Passer au player
Passer au contenu principal
Passer au pied de page
Rechercher
Se connecter
Regarder en plein écran
Like
Commentaires
Favori
Partager
Ajouter à la playlist
Signaler
LEX INSIDE - Directive NIS2 : vers une cyberrésilience accrue en Europe
B SMART
Suivre
18/12/2024
Zoom sur la Directive NIS2 avec Marianne Schaffner, Associée, Gowling WLG.
Catégorie
🗞
News
Transcription
Afficher la transcription complète de la vidéo
00:00
On commence tout de suite ce Lex Inside, on va parler de la directive NIS2 avec mon invité
00:15
Marianne Schaffner associée chez Goling WLG. Marianne Schaffner bonjour. Bonjour Arnaud.
00:21
On va parler ensemble directive NIS2, cybersécurité, cyber résilience mais avant
00:27
toute chose pouvez-vous nous parler du paquet cybersécurité et du cadre européen dans lequel
00:33
il s'inscrit ? Oui tout à fait donc en Europe il y a ce qu'on appelle le paquet dit cybersécurité
00:42
cyber résilience qui comprend plusieurs textes. Donc il y a ce fameux texte RGPD dont on a tant
00:48
parlé qui protège les données. Il y a eu la première directive NIS qu'on n'appelait pas 1
00:53
mais la toute première directive NIS. NIS que ça veut dire c'est les nouveaux systèmes
00:56
d'information c'était donc l'acronyme anglais. Ensuite nous avons eu l'IA Act donc le règlement
01:05
sur l'intelligence artificielle et puis nous avons eu ce qu'on appelle NIS2 qui aurait dû être
01:11
transposé en octobre 2024 mais la France a connu quelques secousses devant le parlement ces derniers
01:20
mois. Donc en fait pourquoi la commission et l'Europe s'étaient intéressés effectivement à la
01:27
cybersécurité c'est qu'on vit dans un monde qui est tout est dans les systèmes d'information
01:32
aujourd'hui et dans un monde de risque effectivement en cyber et l'évaluation qui avait été faite par
01:39
la commission en 2021 montrait que la cybercriminalité pouvait impliquer un dommage à
01:43
hauteur de 5,5 milliards. Donc l'Europe a décidé de se doter d'un cadre qui permettait et qui
01:50
oblige les entreprises effectivement à prendre des mesures pour préserver non seulement leurs
01:55
propres données mais les données des tiers donc les données personnelles mais également les
02:01
données de leurs sous-traitants, les données toutes données industrielles et pour éviter
02:05
effectivement là une cyberattaque. Donc en fait quand on parle de cybersécurité en fait il y a
02:11
deux trois piliers dans la cybersécurité. Il y a d'une part la prévention d'abord, il y a la
02:17
protection et ensuite il y a la réparation et donc la notification. Alors on va rentrer dans le
02:23
vif du sujet, on va parler de cette directive NIS 2, quel est son champ d'application et quelles
02:28
sont les obligations de cette directive NIS 2 ? Alors son champ d'application a été étendu par
02:34
rapport à NIS 1. Auparavant on avait 19 secteurs qui étaient concernés, aujourd'hui on a 35 donc
02:41
c'est pratiquement tous les secteurs confondus, que ce soit la gestion de l'eau, la gestion des
02:47
déchets, les services postaux, les services de fabrication, de production de dispositifs médicaux,
02:53
le secteur de la santé. Donc en fait c'est très très large les secteurs qui vont être impliqués
03:00
puisqu'on a 35. Qui va être également concerné ? Eh bien ce sont les entreprises et aujourd'hui
03:08
en réalité avec la directive NIS 2 en fait on a compté c'est que 160 000 unités au sein de l'Union
03:15
Européenne vont être concernées, en France 15 000. Pourquoi c'est énorme ? 15 000 entreprises et
03:21
administrations en France vont être concernées par cette directive parce qu'il y a des seuils
03:26
qui ont été prévus, c'est à dire des seuils de chiffre d'affaires. Donc toute entreprise qui a
03:32
un chiffre d'affaires qui est compris entre 10 et 50 millions va être concernée et qui auront
03:37
entre 50 et 250 employés. Donc ensuite on a deux catégories, on a des entreprises dites
03:43
essentielles qui auront un chiffre d'affaires qui sera supérieur et puis il y a les autres
03:48
