La cyber, un arsenal réglementaire qui demande de l’organisation

Nombre d’entreprises et d’organisations vont devoir se mettre en conformité avec les nouveaux textes réglementaires européens relatifs à la cyber. Le tissu économique du continent en sortira renforcé, mais pour beaucoup de PME et d’entreprises moyennes, cela va représenter un effort considérable dans un domaine qu’elles maîtrisent encore très peu.

RGPD, NIS 2, Dora, CRA, cet arsenal réglementaire concernant la Cyber s’abat et va s’abattre sur les entreprises européennes. Or, si les grands groupes bancaires ou les assureurs sont habitués à mener des projets de mise en conformité, ce n’est pas le cas de nombreuses entreprises moyennes et a fortiori des plus petites qui vont pourtant être concernées rapidement par certains de ces textes. À elle seule, la directive NIS 2, qui vise à rehausser le niveau de protection des entreprises européennes, va concerner une dizaine de milliers d’organisations publiques ou privées en France. Cette problématique de conformité pourrait même être beaucoup plus large si on intègre le côté viral de certains de ces textes. En effet, les fournisseurs d’une entreprise concernée par NIS 2 se verront eux-mêmes soumis à certaines obligations. « Ce caractère viral des textes est voulu et il est plein de bon sens », explique Frank Van Caenegem, cybersecurity VP et CISO EMEA de Schneider Electric, membre du board du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) : « Le texte va s’appliquer à toutes les entreprises d’un même secteur et d’une même taille. Ce côté systémique vise à éviter tout décalage économique au sein de ce secteur. Toutes les organisations à partir d’une certaine taille vont devoir s’aligner collectivement. » Comme beaucoup de grands industriels, la particularité de Schneider Electric est de faire partie d’un écosystème avec énormément de sous-traitants et de clients. L’entreprise elle-même est une Entité Importante au sens de la classification NIS 2 française, mais elle doit aussi servir beaucoup d’infrastructures critiques qui seront considérées comme Entités Essentielles, ou encore des entreprises qui sont sous Dora (nouvelle réglementation européenne relative à la résilience opérationnelle et applicable au secteur financier). Autant de référentiels différents que l’industriel doit gérer en parallèle et qui se déclinent dans pratiquement autant de pays où l’entreprise a des activités.

Convaincre les Comex en premier lieu

La conformité n’est pas perçue par tous les chefs d’entreprise comme un projet de développement du business et comme une source de ROI. Ainsi, une récente enquête du Cesin a montré que le quart des interrogés ne savent pas ce qu’est NIS 2. Cela signifie que leurs dirigeants ne sont pas informés et que les budgets ne sont pas validés. « La plupart du temps, les directions ne font pas de la cyber une priorité, reconnaît Frank Van Caenegem. Des textes comme NIS 2 vont permettre à des secteurs entiers de se renforcer avec ce côté viral, mais aussi proportionnel du texte. Le petit fournisseur n’aura pas les mêmes obligations que son donneur d’ordres, l’idée est de ne pas faire mourir les petits acteurs sous les contraintes, mais de les aider à se renforcer. » Il faut convaincre les décideurs et les Comex, d’autant qu’un sponsoring fort reste nécessaire lorsqu’il faut imposer de nouvelles règles contraignantes pour les métiers.

Nathan Lemaire, ingénieur cybersécurité, ISO 27001 lead implementer dans une grande banque française, considère que ces projets réclament des profils particulièrement aguerris : « La démarche de certification par rapport à une nouvelle réglementation doit être confiée à un chef de projet ayant une solide expertise dans “la sécurité de l’information”, mais il faut aussi s’assurer de l’implication de toutes les parties prenantes. Au besoin, l’entreprise peut faire appel à des personnes externes. Par contre, toutes les politiques de sécurité et processus qui seront mis en place dans le cadre du projet devront être validés par les cadres dirigeants (CEO, CISO ou le RSSI) de l’organisation. Ceux-ci gardent la supervision du projet tout au long de son déroulement. »

De la difficulté de concilier tous les textes relatifs à l’IT

Mener une mise en conformité ne se résume pas à cocher les items d’une checklist : pour atteindre l’objectif final, de nombreux projets sont à faire progresser en parallèle afin de combler les écarts par rapport à la norme visée, avec la mise en place de nouvelles solutions techniques, mais aussi la remise à plat de procédures, voire la création de nouvelles et de nouveaux postes. Selon Aurélia Delfosse, responsable de l’offre conformité de l’entreprise de services de sécurité Advens, les premières étapes consistent à dresser un état des lieux, puis à référencer les réglementations auxquelles l’entreprise se conforme déjà. « Même si on n’était pas encore soumis à une réglementation, il y a des infrastructures et des contrôles internes qui ont été mis en place au fils des ans. Cet existant doit naturellement être pris en compte dans l’effort qu’il faudra produire pour se mettre en conformité avec une nouvelle réglementation. » Et comme chaque entreprise évolue dans un budget contraint, il lui faut s’appuyer au maximum sur ce patrimoine et concentrer ses efforts sur les écarts par rapport à la norme visée. Aurélia Delfosse ajoute : « Dans certains cas, une entreprise pourra être soumise à la fois à Dora et NIS 2, voire à d’autres réglementations. C’est pourquoi il lui faut avoir une vision multi-référentiels, avec une démarche de convergence de ces différents référentiels. Elle est importante en termes de mutualisation des moyens, même si cela demande d’investir du temps au début. »

Et à propos d’investissement, la question de l’outillage divise les experts. Faut-il s’équiper d’un logiciel pour porter la démarche, développer des outils comme le font de grandes structures… ou se contenter de feuilles Excel ? Nathan Lemaire trouve de l’intérêt à s’appuyer sur un logiciel : « Pour mettre en œuvre l’ensemble de ces chantiers, un outil tel que CISO Assistant (plateforme tout-en-un de gestion et de pilotage du programme cybersécurité et de la GRC) par exemple, peut s’avérer très utile. Il y a de plus en plus de solutions de ce type disponibles sur le marché. C’est une vraie aide, mais certaines entreprises ont des attentes particulières. Il faut donc s’assurer que les outils utilisés sont conformes à leurs exigences. » Par ailleurs, ces logiciels sont souvent proposés en mode SaaS, or les données manipulées dans une démarche de conformité cyber sont particulièrement sensibles : cela empêche donc leur utilisation chez de nombreux acteurs du secteur bancaire ou liés à la Défense.

Une course de fond, plus qu’un sprint

Rappelons aussi que les projets de mise en conformité demandent du temps. Et même si NIS 2 n’est pas encore transposé en texte de loi en France, on aurait tort de s’endormir ! Il faut au contraire démarrer dès aujourd’hui avec ce que l’on sait du texte européen. « Tout le monde ne devra pas être aligné à 100 % sur le texte dans trois ans, mais c’est une dynamique qu’il faut insuffler maintenant, estime Frank Van Caenegem. Il ne faudra pas non plus que cette mise en conformité à effectuer ne vienne perturber les projets cyber en cours de réalisation, avec une bascule de tous les budgets vers NIS 2 et Dora. Il faudra agir de manière intelligente et effectuer les bons arbitrages. »

Dans le cas de NIS 2, une erreur serait de laisser filer le délai de trois années accordé par l’Anssi avant de sanctionner les entreprises non conformes au futur texte. « Il faut exploiter ce délai pour étaler dans le temps les efforts qui devront être faits, considère Aurélia Delfosse. Les coûts ne seront pas neutres, que ce soit pour mettre en place des outils de surveillance, des process de patch management, ou pour étoffer les équipes cyber et les équipes de contrôle interne. Il faut les lisser sur plusieurs exercices plutôt que de devoir faire un énorme effort le jour J. » Cette précaution est d’autant plus sage que, dans un contexte de pénurie de ressources humaines dans la cyber, trouver des consultants disponibles à quelques mois de l’échéance pourrait bien s’avérer problématique.

Dernier point, mais sans doute essentiel, l’indispensable implication des directions métiers dans ces projets forts peu attrayants du point de vue business. Alexis Missoffe, CEO de Winthorpe Company, société de conseil présente auprès des grandes entreprises mais aussi des PME, pointe ce défi pour les chefs de projet conformité : « Il ne suffira pas au métier d’émettre une lettre de cadrage pour lancer le projet et de ne plus s’en préoccuper ensuite. Il doit rester engagé, car durant tout le processus, des process ou même des fonctions seront amenés à évoluer. Le métier doit valider ces changements tout au long du projet. Une mise en conformité a besoin d’un lien permanent entre ses responsables et les métiers, sinon elle ne sera pas intégrée correctement. » Idéalement, un moyen de les impliquer est de générer de la valeur pour eux au travers du projet. La conformité NIS 2 pourra être avancée par les commerciaux comme un gage de sérieux et un haut niveau de sécurité par rapport à un concurrent étranger non soumis à de telles règles. Reste à expliquer cette approche aux Comex qui considèrent encore le poids des normes comme une charge, bien plus que comme un atout compétitif. 

À LIRE AUSSI :

Green IT

La CSRD, un tsunami à venir pour les DSI

Thierry Derouet

19 Fév

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !