Qui devrait lire ceci : décideurs politiques gouvernementaux, coordinateurs nationaux de cybersécurité, régulateurs sectoriels, planificateurs stratégiques, conseillers politiques, fonctionnaires européens.
La directive NIS2 reconnaît que la conformité de chaque entité prise individuellement est nécessaire mais insuffisante pour parvenir à une Europe numérique résiliente. Les États membres doivent également développer des stratégies nationales de cybersécurité cohérentes qui établissent des politiques, coordonnent les acteurs et orientent les ressources vers des objectifs communs. L’article 7 de la directive NIS2 exige de chaque État membre qu’il établisse une stratégie nationale de cybersécurité traitant de dix domaines politiques spécifiques. Ce ne sont pas des recommandations facultatives ; ils sont obligatoires. Les États membres ont jusqu’à octobre 2025 pour réviser leurs stratégies afin de se conformer à NIS2. Cet article expose les dix domaines politiques et explique pourquoi la directive les impose.
L’exigence de stratégies nationales n’est pas nouvelle. Les cadres européens antérieurs de cybersécurité encourageaient les États membres à développer des stratégies. La différence sous NIS2 est que les stratégies sont obligatoires et que leur portée est définie. L’article 7(2) énumère dix domaines qui doivent être couverts. Ce sont : la gouvernance de la cybersécurité, le développement des compétences, la recherche et l’innovation, les partenariats public-privé, la cyberdéfense, la protection cybernétique active, la politique en matière de rançongiciels, le soutien aux PME, la divulgation des vulnérabilités et la gestion des risques de la chaîne d’approvisionnement.
Ce mandat reflète un changement philosophique. La cybersécurité n’est plus une question technique à déléguer aux départements informatiques. C’est une question stratégique qui exige une coordination pangouvernementale. Les États membres qui ne façonnent pas activement leur paysage de cybersécurité par des politiques risquent de se retrouver réactifs, guidés par des crises plutôt que par une vision. La directive, en imposant des stratégies couvrant des domaines spécifiques, pousse les États membres vers une réflexion stratégique.
Les dix domaines politiques obligatoires
L’article 7(2) exige des États membres qu’ils traitent ces dix domaines dans leurs stratégies nationales de cybersécurité :
-
Gouvernance et coordination : les États membres doivent établir une structure de gouvernance claire pour la cybersécurité, incluant l’identification de l’autorité responsable, les mécanismes de coordination entre les agences gouvernementales et l’alignement avec les politiques numériques et de sécurité plus larges.
-
Expertise et développement des compétences : les États membres doivent élaborer des politiques pour construire une expertise en cybersécurité. Cela inclut l’éducation, la formation, la certification et l’attraction de talents vers les secteurs public et privé. Le considérant 56 note spécifiquement que les États membres devraient soutenir l’éducation à la cybersécurité et créer des parcours de carrière en cybersécurité.
-
Recherche et développement : les États membres devraient investir dans ou soutenir la recherche sur les technologies de cybersécurité, la veille sur les menaces et la résilience. Cela inclut le financement des universités, des instituts de recherche et des initiatives de recherche public-privé.
-
Partenariats public-privé : les États membres devraient établir des cadres permettant aux entités publiques et privées de collaborer en matière de cybersécurité. Cela inclut le partage d’informations, la formation conjointe et la réponse coordonnée aux incidents majeurs.
-
Capacités de cyberdéfense : les États membres doivent maintenir ou développer des capacités pour détecter, prévenir et répondre aux cyberattaques. Pour la plupart des États membres, cette responsabilité incombe principalement aux équipes de réponse aux incidents de sécurité informatique (CSIRT) désignées par le gouvernement et aux agences chargées de l’application de la loi.
-
Protection cybernétique active : les États membres devraient élaborer des politiques soutenant une cybersécurité proactive, plutôt que simplement réactive. Cela inclut l’offre d’outils et de services gratuits aux entités, la conduite de traque des menaces et la perturbation active de l’infrastructure des attaquants.
-
Politique en matière de rançongiciels : le considérant 54 appelle spécifiquement les États membres à élaborer une politique traitant de la hausse des attaques par rançongiciels. Cela devrait couvrir la détection, la réponse, la prévention et, de manière critique, le fait de décourager le paiement des rançons (qui financent d’autres attaques).
-
Soutien aux petites et moyennes entreprises : le considérant 56 exige des États membres qu’ils répondent aux besoins spécifiques des PME par des orientations, une assistance et un soutien technique. Cela inclut l’établissement d’un point de contact pour les PME, l’offre de services subventionnés et l’adaptation des politiques aux capacités des PME.
