Cybersécurité : startups et VCs entrent à l'ère de la directive NIS 2

La question n’est plus de savoir si on sera victime d’une cyberattaque, mais plutôt quand. La directive européenne NIS 2 redéfinit les règles du jeu de la cybersécurité et dans un paysage numérique de plus en plus hostile, startups et investisseurs sont particulièrement concernés.

Temps de lecture : 5 minutes

Le Panorama de la cybermenace 2024 de l'ANSSI devrait très probablement être publié courant février. Et on peut d’ores et déjà imaginer que le niveau global de la cybermenace aura augmenté en 2024, dans un contexte marqué par des tensions géopolitiques persistantes et la tenue d'événements internationaux majeurs en France à l’instar des Jeux Olympiques et Paralympiques de Paris 2024. Les attaquants liés à la Chine, à la Russie et à l'écosystème cybercriminel resteront identifiés comme les trois principales sources de menaces pour les systèmes d'information français critiques et l'écosystème national et les rançongiciel seront, sans nul, doute l’option privilégiée des attaquants avec un ciblage accru des secteurs stratégiques, notamment les groupes de réflexion, les instituts de recherche et les entreprises de la base industrielle et technologique de défense.

Directive NIS2 : une protection supplémentaire pour les industries sensibles

C’est dans ce contexte d’intensification continue des cybermenaces qui pèsent sur les organisations publiques et privées en Europe, et dans une logique d'harmonisation des règles, de renforcement des obligations en matière de gestions des risques, de notification des incidents et de mesure de sécurité et d’amélioration de la coopération entre les états membres que s’opère la mise en place de la directive NIS 2 qui succède à la directive NIS 1 et s’applique depuis octobre dernier à près de 10 000 organisations contre 300 auparavant.

"NIS2 existe parce que, dans les industries considérées comme sensibles, il n'y a pas encore assez d'efforts réalisés pour protéger les données. Le fait qu'on en arrive à ce stade prouve qu'il y a une défaillance significative. Cela représente un problème de sécurité, non pas seulement au niveau de l'entreprise, mais à l'échelle européenne, d'où la nécessité d'une directive européenne", observe Colman Murphy, Presales Manager France & Afrique chez Synology qui propose de nombreuses solutions de sauvegarde et de protection des données conçue pour aider les entreprises à sécuriser leurs informations critiques. Il ajoute : “Dans un contexte où les cyberattaques sont inévitables, il est nécessaire de passer d’une posture défensive à une approche proactive de cyber résilience en optant pour des solutions qui viennent protéger ordinateurs, serveurs et tous les outils qui sont connectés au réseau."

Les startups et le VCs directements concernés

Pas moins de 18 secteurs critiques sont couverts par la directive à l’instar de la l’énergie, les transports, la santé, des domaines dans lesquels s’affairent particulièrement les startups françaises. Si tant est qu’elles atteignent la masse critique de 10 millions de CA et emploient plus de 50 salariés, ces dernières peuvent être soumises à NIS 2 et devront mettre en place des mesures de cybersécurité renforcées pour se conformer aux exigences de la nouvelle ligne de conduite européenne.

Un changement non négligeable que les gestionnaires de fonds de capital-risque ont tout intérêt à prendre en compte dans leurs stratégies d'investissement notamment en évaluant la conformité potentielle des startups à NIS 2 lors de la due diligence, mais aussi en anticipant les coûts de mise en conformité pour les startups.

"Si une startup perd ses données, sa base client ou ses emails par exemple et qu’elle ne peut plus mener à bien son activité elle se retrouve paralysée et c’est très problématique, explique Colman Murphy avant de poursuivre, Souvent, l'erreur qu'on constate, c'est que l'entreprise a une solution de sauvegarde, mais elle ne protège pas cette solution elle-même. Si un attaquant parvient à pénétrer dans le réseau de l'entreprise, il peut potentiellement voler les identifiants de connexion au serveur de sauvegarde et, à ce moment-là, il lui suffit d'effacer les sauvegardes pour tout compromettre."

Le rapport Hiscox 2023 dresse un tableau alarmant des conséquences financières des cyberattaques pour les entreprises. Bien que le coût moyen ait légèrement fléchi, passant de 15 640€ à 14 720€, ce chiffre masque une réalité plus sombre : une entreprise sur huit fait face à des dégâts colossaux, dépassant les 230 000€.

Ces attaques ne se contentent pas de vider les caisses ; elles ébranlent les fondations mêmes des entreprises. La confiance des clients, ce pilier fragile mais essentiel, s'effrite. L'activité, paralysée, laisse place à un silence assourdissant dans les bureaux et les ateliers. Et pour certaines, c'est le coup de grâce : la faillite, brutale et sans appel.

Des solutions clés en main

Face à la montée en puissance des cybermenaces, les entreprises cherchent des solutions efficaces pour protéger leurs données critiques. Une approche innovante combine sauvegarde automatisée, sécurité avancée et simplicité d'utilisation. Cette solution intègre des fonctionnalités telles que la technologie WORM pour des sauvegardes immuables, un "air gap" pour isoler les données, et un pare-feu intégré. Conçues pour s'adapter aux besoins des startups et des grands groupes, ces solutions offrent une protection complète des ordinateurs, serveurs et appareils mobiles, tout en permettant une restauration rapide en cas d'incident.

"L'idéal, c'est un produit clé en main qu'on achète, qu'on a juste à installer pour pouvoir procéder aux premières sauvegardes dans les minutes qui suivent ; une solution complète qui combine stockage et protection des données dans un seul dispositif prêt à l'emploi et qui propose, entre autres, des sauvegardes immuables qui permettent de protéger des données jusqu'à une date fixée en amont pour que celles-ci ne puissent être ni modifiées ni supprimées, même si un hacker pénètre dans le réseau, mais aussi un dispositif qui peut être configuré pour s'allumer uniquement pendant les périodes de sauvegarde et s'éteindre ensuite", détaille Colman Murphy. Ces propriétés sont notamment celles d’une solution, baptisée ActiveProtect, lancée il y a quelques semaines par Synology.

Avec un déploiement facile et une gestion centralisée, cette approche vise à simplifier la protection des données tout en optimisant les coûts grâce à la déduplication et à la compression. Dans un contexte où la résilience numérique devient cruciale, de telles solutions "clé en main" pourraient bien redéfinir les standards de la cybersécurité pour les entreprises.

Vous voulez en savoir plus ? Participez au Synology Solution Day à Paris le 13 février.