Dans un contexte où la sécurité numérique est devenue un enjeu majeur, la nouvelle directive NIS-2 représente un tournant décisif. Elle a pour objectif de renforcer la cybersécurité au sein de l’UE et sera d’application dans notre pays dès le mois d’octobre. 2 400 entreprises sont concernées en Belgique et 66% des industriels intérrogés par B2C Engineering n’ont aucune idée des implications que cela va représenter pour leur entreprise.
La nouvelle directive NIS-2
À Liège, en Belgique et à l’échelle de l’Europe, le constat est le même : de nombreuses entreprises sont aujourd’hui confrontées à des infrastructures obsolètes, des systèmes marqués par des vulnérabilités critiques. Cette urgence est d’autant plus accentuée avec l’émergence de l’industrie 4.0 qui repose, entre autres, sur l’interconnexion et la numérisation complète des processus industriels. Dans ce contexte de digitalisation croissante, des équipements initialement non conçus pour un usage externe se retrouvent exposés sur internet, augmentant le risque de pertes de contrôle.
La cybersécurité devient donc une priorité non seulement pour la protection des systèmes, et outils de production, mais aussi pour la sauvegarde des données sensibles des entreprises, de leurs employés et de leurs clients. Face au risque accru de fuites de données, les entreprises doivent se conformer à des normes rigoureuses, pour prévenir toute violation susceptible de les exposer à des risques juridiques et financiers majeurs.
Une réponse à la cybercriminalité pour 2.400 entreprises belges
« Les cybercriminels agissent pour diverses raisons », explique Benjamin Beaurang, administrateur de B2C Engineering implanté à Fexhe-le-Haut-Clocher en région liégeoise mais aussi en France, au Luxembourg et en Suisse. « L’appât du gain est l’une des principales motivations, notamment par le biais des rançons exigées en échange de la restitution des données volées ou du rétablissement des systèmes informatiques. Pour d’autres, le piratage représente un défi technique et une source de divertissement, une manière de tester et de démontrer leurs compétences. »
Gregory Putman, Sales Specialist Industrial Networks & Security de SIEMENS, d’ajouter : « D’autres cybercriminels sont engagés par des entreprises pour saboter la concurrence. Et puis, il existe des motivations terroristes, où les cyberattaques visent à causer des dommages significatifs, comme la modification de la structure de l’eau pour nuire à la population. »
La nouvelle directive européenne NIS-2 sur la Sécurité des Réseaux et des Systèmes d’Information doit être transposée dans la législation nationale de chaque pays membre de l’Union Européenne avant le 17 octobre 2024. Celle-ci a déjà été votée en Belgique en avril 2024. Elle se veut être une réponse efficace face à la cybercriminalité bien présente en Europe.
Quelles sanctions en cas de non application de la NIS-2 ?
La NIS-2 ne se contente pas de poursuivre les efforts initiés précédemment par la NIS-1, à savoir : l’obligation pour les autorités nationales de consacrer davantage de capacité à la cybersécurité, le renforcement de la coopération européenne entre les autorités de cybersécurité ainsi que l’augmentation du nombre d’opérateurs importants et de secteurs critiques de notre société.
Elle innove en promouvant la mise en place de formations, en consolidant les accès et en imposant une responsabilité accrue aux directions d’entreprises.
Les sociétés devront adopter des mesures techniques et organisationnelles proportionnées pour gérer les risques.
En cas de non application de cette directive, un avertissement sera transmis à l’industriel. Ensuite, si aucune évolution n’est constatée, l’amende peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel pour les entités essentielles et jusqu’à 7 millions pour les entités importantes. De plus, si une attaque a lieu et que l’entreprise n’est pas conforme à la NIS-2, la responsabilité du ou des dirigeant(s) sera engagée.
Obligation de déclarer chaque cyberattaque
La nouvelle directive s’appliquera désormais à un éventail plus large de sociétés. Elle couvrira ainsi presque toutes les moyennes et grandes entreprises. En Belgique, plus de 2 400 entreprises sont concernées par la mise en application de la directive NIS-2.
