NIS 2 : La France en retard sur sa transformation numérique sécuritaire

Quinze mille entités à protéger, un budget insuffisant et un calendrier dépassé. La France peine à mettre en œuvre la directive européenne NIS 2, censée muscler sa cyberdéfense civile, comme le révèle un rapport cinglant de la Cour des comptes publié le 16 juin dernier.

Un chantier titanesque face à des cybermenaces croissantes

Le bond est vertigineux : passer de 500 à 15 000 organisations sous surveillance cybersécuritaire. Voilà le défi colossal imposé par la directive européenne NIS 2 que la France tente d'absorber. PME, ETI, collectivités territoriales... le périmètre explose, alors même que les cyberattaques s'intensifient avec une hausse de 15% des incidents traités par l'ANSSI en 2024.

"Pilotage gouvernemental trop flou et inefficace", voilà le diagnostic sans appel de la Cour des comptes. Le Secrétariat général de la défense et de la sécurité nationale (SGDSN), censé orchestrer cette transition, souffre d'un "manque d'autorité" et de ressources limitées.

L'ANSSI, bras désarmé de l'État

Dans ce combat numérique, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) se retrouve en première ligne mais avec des munitions comptées. Sur les 35 millions d'euros demandés pour 2025, seuls 27 millions ont été accordés. Quant aux 60 postes supplémentaires jugés nécessaires, aucun n'a été créé.

Conséquence directe : report du "passage à l'échelle" pour appliquer NIS 2, abandon du projet de laboratoire d'intelligence artificielle et du second centre de données sécurisées. L'agence doit prioriser ses missions alors même que le spectre des menaces s'élargit.

NIS 2 : une révolution dans l'approche européenne

Adoptée en décembre 2022 par l'Union européenne, la directive NIS 2 représente un tournant majeur dans la stratégie de cyberdéfense du continent. Elle impose aux organisations concernées de mettre en place un arsenal complet de mesures :

• Analyses systématiques des risques informatiques
• Procédures formalisées de gestion d'incidents
• Plans de continuité d'activité
• Sécurisation renforcée de la chaîne d'approvisionnement
• Protocoles stricts pour le développement et la maintenance des systèmes

La France en retard et sous pression

La date butoir était claire : 17 octobre 2024 pour intégrer la directive dans le droit français. Pourtant, la France figure parmi les 23 États membres épinglés par la Commission européenne pour retard de transposition. Le projet de loi, déposé au Sénat le 15 octobre 2024, s'enlise dans les procédures parlementaires.

Pendant ce temps, seuls la Belgique et l'Italie ont bouclé leurs devoirs dans les temps, tandis que trois autres pays ont entamé des transpositions partielles. Pour les organisations concernées, l'incertitude règne, alors qu'elles pourraient devoir appliquer certaines obligations très rapidement après l'adoption des textes, même si l'ANSSI prévoit une mise à niveau progressive jusqu'en 2027.

Des sanctions qui font trembler les comptables

NIS 2 ne plaisante pas avec les sanctions. Les entités qui feraient l'impasse sur leurs obligations s'exposent à des amendes allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial, selon le montant le plus élevé.

Au-delà de l'aspect financier, les autorités pourront imposer des mesures administratives contraignantes : suspension d'activités, obligations de corrections immédiates et, pour les récidivistes, une responsabilité personnelle des dirigeants. Sans oublier l'effet dévastateur d'une publication des sanctions sur la réputation.

Les collectivités territoriales, maillons faibles du dispositif

Le rapport pointe particulièrement la vulnérabilité des collectivités territoriales. Ces dernières ont connu en 2023 une flambée des attaques : +26% pour l'hameçonnage, +22% pour le piratage de comptes et +36% pour les fraudes.

Face à cette situation, la Cour appelle à une intégration systématique de la cybersécurité dans les pratiques quotidiennes des entités locales. Elle déplore également un "foisonnement d'initiatives" entre régions et État qui crée "une impression de confusion" pour les collectivités déjà dépassées par l'ampleur du défi.

Treize recommandations pour colmater les brèches

Pour redresser la barre, la Cour des comptes formule 13 recommandations précises, parmi lesquelles :

• Renforcer le rôle coordinateur du SGDSN
• Clarifier les attributions ministérielles
• Améliorer le suivi statistique des cyberattaques
• Évaluer systématiquement les politiques publiques en matière de cybersécurité
• Mutualiser les ressources entre acteurs
• Diffuser une véritable culture de la cybersécurité
• Conditionner les aides de l'État à des audits de sécurité

Un paradoxe olympique

Si la France a brillamment sécurisé les Jeux Olympiques de Paris 2024 contre les cyberattaques, cette réussite ponctuelle ne doit pas masquer les faiblesses structurelles identifiées. L'enjeu est désormais de transformer cette mobilisation exceptionnelle en une stratégie durable face à une menace cyber désormais "permanente, transversale et stratégique".