| gouvernance,risques et conformité
Renforcement de la cybersécurité européenne : perspectives et enjeux de la directive NIS 2
Découvrez les principaux objectifs, et enjeux, de la directive NIS 2 à travers le témoignage d’Elwynn Dauphin, consultant sécurité GRC chez Synetis.
Pourquoi avoir choisi de faire carrière en cybersécurité ? Comment as-tu découvert Synetis ?
Je ne connaissais pas le domaine de la cybersécurité avant mon entrée en école d’ingénieur généraliste, l’UTT. J’ai pu découvrir, tout au long de mon parcours d’étudiant ingénieur, divers domaines dont celui de la cybersécurité. C’est un sujet pour lequel j’ai immédiatement accroché car il s’agit d’un sujet d’actualité avec une perspective future prometteuse qui allie à la fois des enjeux informatiques, techniques, réglementaires et stratégiques.
En me spécialisant dans la filière sécurité informatique de mon école, j’ai dû réaliser un stage d’un semestre dans ce domaine. J’ai alors rencontré Synetis, lors du forum des entreprises de mon école. Le feeling est super bien passé, notamment lors des entretiens. Les missions proposées étaient très intéressantes avec la possibilité de faire de l’analyse de risques, des audits sur la norme ISO 27001 ou encore de la gestion de crise comme je le souhaitais.
J’ai ainsi intégré Synetis dans l’équipe Gouvernance, Risques et Conformité (GRC) en tant que stagiaire consultant, en février 2023. L’objectif de ce stage était, dans un premier temps, de rédiger un kit de gestion de crise, et d’accompagner les différents collaborateurs de l’équipe dans leurs missions. Ce stage fut très enrichissant, j’ai eu la chance de pouvoir travailler dans une ambiance de travail bienveillante, avec des missions challengeantes. Et, à la fin de cette expérience, j’ai eu l’opportunité de poursuivre mon aventure synetisienne en CDI. J’ai naturellement accepté cette proposition pour plusieurs raisons : d’une part pour les responsabilités qui m’ont été confiées, et d’autre part pour la confiance qui m’a été accordée.
Je suis désormais consultant sécurité GRC, depuis le 07 août 2023. Je travaille actuellement sur plusieurs types de missions, et sur des domaines toujours aussi variés et d’actualité, ce qui me demande d’être en constante évolution.
Quel est ton quotidien en tant que consultant Gouvernance, Risques et Conformité ? Comment accompagnes-tu tes clients dans l’amélioration de la sécurisation de leur SI ?
En tant que consultant GRC, j’interviens sur différents projets afin de répondre aux besoins spécifiques de mes clients, ou de les accompagner dans des projets d’accompagnement et d’amélioration de la sécurité informatique de leur Système d’Information.
Je réalise des missions dédiées à la rédaction de documents de sécurité, pour améliorer le socle documentaire en sécurité informatique de l’entreprise ; j’interviens également sur des missions de mise en conformité (ISO 27001, par exemple, ou prochainement NIS 2). Parallèlement, j’effectue des analyses de risques, et des diagnostics de maturité dont le but est d’évaluer la maturité d’une entreprise afin de faire l’état des lieux de la sécurité au sein de leur organisation, et de leur proposer un ensemble d’axes d’amélioration à travers la définition d’une feuille de route SSI. Enfin, j’accompagne les entreprises dans l’amélioration de leur organisation de gestion de crise.
NIS2 sera un des événements majeurs, en 2024, en matière de cybersécurité. Quels sont ses principaux objectifs et comment diffèrent-ils de ceux de la directive NIS précédente ?
NIS2 reprend, complète et améliore la précédente directive. Elle vise dans un premier temps à corriger les lacunes identifiées, à savoir :
- Le manque de cohérence entre les États membres et les secteurs ;
- Le faible niveau de connaissance commune des risques cyber ;
- L’absence de réaction commune en cas de crise.
De plus, pour faire face à des acteurs malveillants toujours plus performants, mieux outillés, et touchant de plus en plus d’entités – trop souvent mal protégées, la directive NIS 2 élargit ses objectifs, son périmètre d’application et devient plus ambitieuse en termes d’obligations imposées aux organismes concernés pour apporter davantage de protection.
Nous retrouvons alors, dans un premier temps, une nouvelle catégorisation des entités concernées, réparties en entité essentielle et importante, afin de proposer un niveau d’obligation adapté, et proportionné, à leur niveau de criticité.
La responsabilité personnelle des incidents se voit désormais être attribuée aux chefs d’entreprise, qui seront aussi dans l’obligation de se former sur le sujet.
