Citoyens et marchés de l’UE sont en quête de confiance. Un récent rapport de l‘ENISA, l’agence de cybersécurité de l’union européenne, identifie six secteurs à renforcer autour de la directive NIS2.
Le premier rapport NIS360 de l’ENISA sorti début mars vise à soutenir les décideurs politiques européens dans l’élaboration de politiques et stratégies de cyber-résilience. Sa première recommandation encourage la collaboration au sein des secteurs industriels et entre eux, par le biais d’événements sectoriels, nationaux et européens.
Six industries en zone à risques
Durant la période de transposition de NIS2, il s’agit d’améliorer les compétences pour soutenir chaque branche dans ses efforts de mise en œuvre de la directive. En outre, un alignement des exigences est encouragé, afin de rejoindre la maturité cyber des secteurs les plus avancés du moment, à savoir : l’électricité, les télécommunications et la banque, .
« Les infrastructures numériques, qui comprennent des services essentiels tels que les échanges Internet, les centres de données et les services cloud se situent un cran en dessous en termes de maturité, » précise le rapport NIS360.
Six secteurs sont désignés en zone à risques : la gestion des services informatiques, le maritime, l’espace, les administrations publiques, la santé et le gaz. Logiquement, c’est dans ces industries que les premières améliorations sont attendues dans les prochains mois.
Règlements NIS 2 et CRA pour relever le niveau de sécurité
Vincent Strubel, directeur de l’ANSSI, note une généralisation des cybermenaces conçues pour déstabiliser les citoyens et saper leur confiance, et aussi pour espionner les entreprises de secteurs stratégiques.
La hausse actuelle des confrontations hybrides exige, selon lui, de renforcer la protection des systèmes d’information des collectivités et des PME en particulier, car les attaquants ciblent, en priorité, les organisations reportant les mises à jour de sécurité de leurs systèmes.
La transposition en cours de la directive européenne NIS2 (Network and Information Security) puis l’application du règlement CRA (Cyber Resilience Act) guident les organisations essentielles, importantes, puis leurs partenaires vers de nouvelles obligations. A terme, toute la chaîne d’approvisionnement de nos industries doit se renforcer pour être en capacité d’identifier et de contrer les cybermenaces.
