De NIS2 aux besoins d'une approche commune et efficace de la cybersécurité européenne

Secu

La cybersécurité européenne : de la parole aux actes

Par La rédaction, publié le 26 décembre 2023

Si le règlement NIS 2 constitue une première étape, il reste encore beaucoup d’efforts à accomplir pour garantir un cadre européen commun et efficace en matière de cybersécurité. Et les directeurs des systèmes d’information (DSI) ont un rôle clé à jouer, celui d’imposer un changement par le bas.


Par Timothée Raymond, Directeur de l’Innovation et de la Technologie chez Linedata


Environ 5 500 milliards d’euros, voici le coût annuel mondial de la cybercriminalité. Face à des cybermenaces croissantes, de plus en plus sophistiquées et coûteuses pour les économies, une réponse plus ferme s’impose. C’est la raison pour laquelle l’Union européenne s’est engagée à investir 1,6 milliard d’euros en matière de cybersécurité à travers le déploiement à grande échelle d’infrastructures et d’outils dédiés. Plus récemment, elle s’est dotée de la Directive NIS 2 qui s’adresse notamment à nombre d’entités trop souvent mal protégées, comme les institutions étatiques.

Mais alors que les bonnes intentions sont là, peut-on se contenter du seul aspect réglementaire pour faire bouger les lignes ? N’est-ce pas plutôt depuis le terrain, c’est-à-dire des DSI eux-mêmes, que le changement doit être aussi impulsé ? 

Mieux encadrer la cybersécurité, un enjeu collectif français et européen…

La cybersécurité demeure un défi critique avec une augmentation notable de 26 % des attaques informatiques en 2023, selon l’institut Polytechnique de Paris. Les États et les collectivités locales se retrouvent particulièrement exposés à ces attaques. En raison de ressources financières plus limitées et de l’importance vitale de leurs activités pour les citoyens, ils font face à des vulnérabilités accrues, et ne disposent pas des moyens nécessaires pour faire face. Leur gouvernance en place peut également se révéler moins agile à l’épreuve d’un paysage de la menace en constante évolution.


À LIRE AUSSI :


Pourtant, l’Union européenne ne prend que progressivement le problème à bras le corps du fait d’un manque de coordination entre Etats membres. Certes, NIS 2 offre pour la première fois un instrument scellant l’engagement des acteurs européens avec de lourdes sanctions notamment des amendes administratives ou des sanctions pénales, en cas de non-respect des règles.

Néanmoins, il existe plusieurs réserves sur l’efficacité de certaines mesures. Ainsi, l’obligation d’informer constamment les utilisateurs des risques liés à un manque de sécurité pourrait normaliser la menace et les rendre indifférents à terme. Se pose aussi la question de la transposition de la directive européenne dans les réglementations des Etats membres. N’ont-ils pas intérêt à adopter une approche encore plus restrictive afin de garantir un plus haut degré de protection ? 

… en tirant les leçons de cas existants …

Pour contrer les cybermenaces, l’administration américaine a présenté en mars 2023 sa stratégie nationale de cybersécurité : elle entend remettre au centre la responsabilité des éditeurs technologiques quant à la sécurité de leurs produits et renforcer la réglementation sur les opérateurs d’infrastructures critiques. Cette approche volontariste a vocation à fixer un cadre réglementaire contraignant et protecteur à l’égard de certains secteurs vitaux qui n’étaient jusqu’alors pas suffisamment protégés.

Dans ce même élan, l’Europe avec la directive NIS 2, va au-delà des industries traditionnelles et étend désormais son exigence de résilience à l’ensemble de l’écosystème digital en englobant les fournisseurs de services numériques, comme les plateformes de commerce électronique, les réseaux sociaux ou les services cloud. Cela impose de facto une charge supplémentaire sur les DSI qui devront non seulement renforcer les infrastructures existantes, mais également démontrer une conformité proactive avec des processus de documentation et de justification rigoureux, redéfinissant ainsi leur rôle de garants de la sécurité numérique.

Le cas TikTok offre un bon exemple des menaces à appréhender pour les données et le fonctionnement des infrastructures. Les critiques contre TikTok s’inquiètent du fait que les données collectées sur ses utilisateurs, soient accessibles à la maison mère de la plateforme, le groupe chinois Byte Dance, théoriquement soumis au contrôle du Parti communiste chinois. De même, comme toutes les applications, TikTok ouvre potentiellement l’accès à d’autres données et fonctionnalités du téléphone de l’abonné. Un risque flagrant de compromission qui a même déclenché l’interdiction de l’application des smartphones professionnels et personnels des membres du Gouvernement français ainsi qu’américain. 

Ce cas souligne le besoin pressant d’une approche plus proactive dans la gestion des nouvelles technologies. Les gouvernements et leurs réglementations, par leur approche réactivite, semblent dépassés par l’évolution rapide du paysage numérique et des menaces. Une implication plus soutenue des DSI des fournisseurs de ces technologies aurait pu permettre d’éviter ces problèmes. 

… Et en responsabilisant davantage les DSI

Dès lors, si la réglementation est nécessaire, elle reste insuffisante face à la menace croissante. La cybersécurité est d’abord une histoire de culture de l’entreprise. Il appartient aux organisations et aux DSI de prendre l’initiative de former leurs collaborateurs et de mettre à jour des process fiables pour protéger leurs infrastructures numériques. Or, près des deux tiers (62%) des salariés français n’ont jamais reçu la moindre formation à la cybersécurité d’après une enquête de Terranova Security. Voilà pourquoi les entreprises ont un rôle à jouer pour sensibiliser tous leurs collaborateurs à cet enjeu. Au même titre que les critères ESG, la cybersécurité doit être une politique de transformation à la fois transverse et obligatoire.

De même, développer le retour d’expérience est crucial pour améliorer la qualité des dispositifs de protection en place. En effet, l’étude de cas concrets permet aux DSI de mettre en place des process plus robustes et adaptés aux menaces rencontrées dans une démarche d’amélioration continue. Cela nécessite bien entendu un investissement. D’après le rapport IT Security Economics de Kaspersky, les grandes entreprises européennes prévoient d’augmenter leurs budgets en cybersécurité de seulement 10% sur les trois prochaines années, contre 15% pour la moyenne internationale.

Changer les mentalités en matière de cybersécurité n’est pas chose facile. Au-delà du cadre réglementaire, le rempart de la cybersécurité doit également être édifié par les organisations elles-mêmes. Cela signifie que la place des DSI doit se renforcer au sein des entreprises et qu’ils doivent disposer des moyens nécessaires pour assurer la pérennité et le développement de leurs infrastructures numériques toujours plus critiques. Mais le récent déploiement d’Olvid par le gouvernement français en remplacement de WhatsApp, Telegram et Signal semble poser les bases et ouvrir la voie de cette nécessaire approche préventive.


À LIRE AUSSI :


À LIRE AUSSI :

Dans l'actualité