entreprises qui sont des entreprises importantes mais toutes sont concernées. Quelles sont les
03:54
obligations de conformité de gestion des incidents ? Alors les obligations sont les mêmes qu'on soit
04:00
essentielle ou importante. En revanche c'est le timing qui est différent. Les entreprises
04:08
essentielles donc les plus grosses entreprises en fait ont une obligation de procéder à un
04:13
audit amont de toutes les mesures tandis que les entreprises importantes ne devront justifier des
04:21
mesures qu'elles ont prises qu'une fois qu'il y aura eu une notification d'un breach. Donc
04:31
qu'est ce qu'il faut effectivement faire ? C'est qu'il faut rapporter la preuve de ce que des
04:36
mesures ont été mises en place. Quelles sont ces mesures ? Il y a notamment avoir bien protégé
04:44
la formation, avoir assuré auprès de ses salariés des formations, que les salariés aient tout à fait
04:51
conscience des mesures à prendre pour protéger les dites données, la protection par les différents
04:58
mots de passe et aussi le fait que les sous-traitants vont être soumis à toutes ces
05:05
mesures donc il faut imposer à ses propres sous-traitants de mettre également des mesures
05:09
de cybersécurité en place. Donc en fait il y a tout un champ de mesures à mettre en place avec des
05:15
niveaux de sécurité différents et donc ce qui impose à toutes les entreprises qu'elles soient
05:21
essentielles ou importantes à faire un audit. Alors on va aller sur les mesures de cyber
05:28
résilience. Quels sont-elles ? Est-ce qu'il y a un état des lieux des mesures à adopter en la
05:35
matière ? Oui les mesures c'est tout d'abord assurer une sauvegarde régulière de ses propres
05:42
données, avoir un plan de continuation qui soit en place lorsqu'il y a une alerte en réalité,
05:50
faire des tests de restauration, faire un plan de reprise après un sinistre, il faut faire un
05:59
suivi d'éventuelles intrusions et faire ensuite un audit régulier et comme je disais former ses
06:08
salariés. C'est vraiment la formation qui montrera que l'entreprise aura déjà pris des mesures
06:15
également raisonnables et ce j'ai envie de dire au stade des plus petites entreprises. Si on peut
06:20
rapporter la preuve de ce que les salariés ont conscience de la nécessité de mettre en place des
06:27
mesures de cyber sécurité déjà ça sera un indice de compliance à la directive. Et on saura d'autant
06:35
plus réagir quand il y aura des failles de sécurité ? Voilà et en cas de faille de sécurité il y aura
06:40
une obligation de faire une première notification immédiatement dans les 24 heures et ce à une
06:48
autorité qui aura été désignée donc il y a de fortes chances pour qu'en France ce soit l'ANSI,
06:52
donc l'agence nationale de sécurité des services d'information. Et puis ensuite après cette
06:59
notification dans les 24 heures il y a un rapport à faire et dans le mois qui suit il y aura un
07:05
rapport qui établira toutes les failles et quelles sont les mesures qui ont été mises en place,
07:10
quel est le plan de récupération, le plan de continuité. On voit que c'est très encadré.
07:15
C'est très encadré comme l'Europe le fait toujours. Pour finir quels liens peut-on faire
07:20
entre cybersécurité et secret des affaires ? Alors c'est vrai que ce lien ne semble pas
07:25
évident a priori ce qui m'étonne d'ailleurs puisque la directive sur les secrets d'affaires
07:34
qui a été transposée en droit français en 2018 et bien impose aux entreprises qui
07:43
invoquent un secret d'affaires c'est de prendre des mesures raisonnables pour maintenir leur
07:49
secret d'affaires secret puisque la condition sine qua non du secret d'affaires c'est qu'il soit
07:53
secret. Bien sûr. Et que donc toutes ces mesures raisonnables qui doivent être mises en place en
08:00
réalité on peut regarder ce qu'on fait dans l'ISDE, les différentes mesures sur la gestion des mots
08:07
de passe, la formation des salariés, l'audit. Pourquoi ? Parce qu'aujourd'hui où se trouvent
08:11
les secrets d'affaires dans les entreprises, sur leur système d'information. Bien sûr.
