Au 17 octobre dernier, trois réglementations européennes devaient être transposées par les États membres : les directive NIS 2 (Network and Information Security), CER (Critical Entities Resilience) et DORA (Digital Operational Resilience). Quelques jours plus tôt, c’est le Critical Resilience Act (CRA) qui était adopté par le Conseil Européen. Au programme de cette fin 2024 figure aussi l’entrée en application du règlement MiCA (Markets in Crypto-Asstets) le 31 décembre. Comment s’y retrouver dans la multitude de nouvelles dispositions, obligations, contraintes apportées par ces textes ? Comment entreprendre une mise en conformité en l’absence de lois de transpositions ? Decryptages et conseils pratiques pour bien aborder les défis de 2025.
Agir sans attendre
Si la mise en conformité avec les nouvelles réglementations européennes préoccupe les entreprises, c’est autant en raison de la multitude de nouvelles contraintes et obligations qu’elles apportent que des retards de transposition et de mise en œuvre qui les plongent dans le flou et l’incertitude. Une incertitude inconfortable et déstabilisante pour les entreprises assujetties, qui profite aux attaquants et cybercriminels qui n’attendront pas qu’elles soient prêtes à parer leurs coups. Elles doivent donc agir sans attendre, d’autant que la mise en conformité est un processus long, complexe et couteux. Pour NIS 2 par exemple : « Pour les organisations déjà concernées par NIS 1, la seconde édition s’inscrit dans la continuité, mais pour les autres, il s’agit véritablement d’une marche à gravir. » souligne Garance Mathias. Elles devront notamment prendre en compte de potentiels chevauchement avec certaines réglementations sectorielles, et celles qui ne sont pas encore assujetties pourraient le devenir rapidement par « effet de contagion » en étant clientes, prestataires, fournisseurs ou sous-traitants d’entreprises qui le sont déjà. Nul besoin toutefois d’attendre une loi de transposition pour entreprendre une mise en conformité. « On peut déjà commencer à se préparer sur la base de l’existant. Pour NIS 2 par exemple, l’Acte d’exécution a bien été publié le 17 octobre. Et dans chaque entreprise, il existe déjà des bonnes pratiques de cybersécurité à mettre en œuvre – si elles ne le sont pas déjà –, un cadre qui permettent d'ores et déjà d'envisager une conformité. » rappelle Garance Mathias, avocate associée, fondatrice de Mathias Avocats. Car avant de s’inquiéter de la mise en conformité avec les nouvelles directives, encore faut-il que les fondamentaux de la cybersécurité soient maîtrisés… Pour que la marche soit moins haute à gravir, certaines organisations peuvent commencer par appliquer les règles d’hygiène informatique de base qui font trop souvent défaut. 42 mesures accessibles sont listées dans le guide dédié de l’ANSSI. L’agence a aussi lancé le service « MonEspaceNIS2 » pour accompagner les entreprises régulées dans leur mise en conformité à la directive. Il permet déjà de déterminer si une entité est assujettie et à quelle catégorie elle appartient le cas échéant, et très prochainement de pouvoir s’enregistrer en ligne pour leur communiquer les informations demandées par la directive. Mais dès aujourd’hui, « les entreprises peuvent déjà commencer à décliner ces obligations sous formes d’objectifs qui sont liés aux métiers, et qui donneront lieu à des plans de conformité qui diffèreront en fonction des secteurs d’activité mais aussi des niveaux de maturité, de la structure et de la taille de l’entreprise, etc. » conseille Garance Mathias. Autres étapes indispensables de la mise en conformité : la cartographie des partenaires, prestataires, fournisseurs et sous-traitants et la mise à disposition de budgets dédiés, avec des montants à prévoir parfois considérables dès lors qu’il s’agira de mettre en place des CERT ou des SOC…
Une nouvelle approche de la cybersécurité
