La directive NIS 2 émerge comme un nouveau cadre, remettant en cause les approches traditionnelles de la cybersécurité. Sa mise en oeuvre promet d’être longue et complexe et aura un impact important sur la stratégie commerciale des entreprises et dans de nombreux domaines.
NIS 2, un nouveau paradigme
NIS 2 est un développement important qui permettra de réévaluer la manière dont les organisations abordent la sécurité. Elle représente une évolution significative dans la manière dont les organisations appréhendent la cybersécurité. Elle encourage ainsi une vision holistique de la sécurité, l’intégrant à tous les niveaux de l’organisation plutôt que de la traiter comme un domaine isolé. Elle étend également la responsabilité de la cybersécurité au-delà des équipes IT, impliquant la direction et tous les départements. La directive introduit également une gestion de la sécurité fondée sur l’évaluation continue des risques, plutôt que sur des mesures statiques. Enfin, elle encourage un partage d’informations et une coopération accrus entre les secteurs et les États membres.
Ces changements, une fois pleinement adoptés, conduiront à une transformation de la culture de cybersécurité dans les organisations européennes. Cependant, il faudra du temps et une adoption généralisée pour déterminer si NIS 2 constitue véritablement un nouveau paradigme au sens philosophique du terme
Identifions les facteurs de ce qui est appelé à devenir une norme s’imposant à toute entreprise jugées service de sécurité essentiel.
Prévention
La directive encourage les entreprises à adopter une approche proactive de la cybersécurité. On trouve ainsi l’encouragement à se doter de solutions d’analyse prédictive des risques et de détection des menaces (article 21, paragraphe 2 : “analyse des risques et à la sécurité des systèmes d’information” et “la sécurité de l’acquisition, du développement et de la maintenance […] y compris le traitement et la divulgation des vulnérabilités“). La création de programmes de formation avancés en cybersécurité fait l’objet d’une attention particulière (article 20, paragraphe 2 : “Les États membres veillent à ce que […] les entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel“). L’article 21 met également l’accent sur la formation (“pratiques de base en matière de cyber-hygiène et la formation à la cybersécurité“). Les entreprises concernées sont par ailleurs encouragées à se concevoir comme des leaders dans leur secteur avec un effet d’entraînement sur leur marché, ce qui est reflété dans l’esprit général de la directive, notamment à travers les mesures de gestion des risques détaillées à l’article 21 et les obligations d’information de l’article 23.
Collaboration
NIS 2 redéfinit les interactions entre acteurs de la cybersécurité, y compris au sein des organisations. L’article 20 souligne ainsi l’importance de la collaboration interne en prévoyant que la réglementation doit favoriser une collaboration étroite entre les équipes dirigeantes et opérationnelles. («Les États membres veillent à ce que les organes directeurs des acteurs essentiels et importants approuvent les mesures de gestion des risques de cybersécurité prises par ces acteurs et surveillent leur mise en œuvre.») L’article 21 promeut également une approche globale de la cybersécurité qui couvre tous les services aux entreprises («Les États membres veillent à ce que des mesures techniques, opérationnelles et organisationnelles appropriées soient prises»). Les gouvernements de leur côté, devront créer des plateformes de partage de renseignements sur les menaces entre les entreprises (art. 29). La directive encourage également le développement de consortiums sectoriels de cybersécurité et la mise en place de partenariats public-privé. Tous les acteurs seront ainsi amenés à mutualiser leurs ressources (accès en temps réel aux informations critiques et collaboration contre les cybermenaces, art. 15.3 sur la mission du CSIRT).
Conformité
NIS 2 renforce également une culture de conformité au niveau de l’ensemble des acteurs économiques. Cela passe par la mise en place d’un système de gestion de la conformité comme le recommande l’article 21 sur les mesures de gestion des risques de cybersécurité. Les entreprises devront également créer de nouveaux rôles spécialisés comme celui de responsable NIS 2. Ce point est implicitement encouragé par l’article 20, qui traite de la gouvernance et de la responsabilité des organes de direction. L’article 20 mentionne également l’amélioration des processus de gouvernance, notamment à travers l’obligation de formation des membres des organes de direction. Enfin, le déploiement des mesures supervision et d’exécution (art. 32) contribuera à établir une culture de conformité au sein des entreprises concernées, à condition d’envisager un accompagnement du changement adéquat.
