Transposée dans la loi belge, la directive NIS2 dessine les contours d’une étape majeure de la cybersécurité. Avec son Académie NIS2, Agoria propose un parcours fléché vers la conformité. Explications de son responsable, Arnaud Martin.

La conformité, oui, mais comment l’atteindre ? Comment, surtout, s’engager dans un processus qui sera long, voire lourd, tant la question de la cyber-résilience embrasse un grand nombre de domaines ? « Notre Académie NIS2 trouve précisément sa place entre des sessions en ligne de maximum une heure, pendant lesquelles on n’a qu’une information générale, et des prestations de consultance en cybersécurité pour un accompagnement en one-to-one, cadre d’emblée Arnaud Martin, Expert Digital & ICT Standardisation, Agoria. En somme, c’est démarrer le processus déploiement alors qu’on manque d’information sur ce qu’il y a à mettre en œuvre ! »

Première session en janvier. Deux autres ont suivi. Les prochaines sont programmées les 14 mai et 26 juin. L’idée ? Aider les entreprises à y voir clair et recevoir des conseils utiles sur la mise en conformité vis-à-vis de NIS2. L’Académie NIS2 a pour vocation de clarifier les aspects théoriques et pratiques des obligations NIS2 au niveau belge : contexte, portée, impacts, mesures, options de conformité, supervision. Et de fournir un guide de démarrage rapide avec une méthodologie sur la façon de mettre en œuvre les mesures de sécurité de la directive étape par étape. L’initiative, c’est à signaler, a été soutenue par des entreprises membres du business group Cyber Made in Belgium (CMiB) qui ont participé à des sessions de travail pour enrichir son contenu.

Par où et par quoi commencer

Etant donné qu’il y a une organisation à mettre en place, que certaines mesures peuvent prendre du temps et que d’autres demandent l’acquisition d’une certaine maturité, il y a beaucoup à faire. « On s’est rendu compte, au cours de nos précédentes sessions, que nombre d’entreprises manquaient encore d’une direction claire, de démarches concrètes à suivre, savoir par où et par quoi commencer. »

Voir clair ne signifie pas se passer des compétences des consultants. Au contraire. L’académie s’adresse principalement aux personnes jouant un rôle dans la trajectoire de mise en œuvre de la conformité (informatique, sécurité, management) et qui font partie soit des entités concernées par NIS2, soit des fournisseurs des entreprises NIS2. « Outre une information détaillée sur les aspects pratiques, on ressort de cette journée avec beaucoup d’information sur les mesures à mettre en œuvre. » Pour l’interprétation des mesures NIS2 à prendre, la formation est basée sur un point de vue légal (projet d’acte exécutif européen visant à détailler les mesures de cybersécurité de l’Article 21), des bonnes pratiques à considérer (normes internationales) et des recommandations pratiques d’experts en cybersécurité que nous avons récoltées lors de working sessions.

« Avec ce bagage, poursuit Arnaud Martin, l’entreprise peut ensuite aller vers son consultant avec de meilleures connaissances ; l’interaction sera de meilleure qualité, ce qui est un avantage tant pour l’entreprise que pour le consultant. »

Premier bilan après trois sessions

L’état de préparation de nos entreprises et organisations varie en fonction des secteurs et de leur maturité, estime Arnaud Martin. Soit cette mutation est déjà en cours, soit elle s’étirera sur plusieurs années. « Le même phénomène s’est produit avec la gestion de la qualité. Au début, c’était l’inconnu ! L’organisation et les ressources que cela demandait faisaient un peu peur… » Puis c’est devenu la norme, quelque chose d’intégré et conscientisé au niveau du top management… 

« Personnellement, je pense qu’on va suivre cette même tendance avec la cyber-résilience, qui va bientôt devenir aussi habituelle que la qualité au sein des entreprises. Aujourd’hui, on remarque que la cybersécurité commence à peine à être un argument commercial et ne fait pas encore la différence dans tous les secteurs. Mais bientôt, et grâce notamment à NIS2 et d’autres règlements à venir, la cybersécurité s’ajoutera aux autres arguments commerciaux importants, bénéficiant avantageusement les entreprises pleinement engagées dans cette voie. »

