La nouvelle version de la directive sur la sécurité des réseaux et des systèmes d’information (“SRI 2” ou “NIS 2” en anglais) entrera en vigueur au second semestre 2022. Elle est une réponse aux pirates informatiques qui s’attaquent non seulement aux grands donneurs d’ordres mais aussi à leurs sous-traitants moins bien protégés. 

Or, chaque sous-traitant détient ou a accès à des secrets d’affaires qui peuvent s’avérer essentiels à la pérennité de la filière en particulier s’ils sont relatifs :

• A ses produits ou services : ses prix, son savoir-faire, ses secrets de fabrique ou encore ses algorithmes.
• A ses activités : sa stratégie, son organisation.
• Aux produits et services finaux : son client lui révèle une part de son positionnement stratégique, celui du donneur d’ordres de premier rang et les attentes du marché final notamment à travers le cahier des charges.

En s’en prenant à ce capital immatériel, les pirates peuvent déstabiliser l’ensemble d’une filière :

• Destruction de la capacité de production par l’indisponibilité ou l’altération de l’information.
• Destruction de la valeur par la publication ou la revente des informations pillées en agissant parfois directement pour le compte de tiers.

La directive SRI 2 va conduire davantage d’acteurs économiques à améliorer leur gestion des secrets d’affaires. Ils devront aussi notifier les incidents de cybersécurité afin d’améliorer le niveau de résilience et les capacités de réaction de l’ensemble de l’Union Européenne. Ces notifications devront autant que possible ne contenir aucun secret d’affaires. Le rôle des grands donneurs d’ordres sera déterminant pour la mise en conformité de leurs partenaires. 

Ainsi, chacun sera amené à identifier les secrets d’affaires qu’il détient ou auxquels il a accès. Il devra également les justifier et adopter les comportements adéquats pour en assurer la protection (formalisation, accès, utilisation, sensibilisation, aspects cybersécurité).

La mise en conformité dès aujourd’hui avec la loi sur le secret des affaires est la première étape d’une protection efficace et la condition sine qua non pour être en mesure de revendiquer les informations pillées le cas échéant.

KBI vous accompagne dans cette démarche. Contactez-nous !

Source : Conseil de l’UE – Proposition de directive – Analyse du texte de compromis final en vue d’un accord – 17 juin 2022