08:17
Donc en réalité je trouve que les mesures qui ont été prévues dans la directive NIS2
08:24
devraient être examinées par toutes les entreprises qui ont des secrets d'affaires afin qu'elles
08:30
puissent mettre en oeuvre les mesures qui sont imposées au titre de NIS2. C'est là où moi je
08:34
fais ce lien parce qu'on protège les données par NIS2 et un secret d'affaires c'est une
08:40
donnée industrielle qui est souvent l'actif essentiel de beaucoup d'entreprises. On va
08:45
conclure là-dessus. Merci Marianne Schaffner. Je rappelle que vous êtes associée au sein du
08:49
cabinet Goaling WLG. Merci Arnaud. Tout de suite l'émission continue on va parler du
08:55
cumul entre un mandat social et un contrat de travail.
Recommandations
8:53
|
À suivre
LEX INSIDE - LEX INSIDE, 2e partie du 11 octobre 2024
B SMART
11/10/2024
6:49
LEX INSIDE - Cookies : être en conformité avec la CNIL
B SMART
20/09/2024
9:02
LEX INSIDE - L’IA dans l’environnement de travail
B SMART
27/11/2024
9:22
LEX INSIDE - Focus sur le dispositif APLD-R
B SMART
12/03/2025
8:57
LEX INSIDE - Focus sur le Règlement européen sur l'identité numérique
B SMART
20/11/2024
8:47
LEX INSIDE - Fiscalité et développement à l'international
B SMART
24/01/2025
9:48
LEX INSIDE - LEX INSIDE, 4e partie du 26 février 2025
B SMART
26/02/2025
1:25
Bases américaines visées: "Je tiens à remercier l'Iran de nous avoir prévenus si tôt", réagit Donald Trump
BFMTV
hier
1:30
Nice: les squats de piscine se multiplient lors des fortes chaleurs
BFMTV
hier
1:17
Bases américaines visées par l'Iran: "Nous n'avons fait de mal à personne", déclare Ali Khamenei, guide suprême iranien
BFMTV
hier
0:40
Côme Prost-Boucle, DG de Coinbase France sur le marché des cryptos: "Il y a une volonté des clients de s'exposer à cette classe d'actifs"
BFM Business
02/06/2025
0:24
Côme Prost-Boucle, DG de Coinbase France: "On a des clients qui se demandent comment mieux se protéger"
BFM Business
02/06/2025
5:21
LE PITCH - Paperslate numérise la prise de note
BFM Business
17/04/2025
7:54
"Il y a beaucoup de scène de nu dans ce film dont elle n’avait pas anticipé la portée" : Vanessa Schneider raconte la triste histoire de Maria Schneider
Yahoo France
19/06/2024
8:08
Émilie Tran Nguyen : “J'ai su à 14 ans que ma mère était d'origine algérienne. Je suis allée à Alger à 26 ans. C'était important pour moi"
Yahoo France
18/06/2024
1:28
Farida Khelfa, victime d’inceste et de violence infantile : “Je le haïssais, je souhaitais sa mort. Ce qui me faisait le plus mal ? Quand ma mère se faisait frapper""
Yahoo France
11/03/2024
56:03
SMART BOURSE - Emission du lundi 23 juin
B SMART
hier
40:19
SMART BOURSE - Géopolitique : le marché garde la tête froide
B SMART
hier
9:44
SMART BOURSE - Trump, roi du pétrole
B SMART
hier
29:17
SMART TECH - Emission du lundi 23 juin
B SMART
hier
16:23
SMART TECH - Débris spatiaux : alerte rouge ?
B SMART
hier
5:09
SMART TECH - Diversité : la tech peut-elle mieux faire ?
B SMART
hier
7:01
SMART TECH - IA, un retour vers le passé ?
B SMART
hier
28:25
SMART IMPACT - Emission du lundi 23 juin
B SMART
hier
12:20
SMART IMPACT - Comment éveiller les consciences face à la crise océanique ?
B SMART
hier