-
Divulgation des vulnérabilités et remédiation coordonnée : les États membres devraient établir des politiques et des procédures pour que les chercheurs signalent les vulnérabilités de manière responsable et que les fournisseurs les corrigent. Cela inclut la promotion des normes ISO/IEC 30111 et ISO/IEC 29147 pour le traitement des vulnérabilités.
-
Sécurité de la chaîne d’approvisionnement : les États membres devraient élaborer des politiques traitant des risques de la chaîne d’approvisionnement, en particulier pour les dépendances TIC critiques. Cela inclut l’évaluation de la résilience de la chaîne d’approvisionnement, la diversification des fournisseurs et la garantie des normes de sécurité dans les marchés publics.
Gouvernance et coordination
Une cybersécurité nationale efficace dépend de la coordination. Dans de nombreux États membres européens, la responsabilité en matière de cybersécurité est fragmentée. Le ministère de la Défense gère la cyberdéfense militaire. Une agence dédiée à la cybersécurité s’occupe des infrastructures critiques. Les régulateurs sectoriels (finance, télécommunications, énergie) fixent des exigences dans leurs domaines. Les agences chargées de l’application de la loi enquêtent sur les cybercrimes. Les universités mènent des recherches. Les entreprises privées mettent en œuvre des défenses.
Sans coordination, ces acteurs travaillent en silos. Un rapport de veille sur les menaces émanant des forces de l’ordre n’atteint pas le secteur financier. Les défenses du secteur privé ne sont pas informées par les évaluations gouvernementales des menaces. Les percées de la recherche universitaire n’atteignent pas les praticiens. L’exigence de gouvernance de NIS2 pousse les États membres à établir des structures qui comblent ces lacunes.
Cela signifie généralement désigner une agence chef de file responsable de la stratégie nationale de cybersécurité, établir des comités de coordination interministériels, créer des mécanismes de partage d’informations et définir des procédures d’escalade claires pour les incidents majeurs. Certains États membres ont créé des centres de cybersécurité dédiés qui servent de plateformes de coordination. D’autres ont donné aux agences de sécurité ou numériques existantes un mandat élargi. La structure spécifique varie, mais l’exigence est claire : la coordination doit être intentionnelle et structurée.
Expertise et compétences
L’expertise en cybersécurité est rare. Les universités européennes produisent beaucoup moins de diplômés en cybersécurité que le marché n’en demande. Les professionnels expérimentés sont recrutés à l’échelle mondiale, souvent pour des postes mieux rémunérés hors d’Europe. Les gouvernements peinent à attirer les talents vers les rôles du secteur public, offrant des salaires inférieurs à ceux des entreprises privées.
NIS2 pousse les États membres à traiter cette question par des politiques d’éducation et de développement des compétences. Cela inclut :
- Enseignement universitaire : soutenir les programmes de diplôme en cybersécurité, veiller à ce que la cybersécurité soit enseignée dans les disciplines pertinentes (informatique, ingénierie, droit, politique) et créer des passerelles de l’éducation vers l’emploi.
- Formation professionnelle : développer des certifications et des programmes de formation pour les praticiens qui n’ont peut-être pas de formation universitaire formelle mais souhaitent entrer dans le domaine.
- Apprentissage continu : soutenir le développement professionnel afin que les praticiens expérimentés restent à jour à mesure que les menaces et les technologies évoluent.
- Parcours de carrière : rendre les rôles gouvernementaux et d’infrastructure critique attractifs pour les professionnels talentueux grâce à une rémunération compétitive, un travail intéressant et un avancement professionnel.
- Diversité : veiller à ce que la cybersécurité soit accessible aux personnes de milieux divers, en reconnaissant que les équipes diverses résolvent mieux les problèmes et qu’exclure des talents potentiels est du gaspillage.
Recherche et innovation
La cybersécurité est un domaine en évolution rapide. Les défenses d’aujourd’hui deviennent les vulnérabilités de demain. Les États membres devraient investir dans la recherche pour :
- Développer des technologies plus sûres : recherche sur la cryptographie, les méthodes formelles, les pratiques de codage sécurisé et les technologies défensives.
- Comprendre les menaces émergentes : recherche sur les motivations, capacités et techniques des attaquants, en particulier à mesure qu’elles évoluent en réponse aux défenses.
- Améliorer les pratiques de résilience : recherche sur la manière dont les organisations peuvent rapidement détecter, répondre et se remettre d’attaques.
