Nouvelles règlementations cyber européennes : entre défis et opportunités pour les organisations !
novembre 2024 par Marc Jacob
« Les enjeux et les effets de la transposition des directives et règlements européens » était le tire de la table ronde animée par Valentin Jangwa, de Global Security Mag avec le concours de Marion Buchet directrice du CERT aviation, Jeremy Schwalb, RSSI de Roquette et Maître Olivier Iteanu, lors de l’édition 2024 du Tech Show qui s’est déroulé à Porte de Versailles (Paris). Nos intervenants ont mis en exergue les défis pour les entreprises et les organisations mais aussi les opportunités.
Olivier Iteanu et Jeremy Schwalb
Valentin Jangwa a demandé à Olivier Iteanu de dresser le cadre des directives et règlements européens. En préambule Olivier Iteanu a rappelé que dans les années 70 le slogan d’une publicité était « en France on a pas de pétrole mais on a des idées » mais aujourd’hui on a en plus des réglementations en Europe avec Dora, NIS2, IA Act le CRA... En ce qui concerne le secteur financier DORA s’applique directement car c’est un règlement et donc sans transposition. De plus la finance a l’habitude d’appliquer ce genre de règlements et donc DORA n’a pas beaucoup d’impact. Pour Olivier Iteanu, il y a de plus en plus de réglementation ce qui l’amène à dire que « le trop de droit tue le droit ». Il rappelle que le nombre de délits sur le net est plus important que le vol de voitures. Pour lui, il aurait mieux valu travailler sur une coopération entre les polices européennes que de rajouter des pages de droits. Ainsi, avec NIS2 il va falloir que les entreprises haussent leur niveau de sécurité sous peine d’amendes conséquentes.
Jeremy Schwalb explique pour sa part que son entreprise sera certainement concernée par NIS2 selon les différents critères établis sur le portail https://monespacenis2.cyber.gouv.fr/. En préambule, Jeremy Schwalb partage sa réflexion sur les origines de ces directives et règlements. Les raisons potentielles s’orienteraient vers un manque d’engagement des entreprises, malgré les efforts déjà réalisés, ou seraient une résultante de la crise de COVID qui a mis en exergue certaines défaillances. Une autre hypothèse serait les tensions géopolitiques qui nous amènent à repenser notre résilience collective et individuelle.
Pour les opportunités et contraintes, Jeremy Schwalb estime que les entreprises devront mobiliser les ressources pour atteindre la conformité. La gestion des fournisseurs et les réponses qui devront être fournies aux clients concernant le risque cyber va amener une certaine charge de travail sur les équipes. Jeremy Schwalb voit de nombreuses opportunités, en particulier sur les services packagés apportés par les sociétés de conseils pour les PME. On peut également espérer voir l’émergence d’un standard visant une homogénéisation des critères de scoring et d’évaluation. C’est aussi une bonne opportunité pour les systèmes d’IA et d’automatisation pour aider les équipes RSSI à gérer l’ensemble des futurs processus et tâches. Enfin, Jérémy précise que ces réglementations sont une formidable opportunité d’augmenter la cyber protection et la résilience de l’ensemble des acteurs du tissu économique européen.
Jeremy Schwalb explique que la directive NIS2 va améliorer l’hygiène collective. Les entreprises ne devront pas considérer les réglementations comme un exercice auto-centré, mais bien de considérer l’ensemble de la chaîne de valeur. Les entreprises devront évaluer les impacts sur leur production ou leur service en cas de défaillance d’un fournisseur ou d’un actif ; qu’il soit IT ou non. On va rejoindre les principes de Plan de Continuité d’Activité (PCA) et focaliser les efforts sur les actifs critiques au sens large.
Valentin Jangwa : Est-ce que NIS2 est une source de contrainte ou une nouvelle opportunité ?
Pour les opportunités et contraintes Jeremy Schwalb estime que l’on va en avoir dans la gestion des ressources. « De ce fait, il va falloir faire une analyse de risques de nos fournisseurs et de mêmes pour nos clients ». Par contre, Jeremy Schwalb voit de nombreuses opportunités en particulier sur les services apportés par les consultants pour les PME. On peut espérer arriver à une homogénéisation des sociétés de scoring. C’est aussi une bonne opportunité pour les systèmes d’IA et d’automatisation. Enfin c’est aussi une opportunité pour la résilience collective. On va pouvoir sécuriser cette supplychain chaîne. Ainsi, le RSSI va devoir donner le tempo à cette mise en conformité qui va durer environ trois ans.
Olivier Iteanu, rebondit pour lui, il y a tout de même des contraintes très importantes toutefois c’est aussi une opportunité pour que les entreprises demandent à leur fournisseurs de se mettre en conformité. Ainsi, il y a peut-être l’opportunité pour les entreprises de reprendre la main et avoir un avantage concurrentiel pour les européens. Par contre les entreprises européennes vont devoir mettre en avant leur effort de mise en conformité.
Valentin Jangwa et Marion Buchet
De son côté, Marion Buchet considère ces règles comme des opportunités car elles vont permettre d’impliquer des entreprises dans la cybersécurité. Elle rappelle que la France a un rôle assez moteur en Europe sur ce sujet. En effet, la France est le seul pays d’Europe à avoir un CERT Aviation.
Dans les trois objectifs de NIS2, il y a la notification à l’ANSSI qui va devoir gérer plusieurs milliers d’entreprises au lieu de 700 aujourd’hui explique Marion Buchet. L’ANSSI va ainsi devoir agréer des organisations de confiance comme les CERT. De ce fait, les PME vont pouvoir trouver aisément des contacts de proximité.
Il semble que le texte sera sur la table du Sénat prochainement pour être adopté en février 2025.
Valentin Jangwa : Olivier Iteanu, comment le cabinet d’avocat peut-il accompagner les entreprises concernées ?
Le cabinet pourra accompagner les entreprises en revoyant les contrats explique Olivier Iteanu. Il rappelle que la CNIL ou l’ANSSI ne sont pas un tribunal, l’esprit des textes est qu’ils sont juges de la la seule conformité, ils doivent donc aider à la mise en conformité, constater la non conformité oui, mais aider l’entité à se mettre en conformité. Le cabinet pourra accompagner les entreprises en, notamment, les sensibilisant et les informant, en les aidant à se qualifier d’entité importante ou essentielle, en revoyant les contrats avec les fournisseurs explique Olivier Iteanu. De ce fait, le dialogue est toujours possible avec l’autorité de contrôle. L’ANSSI aura pour tâche d’aiguiller les entreprises pour qu’elles puissent se mettre en conformité. Il faut donc que les entreprises démarrent d’ors et déjà cette démarche.
Concernant DORA qui arrive le 17 janvier 2025 avec une directive et un règlement associé et qui va s’appliquer directement. Olivier Iteanu, la norme 27001 est très proche de DORA donc il n’y aura pas beaucoup de changement pour les établissements financiers.
Pour Marion Buchet, cela fait deux ans que l’on parle de NIS2 avec les fournisseurs. Aujourd’hui, on n’est pas dans des concepts ésotériques car il y a des éléments concrets à mettre en œuvre. De plus, l’ANSSI se veut être plus un guide pour aider les entreprises à se mettre en conformité.
Jeremy Schwalb explique que la directive NIS2 va améliorer l’hygiène collective. Par contre, il y a des subtilités comme par exemple est-ce que la défaillance qu’un fournisseur quel qu’il soit va avoir un impact sur ma production. La société va devoir créer des assets en fonction de la production. Il va falloir prioriser en fonction de l’impact d’une défaillance.
Le CERT Aviation va proposer des formations sur ce thème, rappelle Marion Buchet.
Olivier Iteanu estime que les entreprises en premier lieu doivent s’auto-évaluer et s’auto-qualifier d’entité essentielle ou importante et que cela doit aussi être l’occasion d’une revue des contrats avec leurs fournisseurs. on dit que de l’ordre de 15.000 entreprises seront impactées par NIS2, c’est en réalité beaucoup plus car les entités essentielles ou importantes vont diffuser leurs exigences dans tout leur écosystème.
Valentin Jangwa conclut en rappelant que la conformité et la cybersécurité doivent être envisagées ensemble.