« Actuellement, nombreux sont les industriels qui hésitent à déclarer les cyberattaques par crainte de perdre la confiance de leurs clients. Cette réticence les pousse souvent à payer les rançons exigées par les cybercriminels, afin d’éviter une mauvaise publicité et préserver leur image », ajoute Charles Costa, administrateur chez B2C Engineering et référent Cybersécurité.
Avec l’entrée en vigueur de la directive NIS-2 en octobre, les industriels seront désormais obligés de déclarer toute cyberattaque subie. Ce sera la première fois qu’une loi imposera aux entreprises d’informer les autorités de ces incidents, renforçant ainsi la transparence et la sécurité du secteur.
Tous incidents significatifs devront être notifiés en 3 étapes :
- Une alerte précoce dans les 24 heures (si l’incident est susceptible de faire tache d’huile)
Une notification d’incident complète dans les 72 heures (comme pour le RGPD)
Un rapport final dans le mois
66% des industriels dans le flou absolu face à la nouvelle directive NIS-2
Si nos équipes se positionnent en précurseur dans l’accompagnement des industriels vers la conformité de cette réglementation, notre groupe liégeois n’a pas attendu la nouvelle directive européenne pour faire de la cybersécurité une priorité.
Nous accompagnons chaque année une bonne quinzaine d’entreprises en matière de cybersécurité. Soit parce qu’elles ont fait l’objet d’une cyberattaque, soit pour sécuriser leurs données parfois hautement confidentielles comme dans le secteur du pharma. « Nos clients expriment un besoin croissant en cybersécurité industrielle, un domaine trop longtemps délaissé », souligne Charles Costa. « Nous sommes donc sollicités pour élaborer des stratégies de conformité sur mesure, offrant des solutions avant-gardistes. Mais notre ambition est d’intervenir en amont, prévenant les cyberattaques plutôt que de ne réagir qu’à leurs conséquences. Heureusement, nos clients ne se limitent pas à des situations de crise ! »
En mai dernier, B2C organisait ses Solutions Days 2024, un triple événement organisé à Namur, Valenciennes et Lyon. Un événement réservé aux industriels. Parmi le panel d’intervenants et/ou d’invités, de grands noms comme Arcelormittal, Groupe Spadel, Orange, Siemens, Aveva, Micromedia, Wallix, KEB, Valfrance Semences, BT4DM, UCB, Auvesy, Sonaca, Prayon, SWDE ou GSK.
L’occasion de faire le point sur les dernières innovations technologiques et d’interroger les entreprises sur la nouvelle réglementation européenne. Question posée aux 80 participants : « À quel point êtes-vous au courant de l’application de la directive NIS-2 en octobre 2024 ? ». Réponse : 66% des industriels sondés avouent n’en avoir aucune idée ou une connaissance vague du sujet. Un nombre alarmant sachant que la nouvelle directive doit être d’application très prochainement.
B2C Engineering accompagne les industriels
« Les cyberattaques, ça n’arrive pas qu’aux autres », met en garde Benjamin Beaurang, administrateur de B2C Group. « Certains de nos clients ont failli mettre la clé sous le paillasson après avoir perdu toutes leurs sauvegardes. D’autres entreprises se sont retrouvées à l’arrêt durant plusieurs mois ou ont fait l’objet d’une demande de rançon. Heureusement, nos ingénieurs ont pu faire des petits miracles… Mais avec l’adoption de la directive européenne, toutes les entreprises vont désormais être appelées à renforcer leurs mesures de sécurité. »
Chez B2C, nos ingénieurs ont pour mission le design et la sécurisation des réseaux industriels via des pare-feu ou la mise à jour des infrastructures existantes pour éliminer les vulnérabilités. Pour ce faire, ils intègrent des solutions sur-mesure en s’appuyant sur les produits de partenaires tels que Siemens, Stormshield, Auvesy, Wallix, Darktrace. Objectif : répondre aux exigences immédiates, mais également d’envisager les évolutions futures, garantissant ainsi une protection durable et efficace.
Nous accompagnons également les industriels pour la mise en conformité réglementaire :
- Réalisant l’audit complet en la matière
- Proposant un plan Multi-Annuel
- Mettant en place les mesures de mises en conformité y compris les policies et procédures.
- Restructurant le réseau ainsi que les équipements qui le composent
- Installant un système de monitoring du réseau.