La direction NIS 2 cherche également à améliorer la coopération entre les États membres.
En outre, nous retrouvons de nouvelles obligations, à savoir :
- La mise en place de mesures plus strictes de gestion des risques cyber, et de mesures techniques de protection ;
- La réalisation d’audits et de formations du personnel obligatoires ;
- La mise en place d’un processus de notification d’incident plus strict.
Enfin, NIS 2 confère aux autorités nationales un certain pouvoir. La surveillance et la supervision de la mise en œuvre de la directive seront assurées par l’ANSSI, qui pourra distribuer des amendes et des pénalités en cas de non-conformité.
Comment NIS2 aborde-t-elle les nouvelles menaces, et défis, liés à la cybersécurité qui ont émergé depuis l'adoption de la directive NIS ?
La multiplication et la complexification des attaques informatiques requièrent une amélioration globale du niveau de sécurité, ainsi qu’une prise de conscience et de responsabilité cyber de façon générale. C’est ce qu’offre la nouvelle directive en élargissant son périmètre, et en apportant de nouvelles exigences. Avec l’application de NIS 2, nous parlons alors de milliers d’entités, appartenant à plus de 18 secteurs, qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, dont des administrations de toute taille et des entreprises allant des PME aux groupes du CAC40.
Aujourd’hui, nous constatons une multiplication des attaques qui touchent les acteurs de la chaîne d’approvisionnement, et qui, à travers eux, visent des entreprises sur des secteurs plus critiques. Même si ces derniers ne sont pas directement concernés par la directive, NIS 2 prévoit – pour y faire face – de renforcer le niveau de sécurité général de tout acteur de la chaîne d’approvisionnement ayant un lien avec une entité soumise à la directive NIS 2.
Comment la directive NIS 2 encourage-t-elle la coopération et l'échange d'informations entre les États membres de l'Union européenne en matière de cybersécurité ?
La directive NIS 2 encourage les États membres à renforcer leur coopération en matière de gestion de crise cyber, en établissant, notamment, officiellement le réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens.
Ce réseau poursuit deux objectifs :
- Permettre des consultations sur les stratégies nationales de réponse ;
- Permettre une analyse d’impact coordonnée sur les conséquences d’une crise cyber d’ampleur ou de crise informatique transfrontalière.
Le réseau CyCLONe de l’UE contribue à la mise en œuvre du plan d’action de la Commission, pour une réaction rapide en cas d’incident ou de crise de cybersécurité transfrontière de grande ampleur.
Celui-ci complète les structures de cybersécurité existantes au niveau de l’UE, en établissant un lien entre la coopération au niveau technique et au niveau politique – par l’intermédiaire d’un mécanisme de réaction aux crises de l’UE qui soutient la prise de décision rapide, et coordonnée, au niveau politique pour les crises majeures et complexes.
Quels sont les défis potentiels que les entreprises pourraient rencontrer lors de la mise en œuvre de NIS 2, et quels seraient tes conseils pour surmonter ces défis ?
La mise en œuvre de NIS 2 sera obligatoire, et peut mener à des sanctions si une entreprise concernée n’est pas conforme aux exigences. Il est donc important de vérifier, dès maintenant, si votre entreprise est concernée par la directive, et de commencer sans attendre les chantiers technique et juridique inhérents à la mise en conformité de l’entreprise.
Même si la directive propose un mécanisme de proportionnalité en termes d’exigences, qui distingue en deux catégories les entités concernées, en fonction de leur niveau de criticité, la mise en œuvre peut devenir un projet conséquent, onéreux et exigeant en fonction de la maturité initiale de votre entreprise.
Il est donc important, pour toutes les organisations, de se rapprocher d’experts dans ce domaine tels que nous, consultants en Gouvernance, Risques et Conformité. Nous pouvons vous aider à évaluer votre maturité, et établir un état des lieux vis-à-vis de cette nouvelle directive – et bien d’autres prestations, afin de vous accompagner dans votre mise en conformité.
Enfin, les entreprises, qui ne sont pas directement concernées par NIS 2, peuvent tout de même se retrouver soumises à la directive si elles sont actrices de la chaîne d’approvisionnement d’une entreprise concernée par NIS2. Il est donc recommandé, pour toutes les entreprises européennes, de s’intéresser de près aux consignes de NIS 2 afin d’éviter de subir les engagements « clés en mains » fournis par leurs clients grands comptes – qui peuvent être trop engageants et dangereux pour leur activité.
Camille Jean-Baptiste
Chargée de Communication
