Les États de l’Union européenne ont jusqu’à octobre 2024 pour transposer la directive européenne NIS2 en droit national. Retour sur la consécration du Risk management.
Dans le prolongement de la directive européenne NIS de 2016, la vocation de NIS 2 est d’atteindre une plus grande cyber résilience au niveau européen. Si des secteurs comme la banque, l’assurance, l’énergie, la santé ou les transports étaient déjà concernés par cette directive, la gestion des déchets et des eaux usées, l’alimentation, les fournisseurs d’accès à internet et les datacenter, l’espace, l’administration publique et les services postaux sont désormais également visés.
C’est une démarche de régulation aussi importante que nécessaire compte tenu du niveau de protection et de maturité particulièrement hétérogène en matière de cybersécurité des entités européennes. Si au niveau français, le nombre d’entités visées par NIS2 devrait approcher les 15 000, on estime entre 120 000 et 150 000 le nombre d’entités européennes qui devraient rentrer dans le champ d’application de cette directive. En France, l’élargissement des secteurs relance une nouvelle disparité concernant la prise de conscience des directions générales d’entreprises du caractère fondamental de la cybersécurité et de la protection des données sensibles. Et, la nomenclature change. Désormais, les entités sont essentielles ou importantes en fonction de critères précis, à savoir, le nombre de salariés, le chiffre d’affaires et le secteur d’activités. Si les obligations sont les mêmes pour les deux catégories, le régime d’application de la directive sera plus strict pour les entités considérées comme essentielles.
L’article 21 exige la prise de « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que [les] entités [essentielles et importantes] utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services ». Or, cette prise de mesures ne peut passer que par un management des risques agile et efficace.
Or il existe des solutions technologiques qui proposent une plateforme selon deux approches en fonction du niveau de maturité des entités essentielles et importantes des Etats européens. Pour ceux disposant d’une stratégie cyber déjà établie, le besoin sera concentré sur les nouvelles entités concernées par NIS2. Pour la seconde, c’est une approche plus globale capable d’accompagner des Etats dont le besoin de mise en conformité avec NIS2 serait plus important.
Pour ces derniers, il leur est possible d’utiliser ce type de plateforme pour réguler leur marché. Ensuite, l’Etat en question pourrait mettre à la disposition de toutes ses entités, essentielles comme importantes, cette plateforme de façon mutualisée. Ainsi, le contrôle de la mise en conformité des entités concernées sera facilité par une approche uniforme de pilotage par les risques.
Au-delà de l’importance de la gestion des risques pour les entités essentielles ou importantes, les entreprises sont bel et bien obligées d’entrer en conformité sous peine de sanctions bien supérieures à celles prévues dans la directive NIS 1. Pour rappel, en cas de non-respect des dispositions, les entités essentielles s’exposent à une amende de 10 millions d’euros, ou 2% du chiffre d’affaires mondial total et les entités importantes à une amende 7 millions d’euros, ou 1,4% du chiffre d’affaires mondial total, le montant le plus élevé étant retenu. Les autorités compétentes nationales, l’ANSSI en France, sont chargées du respect des règles et disposent du pouvoir coercitif associé.
NIS 2 intègre toute la chaîne de valeur des secteurs concernés. Ainsi, tous les fournisseurs et entreprises travaillant avec une entreprise visée par cette directive doivent également se mettre en conformité avec la nouvelle réglementation.
La supply chain longtemps évoquée par les professionnels comme un des « maillons faibles », se voit désormais en première ligne. Le nombre d’entités concernées a été multiplié par dix. Parmi elles figurent désormais de nombreuses PME et ETI qui n’érigeaient pas jusqu’à maintenant nécessairement le risque cyber comme une priorité. Elles vont devoir changer et investir dans l’analyse de risque pour rester en conformité.
La gestion du risque peut véritablement devenir un outil décisionnel apportant une valeur ajoutée sans précédent aux COMEX. Les solutions d’analyse et de gestions des risques d’engager une direction en transformant un risque cyber en un risque financier quantifié. Le risque cyber devient alors un actif pour la société avec une posture de risque pouvant être réduite grâce à un plan d’action détaillé. La quantification du risque engage les dirigeants d’entreprises et implique toutes les parties prenantes : ses actionnaires mais aussi le régulateur européen, les partenaires ou encore les assureurs. L’entreprise leur prouve ainsi qu’elle maîtrise son risque. Or, il n’est pas nécessaire d’attendre la transposition de NIS2, les plateformes et solutions existent d’ores et déjà et leur plus-value financière est un atout majeur. Connaître son risque cyber et mettre en place les mesures qui en découlent permettra à une entreprise d’épargner 300 % des coûts engendrés, selon une étude d’IBM et de l’Institut Ponemon de 2022. Si les COMEX pouvaient avoir quelques réticences à mesurer le retour sur investissement de la mise en place de mesures opérationnelles réduisant le risque cyber, ce pourcentage doit pouvoir leur faire prendre conscience des économies réalisables grâce à ces mesures.
Alors pourquoi attendre une transposition en droit national alors que les bénéfices du risque pourraient être visibles d’ici quelques mois ?
Source : Le Journal du Net