Etat de préparation

C’est toujours un exercice difficile d’avoir un aperçu global pour toutes les entreprises, mais Arnaud Martin remarque que cela dépend fortement de la culture d’entreprise (souvent aussi liée à son secteur d’activité), sa taille, etc. Plusieurs entreprises sont déjà à un stade avancé, par exemple avec la certification selon la norme ISO 27001. « Les représentants de ces organisations ressortent de la session d’académie NIS2 avec l’impression qu’ils sont globalement dans le bon et avec une vision claire sur les détails encore à régler. Pour d’autres, c’est un peu une surprise de découvrir qu’il y a autant de mesures à prendre, et que cela exigera beaucoup de ressource. Par ailleurs, je reçois quantité de questions sur le champ d’application de NIS2 qui, il faut l’avouer, n’est pas évident. Par celles-ci, je peux évaluer leur état d’avancement… Je serais curieux de connaître le nombre d’entreprises qui n’ont que très peu conscience de ce qui les attend ! »

Propos recueillis par Alain de Fooz

Le sujet de la cyber-résilience dépasse le cadre strict de l’IT

° Peut-on dire, avec NIS 2, que la cybersécurité devient l’affaire du top management, que le sujet technique devient sujet de management ?

« NIS2 concerne le top management bien plus explicitement dans la mesure où il doit approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre. En plus, le top management doit être formé pour être en mesure d’évaluer les pratiques de gestion des risques en matière de cybersécurité. » 

° La responsabilité des dirigeants pourra être engagée en cas de manquement à la cybersécurité. Le management est-il prêt ? A-t-il conscience de sa responsabilité ?

« Cela dépend d’une entreprise à l’autre, il y a des entreprises où le management est bien conscient, mais dans plusieurs entreprises, j’ai l’impression que le management ne réalise pas encore la pleine portée de sa responsabilité. Et je pense que la formulation des mesures de cybersécurité à l’Article 21 de NIS2 y est pour quelque chose. On y retrouve des concepts très génériques, ce qui pourrait donc laisser à penser qu’il y a peu à faire… »

° Pouvez-vous être plus explicite ?

« Par exemple, pour la politique gestion des accès, toute entreprise a bien quelque chose en place. Donc le management aurait tendance à penser que la gestion des accès est conforme à NIS2, vu qu’il y a une politique de mots de passe. Or, il faut pour l’entreprise penser en termes de risques pour ses business process et assets les plus critiques. Donc, une politique d’accès devra être soigneusement pensée pour protéger la continuité de ses services et données les plus critiques. De là découlent de nombreuses mesures à prendre. Ainsi, l’accès à un serveur critique devra être beaucoup mieux protégé que celui d’un employé lambda. Bref, pour être conforme à NIS2, il faudra pouvoir démontrer qu’on a fait le nécessaire pour garantir une réduction du risque à une proportion acceptable par rapport à la criticité de l’asset. Et il y a également toute une maîtrise à avoir dans le temps (mises à jour régulières, gestion des changements et cycle de vie, etc.). Lors de mes académies, j’ai parfois des personnes qui sortent de là étonnés du nombre de mesures à prendre en considération en fonction du risque ! »

° Au sein de ce nouveau paradigme, il est essentiel que la cybersécurité ne soit plus abordée simplement au moyen d’indicateurs périodiques, mais bien comme un outil stratégique, plébiscité par un sponsor dédié. Est-ce le cas ?

« Le sujet de la cyber-résilience dépasse le cadre strict de l’IT. En effet, les données et processus à sécuriser impliquent différents domaines et donc différentes personnes dans différents services qui sont à même d’identifier et de décider de ce qui est critique ou non. Par ailleurs, il est clair que le top management devra prendre à sa charge une partie de la cybersécurité, au niveau de certaines prises de décision sur les grandes lignes directrices, de stimuler la cybersécurité et s’assurer de son implémentation. »