Un choc des paradoxes ? Alors que le gouvernement s'est engagé une nouvelle fois à un choc de simplification auprès des acteurs économiques, un nouveau texte inquiète ces derniers. Dans quelques semaines, en juillet prochain, le parlement va débattre sur la future directive NIS 2, une nouvelle réglementation française en matière de cybersécurité, émanant directement de nouvelles dispositions européennes.
« Il faut peut-être regarder l'empilement réglementaire des thématiques qui touchent toutes les entreprises et analyser la compatibilité de cette future directive avec les réglementations en vigueur dans d'autres pays, s'inquiète Philippe Robardey, le président du groupe Sogeclair », qui emploie 1.000 collaborateurs sur quatre continents différents.
Un ressenti que le dirigeant a pu partager directement avec Marina Ferrari, la secrétaire d'État chargée du Numérique, venue spécialement à Toulouse jeudi 2 mai, pour rencontrer entreprises et collectivités pour échanger sur ces futures normes de cybersécurité. Lors de cette rencontre à la préfecture de région, la membre du gouvernement a aussi été interpellée sur le manque de visibilité du domaine d'application.
« Le projet de loi est trop vaste dans son application, il faut affiner », peste Valérie Jimenez, la présidente de Jimenez Transport et vice-présidente du Medef Haute-Garonne. « Le champ d'application manque de visibilité », appuie son avocate présente à ses côtés France Charruyer.
« Nous avons été victimes de cyberattaques donc nous sommes conscients des enjeux, mais l'élargissement réglementaire de NIS 1 vers NIS 2 s'annonce très coûteux. Il va être très compliqué de couvrir toutes nos infrastructures et toutes nos industries, sans parler de toutes nos filiales. Faut-il protéger de la même manière le club de rugby professionnel du Castres Olympique que nos usines de dermato-cosmétique, ou même celles en lien avec le secteur médical ? Enfin, dans notre secteur, nous travaillons avec beaucoup de petits laboratoires et petites biotechs qui ne seront pas soumises à NIS 2. Nous ne souhaitons pas porter l'effort financier et technique pour toute la filière », met en garde Véronique Bardet, la directrice de la cybersécurité au sein du groupe Pierre Fabre dont l'entité est actionnaire du club sportif.
Cette inquiétude des entreprises à l'égard de NIS 2 s'explique dans le fait que son application avec la réglementation précédente passe de 10 secteurs d'activités à 18 domaines d'application. Surtout, elle classe les acteurs économiques en deux catégories : les entités essentielles (250 salariés au moins ou 50 millions d'euros de chiffre d'affaires) et les entités importantes (50 salariés minimum ou 10 millions d'euros de chiffre d'affaires). Si les deux dénominations sont assujetties aux mêmes obligations, les entités importantes devraient bénéficier tout de même d'un régime de mise en œuvre moins contraignant.
Les entreprises pas motivées à l'idée d'investir à nouveau dans la cybersécurité
Mais en période inflationniste, cette nouvelle directive autour de la cybersécurité est mal perçue par les entreprises, qui s'attendent à des investissements importants pour être dans les clous. « Nous avons investi 300.000 euros dans un nouveau logiciel informatique et 5.000 euros en amont pour un audit, alors que nous faisons huit millions d'euros de chiffre d'affaires », illustre Martin Pinel, le président de la clinique Pyrénées, à Colomiers (Haute-Garonne). « Le coût de l'informatique augmente et nous n'arrivons pas encore à répercuter cette hausse sur nos transactions commerciales. Cela érode notre rentabilité », s'inquiète Jean-Luc Darre, le DSI du sous-traitant aéronautique Nexteam.
Pour ce qui est des collectivités, aussi concernées par ces nouvelles normes de cybersécurité, le gouvernement a commandé une étude d'impact et attend les conclusions de cette analyse avant le début de l'été. « Mais ce sont des choses qui pourraient être intégrées dans les dotations de l'État », projette la secrétaire d'État chargée du Numérique devant son auditoire. « L'entrée en vigueur de NIS 2 doit se faire dans une forme de progressivité sinon vous découragerez les collectivités locales, pour l'instant démunies sur la question », tient à alerter Jacques Oberti, le président du Sicoval, l'intercommunalité du sud-est toulousain.
Mais ce qui a fait réagir plus que tous les participants à cette rencontre avec la membre du gouvernement est quand celle-ci a évoqué dans ses propos liminaires la possibilité de sanctions financières pour les entreprises en cas de non-respect des futures normes en matière de cybersécurité. Il est question de pénalités pouvant dépasser plus d'un pour-cent du chiffre d'affaires annuel... « Au lieu de penser immédiatement aux sanctions, il faudrait penser à des incitations, avec pourquoi pas des baisses de charges pour encourager les entreprises à investir sur cette question de la cybersécurité », a rétorqué Valérie Jimenez.
« Concernant cette logique de sanctions, nous allons nous donner du temps (...) Il est prévu un délai de trois ans à compter de l'entrée en vigueur de la loi. Nous ne sommes pas là pour faire du business sur vos risques cyber. Mais il faut avoir en tête qu'une attaque cyber coûte bien plus chère qu'une infrastructure adéquate », lui a répondu Marina Ferrari, consciente de « l'épineuse question du financement ».
Au-delà d'être une problématique financière, la cybersécurité est avant tout confrontée à un manque de moyens humains pour être adoptée largement, malgré la hausse de +30% des attaques avec des rançongiciels entre 2022 et 2023, en France, selon l'Agence nationale de la sécurité des systèmes d'information (Anssi).
« En Occitanie, il y a un étalement des acteurs de la cybersécurité mais il est important de travailler ensemble et de mutualiser les moyens. Nous sommes ici dans une logique de politique publique et non pas de label (...) Dans notre région, il nous manque 2.000 profils sur la cybersécurité au sein des entreprises, chaque année, mais il nous manque aussi une centaine de formateurs à ces sujets par an », relate Marc Sztulman, conseiller régional de la région Occitanie et président de Cyber'Occ, une entité satellite de la collectivité qui propose ses services pour accompagner les entreprises et collectivités de son territoire sur la cybersécurité.
En ce sens, l'agglomération toulousaine va accueillir prochainement un Campus Cyber, qui réunira mondes économique, institutionnels et académiques, avec notamment la volonté de doper l'offre de formation en local sur ces sujets.
Aéronautique : Figeac Aéro dopé par la remontée en cadence de l'A350
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !