Alors que les cyber-menaces sont omniprésentes et toujours plus agressives, les organisations n’ont plus d’autre choix que de prendre des mesures pour protéger leurs infrastructures et leurs ressources, pour anticiper et stopper autant que possible les cyberattaques. Si elles le font dans leur intérêt et celui des tiers avec lesquels elles interagissent, que ce soit des clients, des fournisseurs ou des prestataires, elles le font également en raison de réglementations plus strictes et plus nombreuses, lesquelles peuvent créer de l’inertie quant à la prise concrète de mesures. En effet, cette montée en puissance des exigences réglementaires, bien qu’elle vise à renforcer la sécurité des organisations, pourrait paradoxalement nuire à leur compétitivité et, dans certains cas, impacter négativement l'expérience du client final.
Selon le baromètre 2024 du CESIN, 7 entreprises sur 10 se disent aujourd’hui impactées par au moins une règlementation, parmi lesquelles NIS, DORA, le Cyber Resilience Act ou encore le Cyberscore. Au fil de la croissance du nombre de cyberattaques et de leur sophistication, l'Union européenne a en effet élargi le cadre règlementaire afin d’accompagner les organisations dans l’adoption de mesures de sécurité appropriées et de renforcer la protection des infrastructures critiques et des données sensibles. Cependant, les entreprises concernées peuvent se sentir démunies face à une accumulation de règlementations, complétée par un manque d’information mais aussi par une réalité dans laquelle l’innovation technologique reste très en avance sur la mise en place de ces règlementations, comme ce fût le cas de l’IoT ou plus récemment de l’IA pour ne citer que quelques exemples.
Une superposition accrue de réglementations et de leurs champs d’application
La directive NIS1, entrée en vigueur en 2016, avait posé les bases de la cybersécurité en Europe, en mettant l'accent sur des mesures technologiques et réglementaires en vue de renforcer la résilience des infrastructures critiques. Elle a encouragé une gestion standardisée de la cybersécurité en introduisant la gestion des risques et en incitant les entreprises à améliorer continuellement leurs protocoles de sécurité. La directive NIS2, qui entrera en vigueur au niveau des états membres de l’Union européenne en octobre 2024, représente quant à elle une expansion notable par rapport à NIS1. Elle couvrira notamment un plus large éventail de secteurs et de tailles d’organisations, 600 types en France réparties dans dix-huit secteurs, afin de renforcer l'écosystème de sécurité en sécurisant chaque maillon de la chaîne d'approvisionnement. NIS2 introduit également la responsabilité des dirigeants, avec de possibles sanctions en cas de manquements, afin qu’ils s’engagent plus sérieusement et proactivement dans la gestion des cyber-risques.
Cependant, la capacité de l’organisme national chargé d’effectuer des contrôles (l’ANSSI en France) est une question cruciale soulevée par l'extension de NIS2. Sans augmentation significative des effectifs en consultants, les contrôles pourraient se limiter à des vérifications aléatoires, réduisant potentiellement l'efficacité de la directive. À ces questions de contrôle, s’ajoute celle du champ d’application des différentes législations. En effet, bien que des règlementations comme NIS2 et DORA présentent des similitudes telles que l'analyse des risques, les obligations de déclaration et le contrôle de la chaîne d’approvisionnement, leurs applications diffèrent. Si NIS2 s'applique à divers secteurs, DORA cible spécifiquement le secteur financier. Cette distinction interroge sur le caractère spécifique et complémentaire de DORA par rapport à NIS2, soulignant la nécessité d’adapter les mesures de cybersécurité aux spécificités de chaque secteur.
Impacts d’une complexité législative sur les coûts et compétitivité des organisations
L'accumulation des lois et réglementations en cybersécurité pose également un défi financier aux entreprises. Chaque nouvelle directive, visant à renforcer la sécurité, engendre en effet des coûts supplémentaires. Tout d’abord, elles doivent investir dans un audit qui va leur permettre d’évaluer leurs systèmes et leur posture de sécurité par rapport à ce que les règlementations exigent. Ensuite, il y a les coûts liés au déploiement de technologies avancées qui vont adresser des problématiques de cybersécurité spécifiques et donc répondre à des exigences bien précises ; des adoptions qui nécessitent ensuite une formation des collaborateurs afin qu’ils puissent exploiter ces outils de manière efficace et appropriée. Ces investissements, nécessaires pour se conformer à des standards élevés, peuvent conduire les entreprises à augmenter les prix de leurs biens et de leurs services. En outre, ces coûts impactent la compétitivité internationale. Les entreprises européennes peuvent en effet devenir moins compétitives par rapport à celles d'autres régions où les réglementations sont moins strictes.
