity360 peut accompagner votre parcours de conformité NIS2, contactez dès aujourd’hui l’un de nos spécialistes.