🔶 Pourquoi parle-t-on de NIS2 aujourd’hui ?
Rappel : La directive NIS2 représente la mise à jour de la réglementation européenne en matière de cybersécurité, adoptée en janvier 2023. L’ambition est d’harmoniser le niveau de protection cyber en créant un socle commun de sécurité. Cette directive entrera en application en 2026.
🔶 Pourquoi la SITEC est concernée :
Au vu de son caractère obligatoire, et du fait qu’elle s’appliquera à près de dix fois plus d’organisations que la directive NIS1, les impacts seront majeurs pour l’hébergement, mais également pour l’ensemble des services de la SITEC.
Cette directive concernera l’ensemble de l’entreprise, que ce soit directement via les autorités compétentes ou indirectement par nos clients eux-mêmes soumis à ces obligations, qui répercuteront leurs exigences en matière de sécurité et de conformité.
En tant que prestataire informatique des collectivités territoriales et des établissements de santé, nous occupons une position stratégique dans la chaîne de services numériques.
Les prestations de services et les travaux que nous réalisons au sein des centrales, des aéroports et des gares renforcent également cette position stratégique.
À ce titre, nous sommes considérés comme une entité essentielle au sens de la directive NIS2, avec des obligations renforcées en matière de sécurité, de résilience et de gestion des incidents.
🔶 Périmètres des services concernés
Certains de nos services et activités entrent dans le champ d’application de la directive. Cela signifie que notre structure sera catégorisée et soumise à obligations spécifiques.
La SITEC couvre l’équivalent de quatre services majeurs :
- Santé
- Collectivités
- Industrie (au sens large)
- Fournisseurs numériques
Ces services sont considérés comme critiques au regard de NIS 2 (et du bon sens général). La SITEC sera nécessairement contrôlée de manière continue par l’ANSSI.
🔶 Ce que cela signifie concrètement :
Il devient indispensable de mutualiser nos processus de sécurité : sécurité des postes, PCA/PRA, durcissement des services… Il est reconnu que ces processus peuvent être contraignants à l’usage, mais un durcissement progressif des mesures de sécurité — logiques comme physiques — sera inévitable à moyen et long terme car c’est aujourd’hui une obligation légale et cela exposé l’entreprise à des sanctions.
🔶 Quel impact sur nos métiers ?
A terme, cela impliquera une grande traçabilité de nos actions :
- Un renforcement des bonnes pratiques de cybersécurité
- Une formalisation accrue de certains processus.
🔶 Les prochaines étapes :
-
- Plan d’action
- Accompagnement des équipes
- Communication
Cette démarche s’inscrit dans une volonté d’amélioration continue de notre niveau de sécurité. Chaque étape viendra en son temps, mais il est essentiel de nous préparer ensemble dès maintenant afin d’aborder cette évolution de manière maîtrisée et collective.
L’équipe Sécurité 🔒🛡️