De toute évidence, NIS2 pousse à un élargissement du rôle du DPO au-delà du GDPR vers la sécurité. Question : est-il le mieux placé pour mener le projet ?

NIS2 serait dans l’esprit du GDPR, dit-on. Le sujet serait donc, logiquement, l’affaire du DPO. Si le DPO est à la croisée du technique et du juridique, les spécialistes du dossier NIS2 ne sont pas sûrs qu’il soit le meilleur interlocuteur.

« Le GDPR est un sujet juridique, NIS2 un sujet de risk management ! », estime Stanislas Van Oost, Founder & Managing Director, Easiance. Pour ce spécialiste de la conformité, on s’éloigne de la vocation première du DPO. « Pour moi, la protection des données privées n’est qu’un sous-ensemble du sujet. Et donc la gestion de risque brasse plus large.  Autant un juriste fera un bon DPO, autant, je pense, il ne pourra faire le job d’un CISO ! »

CISO et DPO, un objectif commun

Depuis plusieurs années, les DPO sont effectivement en première ligne pour traduire concrètement en interne les évolutions juridiques sur les données -le RGPD bien sûr, mais aussi celles à venir. Qui plus est, en matière de sécurité de l’information, on rapproche facilement la norme ISO 27001 et le GDPR. En effet, ces deux textes se recoupent dans leur objectif de renforcer la sécurité de l’information et la protection des données. Bien que leurs approches diffèrent légèrement, les deux initiatives visent à protéger l’information détenue par un organisme. D’un côté, ISO 27001 est axée sur la sécurité de cette information, tandis que le GDPR se concentre spécifiquement sur la protection des données personnelles.

A priori, donc, CISO et DPO partagent un objectif commun : assurer une gouvernance efficace et conforme des données et de la sécurité de l’information au sein des organisations. « Mais sans plus, renchérit Jordan Sant-Ghislain, Cybersecurity Incident Response Manager, Redsystem. Il n’y a pas que les procédures. Plus que NIS, NIS2 implique de parfois mettre les mains dans le moteur. Et plus souvent qu’on ne l’imagine. Car si vous êtes attaqué, c’est trop tard ! »

Voir plus loin que la question de la confidentialité

Autrement dit, si le DPO joue un rôle crucial pour garantir le respect des réglementations en matière de protection des données, il n’est pas toujours le candidat le plus approprié pour diriger des initiatives de cybersécurité plus larges, nuance Sabika Ishaq, Chief Information Security Officer, Grant Thornton Luxembourg. L’expertise du DPO se concentre généralement sur les questions liées à la confidentialité et au respect de réglementations telles que le GDPR, plutôt que sur les subtilités techniques de la gestion et de l’atténuation des risques de cybersécurité.

« Au lieu de cela, les organisations peuvent envisager de nommer un CISO ou un responsable de la conformité pour diriger les efforts de cybersécurité. Ces rôles sont spécifiquement dédiés à la supervision de la posture de cybersécurité de l’organisation, y compris l’élaboration et la mise en œuvre de stratégies, politiques et contrôles de cybersécurité. »

Les CISO possèdent l’expertise technique et la vision stratégique nécessaires pour naviguer efficacement dans le paysage complexe des menaces et des vulnérabilités de cybersécurité.

Une complémentarité des rôles ?

Les organisations peuvent également choisir de créer une équipe ou un département dédié à la cybersécurité, dirigé par un responsable ou un directeur de la cybersécurité. Cette équipe serait chargée de gérer les opérations quotidiennes de cybersécurité, de coordonner les efforts de réponse aux incidents et de mener des initiatives d’amélioration continue dans l’ensemble de l’organisation. « En centralisant les responsabilités en matière de cybersécurité sous une direction dédiée, les organisations peuvent garantir une approche cohérente et proactive de la gouvernance de la cybersécurité, en l’alignant sur les objectifs commerciaux et les priorités de gestion des risques », dit encore Sabika Ishaq.

DPO et CISO dans un même bateau ? On ne peut toutefois écarter la question de la cohabitation de ces postes. Car, quand bien même les discussions s’orientent vers une coopération, un intérêt collectif, une intelligence commune, un risque demeure : une source de conflit potentiel en termes de gouvernance.

Pour les organisations qui se dirigent vers une complémentarité des rôles, celle-ci doit se préparer dès maintenant. On imagine facilement qu’avec les développements de l’IA et de l’hyperconnectivité, NIS 3, et encore plus loin, NIS 4 définiront un champ d’intervention, mais aussi d’autres exigences plus pointues pour les entreprises, conclut Stanislas Van Ooost.

Propos recueillis par : Alain de Fooz

Les CyFun du CCB  

Comment se conformer aux exigences de cybersécurité de la Directive NIS2 ? En Belgique, outre la certification à la norme ISO 27001, un nouveau cadre devrait jouer un rôle de présomption de conformité à NIS2 : le cadre CyFun (Cyberfundamentals) créé début 2023 par le CCB (Center for Cyber security in Belgium).

Les CyFun (3 labels) se basent sur la structure du cadre NIST, mais aussi sur les mesures que l’on retrouve dans les normes ISO 27001, IEC 62443 ou les contrôles CIS. Une base solide donc, en cours de test actuellement.

De fait, des questions restent encore sans réponse. Le CyFun améliorera-t-il significativement la cybersécurité ou entraînera-t-il des formalités administratives ? Est-il suffisamment clair ? Quel est le coût de sa mise en œuvre ?