- Soutenir l’écosystème : les universités, instituts de recherche et start-ups développant des produits et services de cybersécurité ont besoin d’investissement et de soutien.
NIS2 positionne la recherche non pas comme un luxe académique mais comme un impératif stratégique. Sans recherche, l’Europe devient dépendante de technologies développées ailleurs, créant à la fois une vulnérabilité géopolitique et un déficit de compétences, les praticiens utilisant des solutions étrangères qu’ils n’ont pas développées et ne peuvent pleinement comprendre.
Partenariats public-privé
La cybersécurité n’est pas purement une fonction gouvernementale. Les infrastructures critiques sont exploitées majoritairement par des entreprises privées. Les menaces affectent les deux secteurs. Les informations sur les menaces découvertes dans le secteur privé sont précieuses pour le gouvernement ; la veille sur les menaces provenant du gouvernement aide les entités privées à se protéger.
L’article 7(2)(h) exige des États membres qu’ils élaborent des politiques soutenant les partenariats public-privé (PPP) en cybersécurité. Le considérant 55 explique : « Les partenariats public-privé (PPP) dans le domaine de la cybersécurité peuvent fournir un cadre approprié pour l’échange de connaissances, le partage des meilleures pratiques et l’établissement d’un niveau commun de compréhension entre les parties prenantes. »
Les PPP efficaces incluent généralement :
- Mécanismes de partage d’informations : arrangements formels par lesquels les entités du secteur privé signalent les menaces et incidents au gouvernement, et le gouvernement partage la veille sur les menaces avec les entités privées.
- Formation et exercices conjoints : exercices sectoriels de réponse aux incidents, exercices sur table et formations réunissant acteurs publics et privés.
- Établissement de normes : développement collaboratif de normes de sécurité, de meilleures pratiques et de spécifications techniques.
- Réponse aux incidents : procédures préalablement convenues pour que le gouvernement assiste les entités privées lors de cyberattaques majeures.
- Gouvernance : rôles, responsabilités, protections de confidentialité et procédures d’escalade clairs.
Cyberdéfense et protection active
Les États membres doivent maintenir la capacité de détecter et de répondre aux cyberattaques. C’est principalement le rôle des CSIRT gouvernementaux, mais cela requiert :
- Veille sur les menaces : capacité de collecter, analyser et diffuser des informations sur les menaces.
- Forensique et réponse aux incidents : capacité d’enquêter sur les attaques, de préserver les preuves et d’aider les victimes à répondre.
- Capacité offensive : certains États membres développent une capacité cybernétique offensive limitée pour perturber l’infrastructure des attaquants ou attribuer les attaques avec un haut degré de confiance. C’est controversé et soulève des questions juridiques et éthiques.
La protection cybernétique active va au-delà de la réponse aux attaques. Elle inclut la perturbation proactive des maliciels, l’offre d’outils de sécurité gratuits aux entités, la conduite de traque des menaces et la collaboration avec des partenaires internationaux pour saper les capacités des attaquants.
Rançongiciels et découragement du paiement
Les rançongiciels sont explicitement mentionnés dans NIS2 comme une priorité politique. Le considérant 54 déclare : « Ces dernières années, l’Union a fait face à une augmentation exponentielle des attaques par rançongiciel, dans lesquelles un maliciel chiffre les données et systèmes et exige le paiement d’une rançon pour leur libération. La fréquence et la sévérité croissantes des attaques par rançongiciel peuvent être motivées par plusieurs facteurs, tels que les différents modèles d’attaque, les modèles économiques criminels autour du “rançongiciel en tant que service” et des cryptomonnaies, les demandes de rançon et la montée des attaques de la chaîne d’approvisionnement. »
Les États membres devraient élaborer des politiques spécifiques aux rançongiciels qui traitent de la détection, de la réponse, de la prévention et, de manière critique, du découragement du paiement de rançons. Certains États membres ont lancé des campagnes de sensibilisation expliquant que le paiement de rançongiciels finance d’autres attaques, souvent au bénéfice de groupes criminels organisés ou d’États-nations. Certains ont travaillé avec des institutions financières pour rendre plus difficile le transfert des paiements de rançon. La théorie est solide : si personne ne paie de rançon, le modèle économique s’effondre.
En pratique, c’est difficile. Les victimes de rançongiciels font face à une pression énorme pour payer afin de restaurer rapidement leurs opérations. Certaines sont assurées, rendant le paiement indolore de leur point de vue. D’autres négocient les montants de rançon à la baisse de manière significative. Le changement de politique sous NIS2 est de faire du paiement l’exception et non la norme, par la sensibilisation, les contrôles financiers et l’application de la loi.
