NIS 2 : pour une vision unifiée de la cybersécurité

Suite aux nombreuses cyber-attaques dont ont été victimes des collectivités territoriales, des hôpitaux et des entreprises françaises de toutes tailles et tous secteurs confondus ces dernières années, le constat est clair : leur niveau de maturité cyber est insuffisant face à l’état de la menace.

La principale faiblesse généralement observée par nos équipes est le manque de gouvernance en matière de cybersécurité dans de nombreuses entités, qu’elles soient publiques ou privées : alors que les aspects techniques sont généralement couverts par les équipes informatiques, les aspects organisationnels sont très souvent ignorés, ou du moins jugés moins importants. 

À la veille de la transposition de la directive européenne NIS 2 (fixée au 17 octobre 2024), qui va assurer un niveau de sécurité élevé et commun pour les réseaux et systèmes d’information de l’Union européenne, examinons plus en détails les raisons pour lesquelles un changement de paradigme dans la perception de la cybersécurité par les organisations est inévitable et comment il va prendre forme : intégration dans les processus métiers, sensibilisation, rapprochement avec les activités de conformité, de protection de la vie privée et de qualité, représentation dans les fonctions exécutives, politiques de gestion de crise…

Dans de nombreuses organisations, la question de la cybersécurité est traitée par le département informatique et le Responsable de la Sécurité des Systèmes d’Information (RSSI) rend souvent directement compte à la DSI.Ce fonctionnement peut conduire à des conflits potentiels entre les différents départements d'une même entité, la question de la cybersécurité étant ainsi perçue comme une simple retombée des activités informatiques. C'est souvent lors de ces conflits que les responsables des processus opérationnels commencent à entrevoir les interactions entre leurs activités et la cybersécurité, ainsi que la nécessité de combler le fossé entre le département informatique et les autres départements.

Le RSSI doit être en mesure de lier ses activités avec toutes celles des départements de son organisation et d'aborder les impacts métiers avec chacun d’eux. Pour cela, il peut organiser des formations de sensibilisation, participer au choix des applications métiers ou encore veiller à ce que la cybersécurité soit incluse dans leurs processus quotidien.

Il est légitime de se poser la question du positionnement stratégique des activités de cybersécurité dans l'organigramme. Si le rôle du Délégué à la Protection des Données (DPO) a été défini dans le règlement 2016/679 (RGPD) et son indépendance hiérarchique clairement explicitée, il n’en est malheureusement pas même pour le rôle du RSSI. Une fonction similaire à celle du DPO peut être créée dans certaines organisations, mais elle nécessite un niveau de maturité cyber élevé et suppose un temps incompressible de cadrage du périmètre associé, pour ne pas couvrir uniquement le volet technique de la cybersécurité.

Parallèlement à la clarification du positionnement métier du RSSI, l’une des recommandations les plus souvent formulées dans le cadre des audits de maturité cyber que nous réalisons est que les dirigeants doivent disposer d'indicateurs stratégiques sur les risques et les enjeux de la cybersécurité.

Avec la future transposition de la directive NIS 2, cette recommandation devient même une exigence réglementaire, accompagnée d'une obligation de formation pour ces mêmes dirigeants puisqu'ils devront rendre compte des mesures de risque de cybersécurité mises en œuvre au sein de leur organisation. Bien que l'approche fondée sur les risques soit généralement la norme dans notre domaine, nous constatons trop souvent qu’elle n'est pas totalement adoptée par les dirigeants et encore moins lorsqu'il s'agit de prendre en compte les risques spécifiquement liés à la cybersécurité. Au sein de ce nouveau paradigme, il est essentiel que la cybersécurité ne soit plus abordée simplement au moyen d'indicateurs périodiques, mais bien comme un outil stratégique, plébiscité par un sponsor dédié.

