La French Tech
Qu’est-ce que La Mission French Tech ? La French Tech Grande Provence et l’écosystème startup ? Comment sont-elles nées ? Quelles sont leurs missions ? C’est depuis 2013 la belle aventure française de l’innovation.
La directive NIS – Network and Information Security – s’inscrit dans un cadre réglementaire étendu visant à renforcer la sécurité numérique sur le marché européen, particulièrement dans les secteurs fortement tributaires des technologies de l’information et de la communication. NIS2, applicable dès le 17 octobre 2024, est une refonte qui élargit le champ d’application des entreprises concernées.
Les cyberattaques se multiplient et augmentent chaque année. Faut-il le rappeler, le prestataire en charge du tiers-payant de la startup Alan avait fait l’objet en février 2024 d’une fuite de données qui avait touché 33 millions de français.
Pour répondre à la question de cet article, il reste des zones d’incertitudes. Les entreprises concernées seraient les fournisseurs de services numériques, les plateformes numériques, les entreprises de l’économie numérique. Par exemple, une startup dans le domaine de la Fintech, ou du cloud computing serait soumise aux exigences de NIS2.
Si l’Europe a décidé que le 17 octobre 2024 est la date d’échéance de transposition nationale pour les États membres, il reste à chaque état membre d’informer la Commission Européenne des règles et mesures adoptées avant le 17 janvier 2025.
Le gouvernement français a mis en place une plateforme en version bêta pour tester si son entreprise est concernée par la directive. Cette plateforme est la meilleure solution pour les startups de savoir si leur activité relève de la directive NIS2.
Quels changements avec NIS2 ?
Initialement, la Directive NIS1 régissait 19 secteurs. Avec cette nouvelle version, ce sont désormais 35 secteurs qui entrent en jeu.
Les 19 secteurs couverts par la NIS1 englobent : la santé, l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, l’approvisionnement en eau potable, les eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques et le secteur aérospatial.
À cela, NIS2 étend son champ aux secteurs suivants : les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, l’industrie, l’agroalimentaire et les fournisseurs de services numériques.
Quelles sont les exigences clés de NIS2 qui peuvent concerner les startups ?
Gestion des risques : NIS2 exige l’établissement d’une approche systématique pour évaluer et traiter les risques liés à la sécurité des réseaux et des informations. Par exemple, une startup spécialisée dans les fintech devra effectuer des évaluations de risques régulières pour identifier les vulnérabilités potentielles dans ses opérations bancaires en ligne.
Incidents de sécurité : NIS2 impose l’obligation de notifier les incidents graves dans un délai très court. Cela nécessite la mise en place de systèmes de détection et de gestion des incidents efficaces, comme un système automatisé de détection des intrusions qui peut alerter les administrateurs en temps réel en cas de violation.
Mesures de sécurité techniques et organisationnelles : La mise en œuvre de mesures adéquates pour prévenir et minimiser l’impact des incidents de sécurité est cruciale. Pour une startup dans le secteur de l’e-commerce, cela pourrait signifier l’intégration de cryptages avancés pour sécuriser les transactions en ligne des utilisateurs.
Intégrer le security by design dès la conception
NIS2 pourrait être seulement une des étapes pour renforcer la sécurité des données. Si nombre de startups peuvent échapper pour le moment aux exigences de NIS2, nous pouvons nous attendre dans un futur proche à l’élargissement de NIS à toutes les entreprises intégrant des données utilisateurs.
Adopter dès la conception une approche de security by design permet de répondre aux besoins des utilisateurs et de respecter les exigences réglementaires en matière de cybersécurité. Et aussi de réduire les coûts liés à une modification à venir pour mise en conformité.
Former et sensibiliser ses équipes
Par conséquent, les startups doivent intégrer dès la conception une formation et une sensibilisation. C’est la raison pour laquelle, dès la Prépa et à l’incubation de l’incubateur Start Tech, des ateliers sont animés en ce sens par des experts.
Des formations telles que celles qui préparent à la certification en gestion des risques selon ISO 27005, permet de gérer efficacement les risques de sécurité. Un point majeur pour la protection du capital intellectuel et physique d’une startup.
Créer de la valeur par la confiance
Si NIS2 représente un défi et un investissement, les startups devraient intégrer la valeur par la confiance comme levier de croissance : gagner la confiance des utilisateurs et des investisseurs et en faire un argument de vente, un élément clé différenciant compétitif.
Abonnez-vous à nos newsletters
Suivez notre actualité à propos de la tech française à l’aide de notre lettre d’information mensuelle.
Suivez les actualités du programme européen S+T+ARTS.