La directive NIS2 et le règlement DORA peuvent-ils améliorer la cybersécurité des entreprises ?

La reconnaissance de la menace que représentent les cyberattaques pour les entreprises prend de l’ampleur.

Le baromètre des risques 2024 d’Allianz classent nettement en tête des risques mondiaux les incidents tels que les attaques par rançongiciel, les violations de données et les perturbations informatiques.

De même, l’enquête Global Digital Trust Insights réalisée en 2024 par PwC révèle que près de la moitié (47 %) des cadres craignent réellement les cybermenaces liées à l’informatique dématérialisée, 36 % des personnes interrogées ayant été victimes d’une violation de données pour un montant de plus d’un million de dollars au cours de l’année précédente, contre 27 % auparavant.

Les organismes de réglementation du monde entier tentent de combattre ce problème croissant en mettant à jour et en améliorant les directives afin de renforcer la résilience et la sécurité des entreprises.

Dans ce domaine, l’Union européenne a particulièrement retenu l’attention en annonçant deux modifications importantes en matière de conformité à la réglementation sur la cybersécurité. Ces deux lois concerneront un grand nombre d’entreprises.  

La première est la directive NIS2. Entrée en vigueur en janvier 2023, elle représente une extension de la précédente directive en vigueur au sein de l’UE. Elle impose aux opérateurs d’infrastructures critiques et de services essentiels qu’ils élaborent des stratégies de sécurité plus robustes.

Pour en savoir plus sur la directive NIS2, cliquez ici

La seconde loi concerne la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA). Elle deviendra juridiquement contraignante à partir de janvier 2025 et définit des normes techniques que les entités financières et leurs fournisseurs de services technologiques tiers stratégiques doivent intégrer à leurs systèmes d’information et de communication (TIC).

Pour en savoir plus sur DORA, cliquez ici

Le problème des réglementations subjectives

Le message derrière ces réglementations est similaire : les organisations qui fournissent des services essentiels doivent donner la priorité à la cybersécurité en veillant à instaurer une protection plus complète contre les menaces numériques afin de réduire les risques d’interruption.

Ce raisonnement est judicieux. Cependant, de nombreuses entreprises n’y trouvent pas leur compte.

L’un des principaux problèmes de la directive NIS2 et du règlement DORA est leur focalisation sur la promotion de la sécurité et de la résilience sans fournir aux utilisateurs finaux de plan de réussite. Ils accordent trop d’attention aux résultats à atteindre sans offrir aux entreprises de conseils clairs, étape par étape, sur les actions qu’elles devraient mettre en œuvre pour y parvenir.

Cela s’explique notamment par le fait que ces lois reconnaissent que chaque entreprise est différente. La réglementation offre ainsi une latitude à chaque organisation pour interpréter les directives comme il lui convient en considérant qu’elle est la mieux placée pour maîtriser ses propres empreintes numériques.

DORA fonctionne sur ce principe : les entreprises assument la responsabilité de définir leurs services critiques et d’identifier leurs dépendances interconnectées.

Malheureusement, laisser l’interprétation des réglementations en vigueur aussi ouverte peut être source de confusion et d’incohérences, car il en résulte un environnement complexe pour les organisations et les auditeurs.

Par exemple, dans le secteur financier, deux entreprises offrant des services similaires peuvent adopter des points de vue totalement différents sur la définition des services critiques et des dépendances correspondantes.

Voir au-delà du pourquoi pour comprendre le comment

Le basculement de la directive NIS à la directive NIS2 s’est traduit par certaines améliorations. La nouvelle mouture est plus directive et moins ambiguë. Il n’en reste pas moins, qu’elle est encore loin d’être parfaite.

Il faudrait encore l’améliorer pour permettre aux entreprises de se conformer beaucoup plus facilement à la réglementation sur la cybersécurité. En effet, de nombreuses entreprises manquent encore de maîtrise quant au paysage des menaces et aux exigences réglementaires.

Il est essentiel que la directive NIS2 et le règlement DORA empruntent le même chemin. Bien sûr, reproduire ce qui a été mis en place dans des secteurs comme la construction ne sera pas facile. Mais des cadres de cybersécurité plus favorables ont déjà été mis en œuvre avec succès sur d’autres marchés importants à l’échelle mondiale.

Le programme australien Essential Eight en est un exemple notable. En plus de souligner l’importance de huit priorités incontournables en matière de sécurité pour parvenir à une configuration plus robuste, il fournit aux organisations des conseils étape par étape pour atteindre les niveaux de maturité de base et supérieurs.

Imaginez que vous achetiez une nouvelle serrure pour votre porte d’entrée : considérer que la maison ne sera sécurisée que si la serrure est enclenchée ne suffit pas. Vous avez également besoin de conseils sur la configuration et l’utilisation optimale pour garantir une efficacité maximale en matière de sécurité.

Ces attentes ne devraient pas être différentes en matière de cadre cyber. Pour que les utilisateurs finaux puissent vraiment comprendre et respecter les directives efficacement, les régulateurs doivent expliquer comment mettre en œuvre les meilleures pratiques avec précision.

Voir la valeur au-delà des sanctions pour non-conformité

Les entreprises qui s’interrogent sur la manière de respecter efficacement les exigences en matière de conformité accrues imposées par le règlement DORA et la directive NIS2 peuvent prendre plusieurs mesures.

En empruntant le même chemin que les organisations qui adhèrent à des cadres tels que les « Essential Eight » australiens, les entreprises peuvent asseoir la confiance dans leurs efforts de mise en conformité en se détournant des interprétations subjectives tout en fournissant aux auditeurs une piste logique claire.

La conformité en matière de cybersécurité ne doit pas pour autant s’arrêter à un simple exercice de cases à cocher.

C’est pour cela que les exigences réglementaires sont durcies : les organisations doivent mettre en œuvre les contrôles et les politiques leur offrant une protection efficace pour faire face à l’évolution des cybermenaces.

Cette évolution ne doit pas être considérée comme un fardeau, mais plutôt comme une opportunité. La cybersécurité subit une transformation similaire à celle des technologies de l’information, qui sont désormais reconnues comme un moteur de l’activité des entreprises après avoir été perçues uniquement comme un coût. Même si la sécurité ne permet pas directement de simplifier les opérations ni de doubler les revenus, elle constitue un outil de protection indispensable des investissements tout en assurant la continuité des activités.

Le respect des directives en matière de sécurité ne devrait pas avoir pour but d’éviter les amendes pour non-conformité. IBM indique que la violation moyenne de données coûte actuellement 4,45 millions de dollars aux organisations. Des mesures de sécurité efficaces sont donc indispensables pour protéger les entreprises contre des conséquences bien plus dommageables.

Pour éviter des pertes aussi catastrophiques, donner la priorité à la sécurité est un impératif. En adoptant cette approche, les entreprises seront naturellement en mesure de satisfaire aux exigences de conformité en constante évolution et de plus en plus contraignantes.

NIS 2, DORA, pour aller plus loin sur ces thèmes avec iTPro.fr :