Directive NIS2 : les implications pour les décideurs et leur stratégie de cybersécurité

Dans les précédents articles de cette série, nous avons vu les mesures de gestion des risques de cybersécurité imposées par la nouvelle réglementation NIS 2. Ces exigences forment un cadre de référence pour l'amélioration de la cybersécurité dans l'Union européenne et devraient maintenir les équipes de sécurité sous pression au cours des prochaines années.

Elles vont devoir renforcer leurs mesures de sécurité, et cette obligation aura un impact considérable sur la gestion des entités et l'élaboration des stratégies de cybersécurité. Le rôle du directeur de la sécurité de l'information (CISO) va certainement gagner en importance avec la mise en place de NIS 2, mais tous les cadres supérieurs des organisations devront assumer une part de responsabilité. Les autorités nationales vont pouvoir auditer les mesures de cybersécurité et évaluer leur application. Les infractions graves pourront donner lieu à des interdictions temporaires pour les cadres dirigeants et à la suspension des activités de l'entreprise. Et la nature des violations pourra être rendue publique. Les défauts de conformité exposent également à de lourdes amendes, allant de 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel pour les « entités importantes » à 10 millions d'euros ou 2 % du chiffre d'affaires annuel pour les « entités essentielles ».

L'UE insiste en outre pour faire peser la responsabilité des problèmes potentiels sur le conseil d'administration, et non sur les équipes informatiques. Les amendes visent les dirigeants. Elles ont pour but d'encourager une planification complète et un investissement prudent dans la prévention des problèmes : il est en effet bien plus rentable de se mettre en conformité avant une possible violation que d'ouvrir la porte à toutes les sanctions financières qui interviendraient après.beforeafter

Pour les CISO, c'est l'occasion de briller en créant une stratégie de sécurité robuste, capable d'éviter les failles et de favoriser la continuité des activités – autant de façons de valoriser leur profil et celui de leur équipe.

Bien investir : facteurs techniques, opérationnels et organisationnels

Avec cette responsabilité accrue, les CISO et leur équipe auront besoin de budgets plus importants au cours des prochaines années. Selon un rapport prévisionnel de Gartner, le marché de la sécurité de l'information et de la gestion des risques représentait en 2022 une valeur de 170 milliards d'euros, avec une croissance mondiale estimée à 6,5 % d'ici 2025. Les prévisions de la Commission européenne suggèrent que NIS 2 va entraîner une augmentation des dépenses de 12 à 22 % par secteur au cours des trois ou quatre prochaines années. Et ces investissements doivent conférer des avantages dépassant largement les coûts.

Pour réaliser ce potentiel, les responsables doivent prendre des décisions cruciales : il ne s'agit pas seulement de l'infrastructure informatique, mais aussi des ressources humaines et de la formation. Sans décrire précisément le contenu de la formation de cybersécurité pour chaque État membre, la directive NIS 2 établit que la sensibilisation aux cybermenaces doit faire partie des bonnes pratiques des entreprises. Les États membres doivent faire la promotion active de la cyberprotection auprès des citoyens, des décideurs et des organisations, sans hésiter à produire des réglementations supplémentaires au besoin.

Le recrutement de talents s'annonce plus problématique : les entreprises sont confrontées un marché de plus en plus compétitif. Pour faire face à l'émergence et à l'évolution des menaces de cybersécurité, il faut recruter les bonnes compétences ou identifier, au sein des équipes actuelles, les personnes capables de les acquérir – et leur donner les moyens de le faire.and De nombreuses organisations ont déjà du mal à recruter des diplômés en informatique, en ingénierie et en mathématiques, et il est indispensable d'élargir le vivier traditionnel de talents.

Le télétravail offre une piste face à la pénurie, mais il est peu probable qu'il suffise. La Commission européenne l’affirme : les organisations doivent repenser leur proposition de valeur aux employés. Les stratégies axées uniquement sur les résultats et non sur l'élément humain sont dépassées. L'adoption de la technologie et de l'automatisation doit libérer les employés des tâches fastidieuses et leur permettre de se consacrer à des activités à grande valeur ajoutée – qui contribueront également à faire évoluer leur carrière. Les processus métier doivent faire l'objet d'un examen attentif. La gestion des appareils, par exemple, illustre parfaitement comme la rationalisation des tâches répétitives peut accroître l'efficacité et la satisfaction des équipes. De même, l'utilisation du machine learning peut enrichir le travail des équipes de sécurité de l'information tout en les aidant à mieux comprendre les acteurs malveillants d'une manière qui n'appartient qu'aux humains.

Des solutions actuelles pour résoudre des problèmes en constante évolution

L'UE met en place un cadre qui influencera fortement la prise de décision au plus haut niveau dans le domaine des technologies de l'information, et ce pour les prochaines années. Ces mesures sont suffisamment complètes pour transformer véritablement la manière dont les entreprises gèrent les risques et anticipent les cyberattaques – et leur coût exorbitant. C'est aussi, pour les organisations, une formidable opportunité de se familiariser avec des technologies qui sont déjà à leur portée.Les solutions de sécurité modernes sont devenues moins complexes et moins invasives. Elles sont également bien plus performantes pour prévenir les menaces, quelle que soit la taille de l'entreprise.

Qu'une organisation soit ou non directement concernée par NIS 2, ses dirigeants doivent prendre en compte non seulement les réglementations en vigueur, mais aussi :

• les tendances qui influencent les marchés et les secteurs
• la variété et l'impact des environnements de travail
• l'évolution du paysage des menaces