Une autre problématique posée par les nouvelles réglementations est le manque de main-d'œuvre spécialisée en cybersécurité. Les entreprises doivent recruter davantage d'experts pour se conformer, ce qui accroît la demande pour ces compétences spécifiques sur le marché du travail. La pénurie de professionnels qualifiés en cybersécurité est déjà une réalité et cette demande croissante exacerbe la situation. Cela crée une pression sur le secteur, rendant encore plus difficile la mise en conformité aux nouvelles réglementations pour les entreprises qui peinent à trouver les ressources humaines nécessaires. Enfin, les coûts potentiels liés aux sanctions pour non-conformité, tels que les amendes, les dommages à la réputation pouvant conduire à un impact sur l’image et à des pertes de clients en cas de compromission de données sont également à prendre en compte.
Cybersécurité, réglementations et retour à la raison
Pour un expert, il serait difficile de ne pas observer la multiplication des réglementations actuelles ainsi que des normes sectorielles supplémentaires (Doar, Bâle III, HDS, etc.). Leur similitude est frappante, car les règles et pratiques se recoupent largement. Cela est compréhensible, car un système d'information est fondamentalement similaire dans le secteur bancaire comme dans l'industrie. Les différences sont marginales et nécessitent des ajustements techniques spécifiques. Par exemple, la protection d’un ModBus ne sera pas la même que celle d’une base SQL. Cependant, il est essentiel que les télémainteneurs soient fortement authentifiés et que les comptes soient régulièrement vérifiés.
Une telle prolifération pourrait donner l'impression que chaque entité cherche à établir ses propres règles. Cette tendance à la surenchère réglementaire pourrait entraîner une inflation des coûts (les charges incombant in fine aux individus) sans pour autant améliorer significativement la sécurité. C’est la raison pour laquelle il est donc crucial de revenir à une approche plus rationnelle, tant pour notre économie que pour notre sécurité.
Des solutions simples face aux multiples réglementations
Quelle que soit la norme ou la réglementation en vigueur, il est essentiel de garder à l'esprit que le système d'information constitue un pilier fondamental de l'activité de l'entreprise et mérite donc une protection adaptée. Plutôt que de multiplier les détails des mesures nécessaires, il est préférable de se concentrer sur ces points essentiels :
- Intégrer le sujet de la cybersécurité au niveau du Comité Exécutif (Comex) : il est crucial de traiter la cybersécurité avec la même importance que les risques physiques ou humains ;
- Gérer la sécurité en fonction des risques : cette approche permet de répartir les ressources de manière judicieuse, en les alignant sur les besoins spécifiques de l’activité ;
- Adopter les bonnes pratiques fondamentales : réaliser des sauvegardes régulières, testées et vérifiées, utiliser des solutions de sécurité de base telles que les pares-feux, les antivirus et l'authentification multifactorielle, ainsi que maintenir les systèmes à jour ;
- S'entourer de partenaires de confiance : choisir des partenaires fiables pour bénéficier d'un accompagnement adéquat.
En fin de compte, la transition de NIS1 à NIS2 ainsi que la présence de diverses et nouvelles réglementations entraîne un élargissement de la couverture et une responsabilité juridique accrue pour les dirigeants, sans pour autant représenter une avancée majeure. Cette évolution des lois et de la réglementation au fil du temps soulève toutefois des défis liés aux coûts, à la complexité législative et à la pénurie de main-d'œuvre qualifiée pour s’y conformer. Les entreprises devront ainsi mettre en place des stratégies et des solutions concrètes efficaces pour répondre aux nouvelles exigences, tout en maintenant leur compétitivité sur le marché international, dans le but d’assurer la pérennité de leurs activités.
Une tribune presse parue en exclusivité dans les colonnes du JDN.
