Face à la recrudescence et à la sophistication croissante des cyberattaques ciblant la chaîne de sous-traitance (supply chain attack), l’Union Européenne a mis en place la directive NIS 2 (Network and Information Security) afin de renforcer et d’homogénéiser la posture de cybersécurité à l’échelle du continent.
Si la précédente directive NIS 1 se focalisait principalement sur les grandes entreprises et les acteurs importants, la nouvelle législation étend considérablement son champ d’application. Bien que les TPE (Très Petites Entreprises) ne soient pas la cible initiale du texte, elles se retrouvent désormais largement concernées, notamment lorsqu’elles agissent comme maillons de la chaîne d’approvisionnement.
Le nouveau texte a été publié au Journal Officiel de l’Union européenne le 27 décembre 2022 et prévoit un délai de 21 mois pour sa transposition en droit national. En France, la mise en application du nouveau texte a débuté en octobre 2024.
Pourquoi les TPE sont-elles désormais sous le feu des projecteurs ?
Historiquement, les cybercriminels ciblaient les grands groupes, mais les petites et moyennes entreprises sont de plus en plus visées. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a d’ailleurs noté que plus de 40 % des incidents en 2022 impliquaient des organisations de petites tailles (PME, TPE et ETI). De même, l’entreprise Orange Cyberdéfense a révélé que les attaques par ransomware touchent 25 % des TPE et 23 % des PME.
L’inclusion par la sous-traitance
L’un des changements majeurs de NIS 2 est l’élargissement du champ d’application pour couvrir un éventail plus large d’entreprises et de secteurs. La directive inclut désormais explicitement la sous-traitance, reconnue comme un vecteur potentiel de cyberattaques.
Les entités essentielles et importantes soumises à NIS 2 doivent obligatoirement établir des contrats de cybersécurité avec leurs fournisseurs et partenaires.
L’impact pour une TPE est donc souvent indirect : si votre TPE est prestataire de services pour une entreprise déjà soumise à NIS 2 (par exemple, une entité responsable du traitement des déchets), et que vous avez un accès direct à son système d’information, votre TPE sera soumise aux mêmes exigences réglementaires. L’objectif est clair : éviter que le sous-traitant ne devienne une porte d’entrée facile pour les cybercriminels afin de compromettre le système d’information du client principal
Quelles sont les nouvelles obligations pour les TPE sous-traitantes ?
Dès lors qu’une TPE se voit appliquer les exigences de NIS 2 (généralement via un contrat de sous-traitance ou si elle est désignée directement), elle doit respecter plusieurs mesures de cybersécurité, proportionnées à sa taille et aux risques encourus.
1. Gestion des risques et sécurité du SI : L’entreprise doit élaborer et mettre en œuvre des politiques d’analyse des risques cyber ainsi qu’une Politique de Sécurité des Systèmes d’Information (PSSI).
2. Continuité et Reprise d’Activité : Il est nécessaire d’établir un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA), incluant la gestion des sauvegardes.
3. Mesures techniques : La TPE doit assurer le contrôle d’accès et la gestion des actifs informatiques critiques (comme Active Directory ou LDAP). L’usage de l’authentification à plusieurs facteurs est fortement recommandée, de même que l’utilisation d’outils de communication sécurisés en cas de crise.
4. Formation et Responsabilité : Les entités concernées doivent mettre en place des formations pour leurs employés et leurs organes de direction afin de renforcer la maturité en cybersécurité (par exemple, des campagnes de simulation de phishing). De plus, les comités exécutifs sont désormais légalement responsables des questions de cybersécurité.
Comment les TPE peuvent-elles se préparer ?
La directive NIS 2 introduit un mécanisme de proportionnalité afin de ne pas imposer des exigences trop lourdes aux TPE/PME qui n’auraient pas les budgets ou les compétences nécessaires pour se conformer pleinement.
Toutefois, toutes les entreprises doivent prendre des mesures pour sécuriser leur système d’information. L’ANSSI apporte son soutien aux petites et moyennes entreprises pour leur mise en conformité, notamment en fournissant des ressources spécifiques, comme un guide sur la cybersécurité.
La CCI Alsace Eurométropole participe activement à l’amélioration de la cybersécurité des TPE/PME-PMI en proposant un diagnostic de premier niveau entièrement gratuit.
Les TPE, en particulier celles qui travaillent comme sous-traitantes pour des secteurs critiques, doivent dès maintenant évaluer leur posture de sécurité et se préparer à l’application des exigences. Être accompagné dans l’établissement d’un premier audit de conformité peut être une première étape essentielle.