Platforme pour l'industrie agroalimentaire et des boissons
La législation NIS 2 est entrée en vigueur en 2024. Cette législation a été mise en place pour garantir que, si une entreprise est victime d’une cyberattaque, cela n’entraîne pas la paralysie de l’ensemble de la chaîne logistique, voire de tout le pays. L’industrie alimentaire fait également partie des secteurs soumis à la NIS 2, car elle a été désignée comme secteur critique par les pouvoirs publics. Filip Van Himbeeck et Marleen Opsomer, de DNV, nous expliquent les principaux points auxquels il faut prêter attention.
« La cybersécurité est un enjeu qui concerne tout le monde », affirme d’emblée Filip Van Himbeeck, auditeur principal ISO/IEC 27001 chez DNV. « NIS signifie Network & Information System. Le terme « network » (réseau) est précisément celui qui revêt une importance capitale dans la raison d’être de cette législation. Pour les pouvoirs publics, ce n’est pas si grave si une seule entreprise est paralysée par une cyberattaque. Mais la situation devient sérieuse lorsqu’une seule attaque provoque une réaction en chaîne dans tout le secteur parce que les entreprises ne sont pas en ordre. » Filip Van Himbeeck cite l’exemple de la cyberattaque qui a paralysé Brussels Airport. « Ils avaient réussi à s’introduire via une faille dans le logiciel d’un fournisseur. »
En principe, seules les entreprises dépassant une certaine taille (50 ETP, chiffre d’affaires annuel d’au moins 10 millions d’euros, total du bilan annuel d’au moins 10 millions d’euros) sont tenues de satisfaire à toutes les exigences de la directive NIS 2. Filip Van Himbeeck estime toutefois que le champ d’application est plus large. « Il existe, par exemple, des chaînes de distribution qui exigent de leurs fournisseurs qu’ils soient organisés de manière à garantir les livraisons, quels que soient les problèmes rencontrés. Cela relève de la gestion de la continuité des activités (ISO 22301) et concerne tout ce qui peut mal tourner dans l’ensemble de la chaîne de production. Il ne fait aucun doute que la cybersécurité en est un aspect important. »
Que doivent donc faire les entreprises agroalimentaires pour se conformer à la directive NIS 2 ? « En réalité, la réglementation ne formule que dix principes directeurs (voir encadré). Ceux-ci constituent le seuil minimal. Les entreprises agroalimentaires relèvent de la catégorie « importante ». Cela signifie qu’elles doivent prendre les mesures nécessaires, mais qu’elles ne sont pas tenues de prouver leur conformité à l’avance. Ce n’est qu’en cas d’incident qu’il faut démontrer que l’on a pris les mesures nécessaires, par exemple en faisant certifier ou vérifier ses processus. Elles bénéficient alors de la présomption d’innocence », poursuit Filip Van Himbeeck. En Belgique, cela peut se faire de deux manières. D’une part, on peut opter pour la certification ISO/IEC 27001. Une alternative est la certification selon la feuille de route Cyberfundamentals mise en place par le CCB (Center for Cybersecurity Belgium).
Les entreprises agroalimentaires devront donc prendre des mesures pour se protéger, car il n’est plus possible de faire l’impasse sur la cybersécurité. Filip Van Himbeeck : « Le CCB peut infliger des amendes, voire mettre une entreprise à l’arrêt complet si des problèmes persistants continuent de créer un risque pour autrui. Il est important que la direction puisse être tenue personnellement responsable. » Le chemin pour y parvenir n’est toutefois pas évident. « Quelle que soit la voie de certification choisie, toute l’entreprise doit adhérer au projet. De la direction qui débloque le budget à l’opérateur qui doit configurer des mots de passe sur sa machine. Tout comme pour la sécurité alimentaire, il faut créer une culture de la cybersécurité », explique Marleen Opsomer.
Fort heureusement, les entreprises du secteur alimentaire ne sont pas livrées à elles-mêmes. « Dans le cadre du parcours de préparation à la certification, DNV propose son propre « outil d’auto-évaluation » pour la norme ISO/IEC 27001. Cela permet aux entreprises d’évaluer où elles en sont dans leur préparation. De plus, DNV propose également la possibilité de réaliser une sorte de pré-audit, afin que l’entreprise obtienne, à moindre coût, une analyse de l’état d’avancement de sa préparation. Par ailleurs, DNV dispose de collaborateurs très expérimentés pour dispenser les formations adéquates en cybersécurité » », résume Marleen Opsomer en énonçant quelques-uns des atouts.
