Face aux risques de hacking dans un grand nombre d’organisations, l’Europe veut imposer des règles contraignantes de cybersécurité dans les secteurs critiques, avec la directive NIS 2 (ou SRI 2). Il y a urgence, soulignent les experts.

«Cinquante pour cent des entreprises ne sont pas préparées pour faire face à une cyberattaque. Soixante-neuf pour cent des attaques visent à collecter des données: dans 71% des cas, l’objectif est financier et dans 28%, il est politique.» C’est le constat que dresse Olivier Bogaert, expert à la Computer Crime Unit. «Il y a énormément de vulnérabilités dans le monde belge des entreprises, parce qu’elles ne règlent pas nécessairement les problèmes qu’on leur montre, confirme Joël Di Prima, responsable de la sécurité des systèmes d’information chez Computerland, une société spécialisée, entre autres, dans la cybersécurité pour les PME. Soit par manque de connaissance, soit parce qu’elles n’y mettent pas les moyens nécessaires.»

Souvent jugés trop coûteux par les dirigeants d’entreprise et agaçants par les travailleurs, les dispositifs de cybersécurité restent donc trop négligés dans les budgets annuels. «Alors que beaucoup ont investi dans la sécurité physique, certains acteurs ne disposent même pas d’une première ligne de défense en la matière, constate Bart Donné, le CEO de Computerland. Heureusement, les choses sont en train de changer.» Non seulement grâce à la prise de conscience dans les organisations, singulièrement lorsqu’elles – ou leurs concurrentes – subissent des attaques à répétition. Mais aussi parce que l’Europe a décidé d’imposer un cadre contraignant pour plusieurs secteurs à ses Etats membres, qu’ils devront transposer dans leur législation nationale d’ici à octobre 2024 au plus tard.

Adoptée en 2016, sa première directive sur la sécurité des réseaux et des systèmes d’information (NIS) n’a pas produit les effets escomptés, singulièrement en Belgique. «Celle-ci s’adressait à plusieurs secteurs dits essentiels, retrace Valéry Vander Geeten, délégué à la protection des données au Centre pour la cybersécurité Belgique (CCB). Mais la mécanique de la directive impliquait que les autorités compétentes identifient chaque opérateur de services essentiels.» Dans le cas de la santé, cette mission incombait à la ministre de l’époque, Maggie De Block (Open VLD). Qui, contrairement aux autres secteurs et à l’instar des seuls Pays-Bas, a décidé de ne désigner aucun opérateur, en partie pour des raisons budgétaires. «De ce fait, on a perdu plusieurs années, pendant lesquelles presque rien n’a été fait dans certaines structures», poursuit l’expert.

2 500 à 2 700 entreprises concernées en Belgique

Adoptée en décembre 2022, la directive NIS 2 (ou SRI 2) devrait changer radicalement la donne puisque, notamment à la suite du cas belge, l’Europe a décidé de supprimer la procédure d’identification. Sauf exception, elle s’appliquera à toutes les entreprises actives dans un secteur critique, dès lors qu’elle occupe au moins cinquante personnes ou réalise un chiffre d’affaires annuel d’au moins dix millions d’euros. Energie, transport, infrastructures numériques, secteur bancaire, eau potable, eaux usées, services postaux, produits chimiques, denrées alimentaires… Au total, la directive s’appliquera à au moins 18 secteurs, ce qui pourrait concerner 2 500 à 2 700 entités belges (dont les administrations publiques), d’après de très larges estimations du CCB.

Audits réguliers, analyse des risques encourus, gestion des sauvegardes, sécurisation des réseaux, formation à la cybersécurité, contrôle des accès, authentification à plusieurs facteurs… Les organisations concernées devront «prendre toutes les mesures appropriées et proportionnées pour gérer les risques qui pèsent sur leurs services, y compris en ce qui concerne les clients et les tiers utilisateurs», précise la directive. Elles seront en outre obligées de signaler les incidents de cybersécurité auprès des autorités de contrôle compétentes. Dans le cas contraire, elles s’exposeront à des amendes administratives s’élevant, selon les cas, jusqu’à dix millions d’euros ou à 2% du chiffre d’affaires (pour les entités essentielles) ou à sept millions d’euros et 1,4% du chiffre d’affaires (pour les entités importantes).

Les Etats membres qui le souhaitent pourront, par ailleurs, tenir pour responsables les membres du top management qui ne respecteraient pas les obligations de la directive. «Pour le moment, bon nombre d’organisations ne procèdent à aucun audit de sécurité, poursuit Joël Di Prima. Pourtant, la Région wallonne, par exemple, finance largement cette mission d’audit, sous des conditions qui incluent une majorité de PME. Cette évaluation des risques permet d’identifier les mesures à prendre pour remédier aux vulnérabilités, en fonction du retour sur investissement.»

« Deux ans pour établir une stratégie de cybersécurité, c’est court. La Belgique n’est absolument pas prête à l’heure actuelle. »

A partir d’octobre 2024, la Belgique devrait prévoir une période de transition d’au moins un an pour que les entités se mettent en conformité. Mais il y a d’ores et déjà urgence, alerte Axel Legay, professeur à l’UCLouvain et spécialiste de la cybersécurité. «Deux ans pour établir une stratégie de cybersécurité, c’est court, assure-t-il. Or, la Belgique n’est absolument pas prête à l’heure actuelle. Dans les dernières conférences que j’ai données, des personnes demandent déjà comment contourner la directive. Si on ne change pas les choses, nos hôpitaux, nos entreprises, nos institutions publiques auront de grandes difficultés dans les mois à venir.»

Attendre la transposition de la directive pour agir serait donc une lourde erreur, soulignent les experts. «Bien sûr, chaque secteur, chaque organisation, a ses propres spécificités, conclut Bart Donné. Il faut adapter en conséquence les deuxièmes, troisièmes lignes de défense. Mais en cybersécurité, les fondations restent toujours les mêmes.» Tout indique que la directive NIS 2 devrait mener à une crédibilisation de cette problématique dans les structures qui la négligent encore. Si l’investissement peut s’avérer conséquent dans un premier temps, il est censé porter ses fruits pour de longues années. Et éviter à l’organisation concernée de voir un jour sa réputation potentiellement ruinée par une fuite de données, une hypothèse autrement plus néfaste qu’un bilan annuel en demi-teinte.