Respecter la directive NIS2 est un processus sans fin

La nouvelle directive NIS2, qui impose une foule d’exigences en matière de cybersécurité, va entrer en vigueur en Belgique le 18 octobre. NIS2 s’applique à un plus grand nombre d’entreprises que la première directive NIS et est encore plus stricte. La plupart des entreprises pensent être prêtes pour NIS2, mais je constate que les défis ne manquent pas pour les responsables IT.

La conformité est plus que jamais une priorité pour les entreprises. C’est ce qui ressort d’une étude récemment publiée par Beltug. Lorsqu’on interroge les dirigeants IT sur leurs principaux défis, la conformité et la législation reviennent pas moins de trois fois dans le top dix. Bien entendu, personne n’est pris au dépourvu par l’application de la directive NIS2. Les organisations savent depuis longtemps qu’elles doivent respecter la date limite. La plupart ont d’ailleurs posé pris les mesures qui s’imposent.

Dans un premier temps, l’attention s’est portée sur des résultats rapides et sur les principales dispositions réglementaires. Les entreprises doivent désormais améliorer leur approche et la rendre conforme à toutes les exigences de la directive NIS2, notamment l’élaboration d’un plan de reprise d’activité garantissant la continuité des opérations, la mise en place d’un cadre d’évaluation des risques, le déploiement d’un système de gestion des incidents et des réponses, l’intégration de sauvegardes de données, etc.

Pas d’approche uniforme de la cybersécurité

J’ai remarqué que certains problèmes reviennent régulièrement au cours de mes discussions avec des responsables IT. Avant d’élaborer une stratégie de sécurité adéquate, il faut connaître les besoins de l’entreprise. Les organisations ont beaucoup de mal à réaliser cet exercice – qu’on appelle Business Impact Analysis (BIA). Il leur manque des KPI et des objectifs mesurables, raison pour laquelle elles ne parviennent pas à établir une feuille de route pour la mise en conformité. En outre, la directive NIS2 impose de tout tester en profondeur.

Les organisations doivent réunir les différentes parties prenantes : de l’opérationnel à la sécurité, en passant par l’infrastructure. Ensemble, elles peuvent élaborer un plan d’action axé sur la sécurité, la résilience et la continuité d’activité. Se conformer à la directive NIS2 nécessite une approche holistique de la cybersécurité mais, dans la pratique, les organisations travaillent encore en vase clos. Dans les grandes entreprises en particulier, c’est un véritable défi. Sans l’apport de différentes équipes, il est impossible de trouver une solution pérenne.

Manque de soutien de la part de la direction

Bien entendu, le fait que la direction ne pilote pas suffisamment la stratégie de cybersécurité n’arrange rien. Surtout lorsque le budget est dans la balance. Cependant, la directive NIS2 vise à impliquer la direction dans la sécurité. En effet, en cas d’attaque, les entreprises qui ne se conforment pas aux exigences NIS2 seront tenues responsables. Dans la plupart des cas, le CISO assumera la responsabilité de la conformité mais, en principe, la nouvelle directive peut déboucher sur des amendes élevées et même des peines de prison.

Il est donc essentiel d’éduquer et d’informer les directions des entreprises sur les risques encourus, afin qu’elles fournissent les budgets et le soutien nécessaires à une stratégie de sécurité unifiée.

De nombreuses entreprises manquent toutefois de personnel disposant des compétences adéquates. Même avant l’introduction de la directive NIS2, la pénurie de main-d’œuvre constituait un problème majeur pour le secteur IT. C’est pourquoi les organisations font souvent appel à des tiers pour les aider à implémenter les meilleures pratiques.

Sécuriser la chaîne d’approvisionnement

Enfin, la directive NIS2 accorde une grande importance à la chaîne d’approvisionnement, qui est de plus en plus ciblée par les cybercriminels. Les entreprises vont donc devoir rédiger de nouveaux contrats qui mettent fortement l’accent sur la sécurité. Elles devront mieux contrôler et évaluer leurs fournisseurs du point de vue des cyber risques, par exemple au moyen d’obligations contractuelles telles que des tests de pénétration réguliers, afin d’identifier et de corriger les faiblesses de la chaîne d’approvisionnement.

La conclusion ? La mise en œuvre de la directive NIS2 est lourde de conséquences pour les entreprises, mais il ne faut pas oublier que la conformité est un processus sans fin. Chaque organisation doit déterminer quels aspects de NIS2 sont les plus importants dans sa situation. Souvent, il s’agira de la récupération – c’est-à-dire la capacité à reprendre rapidement les activités après une attaque. En effet, quelle que soit la robustesse de nos mesures de cybersécurité, personne n’est à l’abri d’une cyberattaque. Et reprendre après une semaine ou après un mois peut faire une grande différence. Espérons que NIS2 nous réveillera et fera en sorte que nous prenions enfin la cybersécurité au sérieux.