« Il s’agit aussi de changements de culture, de gouvernance, d’état d’esprit. Ce sont des usages à mettre en place, des process à repenser… toute l’entreprise, toute la gouvernance doit être impliquée. » expose Garance Mathias. « Avec un niveau de responsabilité accru pour les dirigeants par exemple, NIS 2 va incontestablement créer un avant et un après. La cybersécurité sort enfin de son escarcelle technique pour devenir un sujet de gouvernance de l’entreprise. » complète Mathieu Isaia, Directeur général de The Green Bow. Derrière ces nouvelles obligations en effet, ces textes appellent clairement à l’adoption d’une nouvelle approche par les risques. DORA enjoint ainsi à une gouvernance renforcée et l’établissement d’un cadre de gestion des risques liés aux TIC « solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive », avec une direction générale responsable de la résilience opérationnelle qui « définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion des risques informatiques » et « assume la responsabilité finale de la gestion des risques informatiques de l’entité financière ». Une disposition qui fait écho à NIS2, qui prévoit que les organes de direction pourront être tenues responsables pénalement en cas de non-respect des obligations de cybersécurité. Une approche ambitieuse et proactive qui obligera les entreprises à plus anticiper pour limiter l’impact d’une attaque ou d’un incident en analysant et cartographiant les risques en amont. La cybersécurité devient alors autant un enjeu de conformité que de gestion des risques. « Le niveau de risques dépend notamment des mesures mises en place pour le réduire. Faire une analyse de risques implique donc en premier lieu de procéder à un état des lieux de ces mesures, et d’évaluer si elles sont appliquées ou non. Or, faire cet état des lieux, c’est justement faire de la conformité, c’est-à-dire vérifier la bonne application ou le décalage de ces mesures avec les réglementations, obligations contractuelles, bonnes pratiques... La conformité peut donc être considérée comme un pilier de l’analyse de risque. » expose Pierre Oger, co-fondateur d’EGERIE et d’ajouter : « C’est en ce sens que nous avons développé un outil technologique à la convergence de ces deux enjeux pour permettre une vision et un pilotage globaux de la cybersécurité. Il repose sur une plateforme collaborative, centralisée, dynamique, qui permet de faire face à l’évolution de la situation en continue à la fois en termes de conformité, d'appréciation du risque, d'évolution de la menace et, toujours, d'optimisation des budgets. »
Faire de la réglementation un atout
Les secteurs réglementés, habitués des enjeux de mise en conformité, le savent bien : la réglementation est aussi un levier qui peut être activé pour renforcer la posture de cybersécurité d’une organisation. Les obligations, normes et standards permettent aux RSSI et directeurs cybersécurité de communiquer sur la nécessité et l’obligation de déployer des ressources, humaines, financières, technologiques, pour protéger leurs organisations contre des menaces croissantes. « Dans les établissements financiers, rompus à l'exercice de la conformité, on sait qu’il faut dépasser l’approche de la conformité qui consiste à la considérer comme une simple « case à cocher », pour analyser sa plus-value en termes de sécurité, et notamment pour pousser des sujets auprès du top-management. » expose un RSSI. Autre acteur majeur concerné : les collectivités. Si certaines sont encore très en retard en matière de cybersécurité, la possibilité offerte aux Etats par NIS 2 de les réguler est une réelle opportunité pour faire progresser la prise de conscience parmi les élus. « Dans de nombreuses collectivités, la cybersécurité est encore loin d’être une priorité. Le fait que le projet de loi de transposition de NIS 2 inclut dans le champs du dispositif les collectivités de plus de 30 000 habitants est un pas dans la bonne direction. » témoigne un RSSI et de poursuivre : « Nous nous efforçons depuis des années de faire avancer les enjeux de cybersécurité au sein des collectivités où nous avons parfois du mal à être compris et entendu. Ces nouvelles obligations viennent justifier des investissements budgétaires que nous demandons et des actions que nous souhaitons mettre en place. » Car derrière ces textes, c’est bien du « bouclier numérique » cher à Thierry Breton et de la résilience de l’Europe face à une menace grandissante qu’il est question. « Cette « inflation » réglementaire symbolise le réveil de l’Europe pour protéger ses citoyens et leurs données personnelles tout comme les entreprises face à la menace cyber. Particulièrement ambitieux, ces textes vont permettre d’ancrer le bon niveau de cybersécurité dans leurs organisations et toute leur chaîne de valeur. Protection globale et résilience sont plus que jamais à l’ordre du jour. » conclut Mathieu Isaia.