En 2023, la menace cyber a passé un nouveau cap avec des attaques toujours plus sophistiquées, ciblant tous types d’organisations, de tous horizons. La cybersécurité est déjà, de fait, une priorité absolue en 2024, comme le souligne le récent rapport du WEF sur le paysage mondial des risques.

Les organisations françaises sont particulièrement mises à l’épreuve. A quelques mois des Jeux Olympiques, elles seront en ligne de mire des cybercriminels qui n’hésiteront pas à les cibler pour atteindre les citoyens français et touristes étrangers.

Les plus vulnérables d’entre elles (TPE, hôpitaux ou collectivités) sont déjà des cibles privilégiées des groupes de cyberattaquants qui profitent de failles de sécurité - principalement liées à l’utilisation de solutions non européennes et à un manque de préparation - pour compromettre non seulement ces entités, mais aussi les organisations autour desquelles elles gravitent.

Cadre législatif en pleine évolution

L’objectif est clair : renforcer la résilience des entreprises européennes en matière de cybersécurité et pour cela, l’Union Européenne n’hésite pas à multiplier les règlementations (NIS, DORA, Cyber Solidarity Act, Cyber Resilience Act…). Pour TEHTRIS, leader dans la neutralisation automatique en temps réel et sans action humaine des cyberattaques, cet enjeu est d’abord étroitement lié à la souveraineté des données, le RGPD s’inscrivant comme point de départ contre de possibles violations de données et cyberattaques, notamment pour se protéger des lois extraterritoriales.

Alain Ter-Markossian, Directeur de l’Ingénierie « les failles de sécurité engendrées par les solutions de cybersécurité non-européennes sont une réalité, encore peu connue, pour de nombreuses entreprises. Face à cette menace, il est nécessaire de durcir le ton. Bien que lointaines, les aspirations de souveraineté européenne auront un impact conséquent sur les entreprises. Mitiger les risques liés aux solutions étrangères de cybersécurité notamment l’espionnage industriel, est un réel enjeu. »

L’entrée en vigueur de la directive NIS2, prévue pour octobre 2024, obligera ainsi les entreprises à passer un niveau supérieur en matière de cybersécurité. Plus sévère que sa prédécesseur, NIS1, elle s’appliquera à un plus large éventail de secteurs et d’entreprises et imposera des exigences de sécurité plus élevées. Un nouveau travail méticuleux de mise en conformité auxquels elles devront se soumettre.

Le chemin vers la conformité

TEHTRIS rappelle à juste titre qu’il existe déjà des solutions pour ne pas se laisser déborder par les normes européennes. Si l’arrivée de NIS2 imposera également aux fournisseurs de repenser leurs offres pour s’adresser autant aux grandes entreprises du CAC40 que les PME, la plupart des outils européens conduisent déjà vers la conformité à ISO/IEC 27001 et au RGDP, voire à NIS2 pour les plus avancées.

« La transposition de NIS2 en France et l’ensemble des mesures qui y sont adjointes feront grandement avancer la souveraineté européenne. Les fournisseurs de solutions de cybersécurité européennes n’auront de choix que de s’adresser à l’ensemble des entreprises concernées et tant que les données sont hébergées hors US, les entreprises seront mieux protégées. » précise Alain Ter-Markossian.

Choisir des solutions de cybersécurité soumises à des législations extérieures, revient de nos jours à faire courir un risque direct aux entreprises. La souveraineté européenne, qu’elle soit en termes de cybersécurité ou de données, prend donc toute son importance et protège leur avenir. L’accompagnement sera clé pour atteindre la cyber-résilience à l’instar de la charte cyber, récemment publiée par cybermalveillance.gouv.fr. Elle a déjà été signée par plus de 80 entreprises et collectivités et est en phase d’adoption massive par les PME.