Olivier Hellawell,rResponsable Secteur OIV & OSE chez NumSpot, acteur du cloud souverain, traite ici pour nos lecteurs de NIS2, de la qualification SecNumCloud et de la façon dont elles influencent toutes les deux la cybersécurité en Europe, avec un focus sur les secteurs OIV/OSE (services vitaux).
La cybersécurité s’impose comme un enjeu stratégique dans le monde actuel extrêmement numérisé et interconnecté, afin de préserver les infrastructures critiques et la souveraineté numérique des États. Face à ce constat, l’Union européenne a renforcé son arsenal réglementaire avec la directive NIS2 (Network and Information Security), qui vise à mieux répondre aux menaces émergentes. Entrée en vigueur en octobre 2024, cette directive a pour objectif d’améliorer la protection des systèmes critiques et d’élever globalement le niveau de sécurité numérique, notamment en France.
Les avancées de la directive NIS2
Par rapport à sa version initiale, connue sous le nom de NIS, la directive NIS2 représente un progrès majeur en élargissant son périmètre. Désormais, des secteurs essentiels comme la santé, l’eau potable, les infrastructures numériques et les administrations publiques sont inclus dans ce texte de loi, permettant de protéger des domaines jusqu’ici moins visibles mais tout aussi exposés aux cyberattaques.
En outre, cette directive homogénéise les exigences de cybersécurité au niveau européen, réduisant ainsi les écarts entre États membres, et facilitant ainsi la collaboration transfrontalière. Pour les entreprises actives dans plusieurs pays de l’Union, ce cadre homogène simplifie leur mise en conformité et contribue à rendre la sécurité plus cohérente sur le marché du numérique.
Protéger les données sensibles du cloud avec la qualification SecNumCloud
Parallèlement à NIS2, l’essor des solutions cloud a mis en lumière l’importance de sécuriser les données sensibles hébergées. C’est dans ce contexte que l’ANSSI a développé la qualification SecNumCloud, qui assure que les fournisseurs de cloud respectent des standards de sécurité élevés pour garantir une protection renforcée des données critiques.
Cette qualification prend tout son sens dans un contexte où de nombreux secteurs stratégiques et institutions publiques se tournent vers le cloud. En effet, SecNumCloud offre l’assurance que les services utilisés répondent aux exigences les plus strictes, renforçant ainsi la résilience des infrastructures numériques essentielles en France.
NIS2 et SecNumCloud : enjeux et impacts à anticiper
Se conformer à NIS2 implique, pour les entreprises, d’adapter leurs processus de gestion des risques et de renforcer leurs systèmes de sécurité. En d’autres termes, cela signifie que les secteurs hébergeant des données sensibles doivent être capables de protéger leurs opérations des cyberattaques tout en maintenant la continuité des services en cas de crise majeure.
De leur côté, les fournisseurs de services cloud doivent investir massivement dans des technologies de protection des données, des systèmes de surveillance avancés, et des protocoles de gestion des incidents pour obtenir la qualification SecNumCloud.
Pour les États membres, NIS2 appelle à une coordination accrue des capacités nationales en cybersécurité, nécessitant des ressources supplémentaires et une coopération renforcée entre pays européens. La réussite de cette directive repose principalement sur la mise en place d’une supervision efficace et sur le partage d’informations sur les cybermenaces.
Transformer les défis en opportunités
Au lieu de considérer les exigences de NIS2 et de la qualification SecNumCloud comme une contrainte, les entreprises pourraient également y avoir, sous un certain angle, une opportunité. En effet, ces nouveaux cadres incitent les entreprises à investir dans la modernisation des infrastructures, à renforcer la cybersécurité, à moderniser leurs infrastructures et à se différencier sur un marché en quête de confiance numérique. Pour les États, c’est également une manière de consolider leurs capacités en cybersécurité et de se positionner en leaders européens dans ce domaine.
En cas de non-conformité avec NIS2, les sanctions prévues visent davantage à encourager une gestion proactive des risques qu’à punir. Elles invitent les entreprises à considérer la sécurité comme un atout stratégique et un levier de compétitivité. D’autant plus que, en France, l’ANSSI mise sur la pédagogie et la bienveillance en laissant encore trois ans aux entreprises concernées par NIS2 pour se conformer à cette directive.
Quels bénéfices pour les infrastructures critiques ?
Qu’il s’agisse de NIS2 ou de la qualification SecNumCloud, il s’agit de poursuivre un objectif commun : renforcer la résilience des infrastructures numériques en Europe et en France. En sécurisant les réseaux, les systèmes d’information et les services cloud, elles contribuent à diminuer la vulnérabilité des services critiques face aux cybermenaces.
De plus, elles favorisent une coopération internationale indispensable pour lutter contre des menaces globales. L’harmonisation apportée par NIS2 et les normes strictes imposées par la qualification SecNumCloud s’inscrivent dans une démarche collective visant à accroitre la sécurité numérique.
Enfin, pour les entreprises et les citoyens, il s’agit d’un levier de confiance accrue. Les entreprises peuvent s’appuyer sur des services cloud qualifiés et de confiance, tandis que les citoyens bénéficient d’une meilleure protection de leurs données personnelles, renforçant ainsi la souveraineté numérique collective.