NIS2 va profondément transformer les organisations en matière de cybersécurité. La responsabilité des dirigeants pourra être engagée en cas de manquements. Et ils ne sont pas prêts !

Changement de paradigme. NIS2 passe d’une logique de mise en place de moyens à une obligation réglementaire et légale, complétant le GDPR. Surtout, il rend désormais responsable les organes de direction.

L’objectif est clair : induire l’appropriation du risque par les cadres supérieurs et le conseil d’administration pour garantir une meilleure gouvernance.

« La perspective de sanctions est plus efficace lorsque les individus sont clairement identifiés comme responsables », commente Stanislas Van Oost, Founder & Managing Director, Easiance, par ailleurs consultant partenaire de Cyber Security Manager. La différence la plus importante entre NIS2 et NIS, mais aussi les législations d’autres pays est, comme on dit en Allemagne, le Chefsache. C’est une affaire de chef, de conseil d’administration. Plus question de dire, à un informaticien au sujet de la cybersécurité : « OK, peu importe, fais ce que tu veux ! »

Un management loin d’être prêt

Le CEO et le conseil d’administration doivent être au courant des dernières évolutions sur ce qu’il faut faire, comment prendre le contrôle, où ils en sont en tant qu’organisation. Par conséquent, il y a une amende personnelle pour le CEO. Cette amende a été définie de 1,4 à 2 % pour les « entités essentielles ». Pourquoi ? Parce que les groupes de ransomware, lorsqu’ils piratent un réseau, demandent de 1,4 à 2 %…

C’est donc une façon d’influencer le calcul, en disant : voulez-vous payer des groupes de ransomware, voulez-vous payer une amende, ou voulez-vous simplement investir dans la cybersécurité ? « Je m’attends à ce que si le CEO devient parfaitement responsable, il veillera à ce que ce soit la dernière solution », estime Stanislas Van Oost.

Le management est-il prêt ? Conscient, surtout ? « Aujourd’hui, je crains que non. Même s’il est sensible, le sujet de la sécurité de l’information n’est pas prioritaire dans les conseils d’administration. Or, ce n’est pas grand-chose, on ne demande pas la Lune ! »

Responsabilité, sanctions…

Très concrètement, NIS2 permet aux autorités des États membres d’ordonner aux entités contrevenantes de :

– rendre publics les aspects de non-conformité avec la directive ;

– faire une déclaration publique qui identifie la ou les personnes physiques et morales responsables de la violation, et la nature de cette violation.

Dans le cadre d’une « entité essentielle », ces sanctions peuvent aller jusqu’à :

– la suspension des certifications et autorisations concernant les services ou activités fournis par l’organisation ;

– une interdiction temporaire d’exercer des fonctions de direction au sein de l’entité pour toute personne exerçant des responsabilités de direction à un niveau de directeur général ou de représentant légal.

Il convient de préciser que ces dernières mesures d’exécution ne sont pas applicables aux entités de l’administration publiques qui relèvent de la présente directive. On ne peut pas parler, dans ce cas, de responsabilité.

Eduquer et former les cadres

Heureusement, la directive ne se cantonne pas à faire planer des sanctions sur le top management. NIS2 préconise la formation et la responsabilisation des dirigeants en matière de gestion des risques. Celle-ci est absolument nécessaire. « Dans certains secteurs, comme l’industrie et l’agroalimentaire, la culture de la cybersécurité est encore relative », constate Stanislas Van Oost. Leur approche devrait être basée sur une démarche d’amélioration continue suivant le schéma PDCA (Plan, Do, Check, Act).

Afin de préparer le terrain pour pouvoir répondre aux obligations légales de la transposition de NIS 2, il est utile de commencer par une cartographie de l’ensemble des activités « métiers » et d’identifier les besoins de sécurité spécifiques à chacune, les impacts sur l’activité en cas de disruption des processus et les plans de continuité nécessaires au maintien de l’activité.

« En commençant par cette démarche de cartographie, conclut Stanislas Van Oost, il est ensuite aisé d’identifier les composants des systèmes d’information sur lesquels se concentrer… »

Cartographier les risques

La seconde étape consiste à évaluer la maturité en cybersécurité et à élaborer une feuille de route. En fonction de leur niveau de maturité, les entreprises peuvent commencer par des guides de bonnes pratiques pour les TPE/PME ou se référer à des documents plus avancés. Après avoir mis en œuvre les mesures de base, elles peuvent progresser vers des normes plus exigeantes.

Une étape clé est la cartographie des risques, qui aide à prioriser les mesures en fonction de leur impact potentiel. Cette analyse de risque est essentielle non seulement pour guider la cybersécurité, mais est également une exigence de la directive.

Alain de Fooz