Tirer parti de NIS 2
Pour les DSI et les acteurs du pilotage SI, l’enjeu est à la fois de mettre en œuvre les éléments de cette directive (qui deviendra loi prochainement) mais également de transformer cette obligation en opportunité de développement stratégique pour son entreprise. Pour le DSI, NIS 2 est une opportunité de faire de sa fonction un rôle stratégique dans la transformation de l’entreprise. Voici quelques pistes de travail :
Renforcer la cohésion interne
La mise en conformité avec NIS 2 peut être transformée en une opportunité de renforcer la cohésion interne. En déployant son projet, une entreprise pourra par exemple créer une task force NIS 2 impliquant des personnel IT, RH et production. Elle améliorera ainsi la communication inter-services et contribuera à la diffusion du sujet dans l’entreprise. Pour tirer parti de cette dynamique, elle mettra en place des réunions régulières NIS 2 impliquant tous les départements, et favorisant ainsi une culture de collaboration transversale. À noter toutefois que la mise en œuvre de NIS 2 nécessite un sponsoring de haut niveau (Direction générale). Ce point est essentiel pour mobiliser les ressources nécessaires et surmonter les éventuelles résistances au changement.
Gagner un avantage concurrentiel
L’argument d’une cybersécurité renforcée et conforme aux exigences de NIS 2 peut être un argument commercial de poids. Une société de conseil qui s’y sera mis plus tôt pourra ainsi mettre en avant sa conformité NIS 2, se démarquant de concurrents moins avancés dans ce domaine. Les entreprises peuvent capitaliser sur cet avantage en intégrant leur conformité NIS 2 dans leurs supports marketing et leurs propositions commerciales.
Accélérer la transformation digitale
Les entreprises ont la possibilité d’utiliser NIS 2 afin de détecter les opportunités de moderniser leur infrastructure de manière opportuniste, à l’instar des hôpitaux qui mettent en place un système de dossiers électroniques sécurisés.
Se positionner en acteur sectoriel
En maîtrisant NIS 2, l’entreprise peut ainsi se positionner en acteur de référence dans son secteur et partager son expertise afin et renforcer l’attractivité générale de son domaine.
Surmonter les défis NIS 2
Les processus et systèmes actuels de nombreuses organisations ne sont pas conformes aux exigences de NIS 2. Il est donc nécessaire de commencer par identifier ces différences afin de mettre en place un plan de conformité étape par étape. Classez les mesures en ordre d’importance et d’impact, et établissez des objectifs intermédiaires réalistes.
- Non-conformité involontaire : Afin d’éviter les conséquences peuvent être sérieuses (détection de vulnérabilités de sécurité , sanctions en cas de vérification, etc.), il faudra nommer un responsable chargé de suivre les changements du cadre légal et règlementaire associé à NIS 2.
- Compétences limitées : Pour parer à ce problème, des sessions de formation doivent maintenir à jour les connaissances sur les exigences de NIS 2 et développer une culture de la cybersécurité au sein de l’organisation.
- Résistances internes : La résistance au changement représente l’obstacle majeur dans la réalisation de NIS 2. Les employés ou les départements entiers peuvent être confrontés à cette réticence, étant peu disposés à changer leurs habitudes de travail. Ce phénomène peut entraîner un ralentissement et compromettre la conformité à NIS 2.
Il faut donc agir sur deux fronts. D’un côté, il est essentiel de mettre en place une stratégie de communication interne mettant en avant non seulement les obligations liées à NIS 2 et ses avantages concrets pour l’entreprise et les salariés (exemple : amélioration de la sécurité des informations personnelles ou le renforcement de la réputation de la société). Par ailleurs, les employés pourront participer activement au processus de transformation. La mise en place de comités de travail inter-départementaux, la promotion des échanges d’expérience et la célébration des avancées peuvent favoriser l’adhésion et maintenir la motivation.
Conclusion : Saisir les opportunités NIS 2
NIS 2 va au-delà d’une simple directive de cybersécurité ; elle encourage une révision globale de la gestion de l’entreprise, en accordant les questions de sécurité aux autres aspects de la stratégie d’entreprise. Cette méthode de transformation peut offrir des avantages qui dépassent largement la simple conformité aux réglementations..
Une entreprise pourra ainsi saisir l’opportunité offerte par NIS 2 pour revoir en profondeur son modèle opérationnel. En intégrant les principes de la directive dans sa stratégie globale, elle pourra non seulement renforcer sa posture de sécurité, mais elle aura également l’opportunité d’améliorer significativement son efficacité opérationnelle, réduire ses coûts et augmenter la satisfaction client. De plus, une approche proactive renforcera la confiance des parties prenantes, y compris les investisseurs et les régulateurs.