L’amendement 104 du projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » a été retenu par le Sénat le 12 mars dernier. S’il n’est pas définitif, il représente un nouveau pas en avant vers la transposition de la NIS 2 (Network Information Security), directive européenne ayant pour objectif d’améliorer la résilience des organisations face aux risques cyber. Si elle devrait uniformiser le niveau de sécurité en Europe, il convient cependant de s’interroger sur la superposition des différentes conformités. En d’autres termes, la directive NIS 2 va-t-elle réellement permettre de standardiser la sécurité à l’échelle européenne, ou ne sera-t-elle qu’un énième référentiel à suivre, s’ajoutant à la longue liste imposée aux organisations ?
Une contribution de Baptiste David, Responsable de la stratégie marché chez Tenacy
Une directive européenne : vraiment ?
La directive NIS 2, en définissant de nouvelles exigences de sécurité, se présente comme un levier de standardisation des mesures de cybersécurité en Europe. Elle devrait concerner environ 100 000 organisations évoluant dans 18 secteurs considérés critiques comme la santé, les administrations publiques, les marchés financiers et les banques, le numérique, l’énergie ou les transports.
Si le texte donne un cadre à suivre, il appartient ensuite à chaque pays de le transposer à sa manière : c’est le principe d’une directive, par opposition aux réglementations qui, comme DORA, sont appliquées uniformément dans chaque pays de l’Union Européenne (UE). En s’abstenant de créer véritablement une nouvelle norme, NIS 2 risque de n’être au final qu’un énième référentiel de sécurité, spécifique à chaque pays.
Pas de standardisation sans confiance entre les États membres
NIS 2 aurait le potentiel de s’imposer comme un cadre de confiance commun autour des enjeux de cybersécurité. Mais pour cela, une confiance mutuelle doit être créée entre les États membres de l’UE afin d’établir une réelle connaissance (et reconnaissance) des besoins de chacun.
Le mille-feuille de textes actuel a plutôt tendance à nuire à la confiance entre les acteurs qu’à la renforcer : sans confiance, chacun écrit ses propres règles, ce qui complique la mise en conformité pour les organisations, et ne facilite pas les opportunités d’affaires entre les États. Imaginez une entreprise conforme à NIS 2 en France : le sera-t-elle également en Espagne ou en Allemagne si la transposition, et donc les exigences, ne sont pas les mêmes ? Pourra-t-elle faire affaire avec des entreprises allemandes ou espagnoles, ou devra-t-elle se conformer aux critères spécifiques de ses voisins ? Ces questions soulignent l’importance d’aller au bout de la standardisation des réglementations européennes.
NIS 2 : des enjeux de multi-conformité incontournables
Les entreprises doivent aujourd’hui se conformer à plusieurs référentiels simultanément. Certaines certifications sont utiles et nécessaires pour faire des affaires, tandis que d’autres sont rendues obligatoires par la loi. L’empilement et le chevauchement des nombreux textes (aussi bien nationaux qu’internationaux) a fait naître le concept de multi-conformité.
L’analyse et le croisement des différents référentiels de conformité nous indique que de nombreuses exigences sont communes à plusieurs textes – d’où la nécessité d’une réelle standardisation, en particulier à l’échelle européenne. Par exemple, on estime qu’une conformité à CyFun, le référentiel belge de transposition de la directive NIS 2, remplit 85 % des exigences de l’ISO 27002 (2022) (Source : Données analysées et fournies par la plateforme Tenacy). Autre exemple : la conformité SecNumCloud correspond à 73 % à celle de la Politique de sécurité du système d’information de l’État (en France).
Ainsi, les entreprises ayant déjà obtenu certaines certifications auront anticipé une bonne partie des mesures à mettre en place pour se conformer à NIS 2. Pour les autres, une confusion peut naître entre les différents textes auxquels se conformer, avec comme conséquence une perte de temps et d’argent. La mise en conformité représente donc une véritable opportunité de croissance pour les entreprises – à condition de savoir l’anticiper et de s’y adapter rapidement.
Faire de NIS 2 une opportunité d’évolution et de collaboration
Le sujet de la directive NIS 2 ne peut être laissé aux seuls responsables et directeurs de la cybersécurité. Les départements juridiques et administratifs doivent être également impliqués, aux côtés de la direction générale. Par ailleurs, les organisations peuvent s’appuyer sur des solutions de gestion de la conformité dédiées pour faciliter la collaboration entre les métiers et croiser les exigences imposées par les différentes réglementations.
Pour que NIS 2 permette un réel pas en avant, instaurant reconnaissance et confiance entre les États membres de l’UE, ces derniers devront joindre leurs forces pour uniformiser les référentiels – et ce, afin de gagner en efficacité, en sécurité, et donc en compétitivité.
À lire également : Cybersécurité : l’IA générative sonnera-t-elle le glas des mots de passe ?
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