Structures de soutien aux PME
L’article 7(2)(i) exige que « l’État membre fournisse un soutien aux petites et moyennes entreprises, y compris des orientations et une assistance concernant la gestion des risques de cybersécurité et la mise en œuvre de mesures techniques, organisationnelles et opérationnelles appropriées ». Le considérant 56 précise que « les États membres devraient disposer d’un point de contact pour les petites et moyennes entreprises au niveau national ou régional, qui soit fournit des orientations et une assistance aux petites et moyennes entreprises, soit les oriente vers les organismes appropriés pour des orientations et une assistance sur les questions liées à la cybersécurité ».
C’est une reconnaissance pratique du fait que les PME manquent d’expertise interne et ne peuvent pas toujours se permettre des consultants externes. Les États membres devraient établir des mécanismes de soutien :
- Centres d’assistance ou lignes directes : un point de contact où les PME peuvent poser des questions et obtenir des orientations.
- Outils et ressources gratuits : outils d’analyse des vulnérabilités, modèles de configuration, cadres de sécurité adaptés à l’échelle des PME.
- Évaluations subventionnées : évaluations de sécurité financées ou subventionnées par le gouvernement afin que les PME puissent comprendre leurs risques sans coût prohibitif.
- Formation : programmes de formation gratuits ou subventionnés pour le personnel des PME sur les bases de la cybersécurité.
- Partage d’informations : veille régulière sur les menaces et alertes adaptées aux secteurs des PME.
Divulgation des vulnérabilités
NIS2 exige des États membres qu’ils établissent des politiques sur la divulgation des vulnérabilités, le processus par lequel les chercheurs en sécurité signalent les vulnérabilités aux fournisseurs avant leur divulgation publique. De bonnes pratiques de divulgation des vulnérabilités garantissent que les vulnérabilités sont corrigées avant que les attaquants ne puissent les exploiter largement.
Les politiques devraient couvrir :
- Cadres : procédures claires permettant aux chercheurs de signaler les vulnérabilités, aux fournisseurs de les reconnaître et de les corriger, et à toutes les parties de convenir du calendrier de divulgation.
- Incitations : programmes de bug bounty ou reconnaissance pour les chercheurs qui signalent les vulnérabilités de manière responsable.
- Normes : alignement avec les normes ISO/IEC 30111 et ISO/IEC 29147, qui fournissent des orientations internationales.
- Protection juridique : veiller à ce que les chercheurs qui signalent des vulnérabilités de bonne foi ne soient pas poursuivis ni attaqués en justice pour cela.
Gestion des risques de la chaîne d’approvisionnement
Le dernier domaine politique traite des risques liés à la chaîne d’approvisionnement. Cela inclut le travail avec l’industrie pour identifier les dépendances, encourager la diversification des fournisseurs, définir des normes de sécurité dans les marchés publics et réaliser les évaluations coordonnées de la chaîne d’approvisionnement décrites à l’article 22.
Points clés à retenir
- L’article 7(2) de NIS2 exige des États membres qu’ils élaborent des stratégies nationales de cybersécurité traitant de dix domaines politiques spécifiques.
- Les dix domaines sont : la gouvernance, l’expertise et les compétences, la recherche et l’innovation, les partenariats public-privé, la cyberdéfense, la protection cybernétique active, la politique en matière de rançongiciels, le soutien aux PME, la divulgation des vulnérabilités et la gestion des risques de la chaîne d’approvisionnement.
- Les stratégies nationales ne sont pas des aspirations ; ce sont des instruments politiques contraignants qui façonnent la manière dont les États membres allouent leurs ressources et coordonnent les acteurs.
- La gouvernance et la coordination sont fondamentales ; sans coordination, différentes agences gouvernementales et acteurs du secteur privé travaillent en silos, réduisant l’efficacité.
- Les compétences et la recherche sont des priorités stratégiques ; sans expertise et innovation nationales, l’Europe devient dépendante de technologies étrangères et fait face à des obstacles pour déployer et comprendre des défenses critiques.
- Le soutien aux PME reconnaît que la plupart des entreprises européennes manquent d’expertise interne en cybersécurité et ont besoin d’une assistance gouvernementale pour respecter les normes de sécurité de base.
- Les rançongiciels, la divulgation des vulnérabilités et la gestion des risques de la chaîne d’approvisionnement sont des priorités politiques spécifiquement mentionnées dans les considérants de NIS2 comme des domaines où les États membres ont historiquement joué des rôles inadéquats.