Lorsque la question de la continuité des activités est posée, on nous répond souvent qu'une liste d'applications est nécessaire voire critique. De même, la question des cartographies existantes dans les entités génère rarement une réponse reflétant une approche de bout en bout : lorsqu'une cartographie du Système d'Information (SI) existe, elle montre peu souvent les liens avec les processus supportés par les actifs du SI.

Avec l'arrivée de la directive NIS 2 et le changement qu'elle implique pour les entités essentielles et importantes, une approche top-down est nécessaire pour identifier les secteurs prioritaires d'une organisation : à partir d’une mission stratégique, l'attribution des priorités doit se baser sur les processus existants au sein de chaque département. C'est en étudiant ces processus que l'on peut construire la feuille de route de la continuité des activités. C'est d’ailleurs ainsi qu’il est possible d’identifier les besoins de sécurité, notamment en mettant en évidence les interconnexions entre les processus d'une part et les actifs du SI d'autre part. Par exemple, il ne suffit pas de définir une seule application comme un composant critique. Il est au contraire nécessaire d'identifier tous les processus qui y font appel afin d'identifier les points de défaillance en amont et en aval, ainsi que les applications qui fourniront ses entrées ou utiliseront ses sorties.

Une fois de plus, la cybersécurité n'est pas simplement une activité qui relève uniquement du département informatique. Elle doit être considérée comme faisant partie de tous les processus d'une entreprise et nécessite une connaissance approfondie de la manière dont ils s'articulent entre eux.

S’il est nécessaire de repenser la façon de « faire » de la cybersécurité, il ne nous est pas demandé d'inventer de nouvelles façons de l'intégrer. En tant que domaine d’activité relativement récent, il est compréhensible qu'il soit encore traité séparément des autres activités de l'entreprise qui n'ont pas connu la même rapidité de transformation digitale. Cependant, lorsqu'une démarche qualité selon les termes de l’ISO 9001 est en place, ou qu'un service de conformité existe, il peut être utile de s'appuyer sur les activités existantes afin de ne pas créer de redondance inutile qui irait à l'encontre de l'adoption d'une « culture cyber ».

Un exemple pourrait être la conformité au RGPD. Une fois qu'elles ont atteint un niveau de maturité satisfaisant, les organisations ont mis en place des moyens d'identifier le traitement des données personnelles - sans doute en utilisant des processus métiers, des questionnaires pour évaluer la conformité des sous-traitants, une méthodologie d'intégration de la vie privée dans les projets, etc.

La prise en compte de la cybersécurité étant sur le point de devenir une exigence réglementaire au même titre que la protection des données personnelles, il peut être possible de repartir sur ces mêmes bases pour gagner en efficacité :

• Les données traitées dans les processus pourront ainsi être certifiées à la fois sur le plan de la protection de la sphère personnelle et de la cybersécurité
• L'évaluation par un tiers pourra couvrir l'ensemble des exigences réglementaires (à condition qu'elle soit accompagnée des audits requis)

C'est sur cet aspect que porte la directive européenne NIS 2. La cybersécurité n'est pas qu’une question de conformité avec une liste de mesures à mettre en œuvre mais bien un véritable signal d'alarme pour la pérennité des organisations de l'Union.

Le 17 octobre 2024, date limite de la transposition de NIS 2 dans la législation nationale de chaque État membre de l’UE, c’est déjà demain ! Le moment est donc venu pour vous, si vous êtes concerné, de réfléchir à la manière de procéder, d'anticiper et de se préparer à votre mise en conformité NIS 2.

En tant que partenaire de confiance, Orange Cyberdefense est là pour vous aider à vous conformer à ces exigences sans précédent en vous proposant des solutions sur mesure.

Restons vigilants et préparés. Notre engagement envers la sécurité numérique demeure essentiel !

Auteur : Gaël Prado, Consultant Senior expert en Réglementation, Orange Cyberdefense

Pour aller plus loin :

ANSSI : L’État de la menace (2022)

ENSIA : The Threat Landscape (2023)