La nouvelle directive NIS 2 est en cours de transposition dans le droit français. Inutile de surveiller la réception d’un courrier de notification à l’automne : nulle organisation remplissant les critères de chiffre d’affaires, de nombre de salariés et de secteur d’activité n’est censée ignorer la loi. Alors autant s’y préparer, notamment au plan financier.
Quel impact budgétaire pour la directive NIS 2 ?
Le texte, entré en vigueur fin 2022, entend assurer un niveau élevé de sécurité pour les réseaux et les systèmes d’information dans l’ensemble de l’Union Européenne. NIS 2 concernera ainsi un grand nombre d’organisations publiques et privées (Qui est concerné par NIS 2 ?) qui devront mettre en œuvre de multiples mesures de sécurité. L’application de la directive présente donc un coût qui doit être anticipé. D’autant que les sanctions en cas de non-conformité s’annoncent dissuasives : dans l’esprit du RGPD, NIS 2 prévoit des amendes non négligeables, exprimées en pourcentage du chiffre d’affaires, pour accélérer l’harmonisation.
Comment construire son budget NIS 2 ?
En attendant la transposition définitive, la directive européenne donne un certain nombre d’informations qui permettent d’ores et déjà de se préparer. Les articles 21, 23 et 32 détaillent ainsi respectivement les mesures de gestion des risques, les obligations d’information et, pour les entités essentielles, des mesures de supervision et d’exécution spécifiques. Des éléments relatifs à la gouvernance, à la protection, à la défense ou à la résilience qui permettent même d’arriver à un chiffre : un million d’euros. Voilà l’estimation grossière du budget que représenterait l’application de NIS 2 pour une entreprise qui partirait de zéro en matière de cybersécurité.
S’appuyer sur l’existant
Bien entendu, ce calcul est à nuancer en fonction de la maturité cyber de l’entreprise, de sa taille, de la complexité ou encore de la vétusté de son SI, etc. Le type d’entreprise influera également sur l’enveloppe à prévoir : entités essentielles (EE) et entités importantes (EI) n’auront pas les mêmes obligations.
90 % des entreprises sondées disposent de pare-feux et d’une solution EDR.
Baromètre CESIN 2024
Et tout le monde ne part pas de zéro. La plupart des grandes entreprises et une partie des ETI sont équipées des technologies de base en matière de sécurité (pare-feux , authentification multifacteur, EDR , etc.). Mais encore faut-il que celles-ci soient déployées partout et correctement. L’enjeu de l’application de NIS 2 pour les organisations concernées les moins matures consiste donc à aller au bout du déploiement de ces solutions pour sécuriser l’ensemble des SI.
Les solutions de gestion des accès à privilèges (PAM) restent moins répandues (60 % des organisations équipées) et la sécurité de l’Active Directory, pas encore une réalité partout. Ces projets, bien qu’essentiels à la cybersécurité, représentent des sommes conséquentes qu’il sera difficile de réunir dans l’urgence. À titre d’exemple, mettre en place un bastion ou un tiering model en moins d’un an coûterait entre 50 000 et 100 000 euros .
Ne pas oublier les ressources humaines
Parce qu’elle suppose de l’expertise mais aussi du pilotage, l’application de NIS 2 devrait se ressentir également au niveau du budget des ressources humaines. Par exemple, l’autorité chargée de contrôler la bonne application du texte pourra réaliser des audits et d’autres opérations comme des scans de vulnérabilité. Dans l’éventualité de la découverte d’une faiblesse majeure, elle se rapprocherait de la structure concernée pour l’en alerter. Dans les organisations sans RSSI, un interlocuteur devra donc être désigné pour répondre à ces sollicitations. »
Des ressources seront également indispensables pour installer les technologies requises mais l’accumulation de projets en parallèle appellera aussi des compétences de direction de programme, en plus de profils de coordination, pour piloter la stratégie de l’entreprise sur la question.
Provisionner les bons montants dès maintenant
L’application de NIS 2 aura donc un coût, qu’il convient d’anticiper au maximum. Et ce d’autant plus que, lorsque la transposition interviendra en octobre, l’exercice budgétaire 2025 sera déjà bien avancé dans la plupart des structures. Alors, quel budget prévoir ?
En partant du principe que l’esprit de la directive est de mettre en place un socle d’hygiène, on peut considérer qu’un budget cybersécurité de l’ordre de 5 à 10 % du budget IT, comme recommandé par l’ANSSI, est cohérent. Félicitations si vous y êtes déjà et si vous êtes en dessous, ne vous découragez pas ! Plus vous anticipez le rattrapage, moins douloureux sera l’exercice. Car même si l’ANSSI a récemment laissé entendre qu’elle organiserait une période de transition, l’échéance arrive bel et bien.
Retrouvez ce contenu en images
Cette thématique a été abordé lors de l’édition 2024 du FIC. Voici le replay de ce FIC Talk