{"id":571573,"date":"2024-10-07T08:00:05","date_gmt":"2024-10-07T07:00:05","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=571573"},"modified":"2024-12-16T14:50:58","modified_gmt":"2024-12-16T13:50:58","slug":"complexite-reglementaire-cybersecurite-defis-solutions-pour-entreprises-europeennes","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/complexite-reglementaire-cybersecurite-defis-solutions-pour-entreprises-europeennes\/","title":{"rendered":"Complexit\u00e9 r\u00e9glementaire en cybers\u00e9curit\u00e9 : d\u00e9fis et solutions pour les entreprises europ\u00e9ennes"},"content":{"rendered":"

Alors que les cyber-menaces sont omnipr\u00e9sentes et toujours plus agressives, les organisations n\u2019ont plus d\u2019autre choix que de prendre des mesures pour prot\u00e9ger leurs infrastructures et leurs ressources, pour anticiper et stopper autant que possible les cyberattaques. Si elles le font dans leur int\u00e9r\u00eat et celui des tiers avec lesquels elles interagissent, que ce soit des clients, des fournisseurs ou des prestataires, elles le font \u00e9galement en raison de r\u00e9glementations plus strictes et plus nombreuses, lesquelles peuvent cr\u00e9er de l\u2019inertie quant \u00e0 la prise concr\u00e8te de mesures.\u00a0 En effet, cette mont\u00e9e en puissance des exigences r\u00e9glementaires, bien qu\u2019elle vise \u00e0 renforcer la s\u00e9curit\u00e9 des organisations, pourrait paradoxalement nuire \u00e0 leur comp\u00e9titivit\u00e9 et, dans certains cas, impacter n\u00e9gativement l'exp\u00e9rience du client final.<\/strong><\/p>\n

Selon le barom\u00e8tre 2024 du CESIN<\/a>, 7 entreprises sur 10 se disent aujourd\u2019hui impact\u00e9es par au moins une r\u00e8glementation, parmi lesquelles NIS<\/a>, DORA, le Cyber Resilience Act ou encore le Cyberscore. Au fil de la croissance du nombre de cyberattaques et de leur sophistication, l'Union europ\u00e9enne a en effet \u00e9largi le cadre r\u00e8glementaire afin d\u2019accompagner les organisations dans l\u2019adoption de mesures de s\u00e9curit\u00e9 appropri\u00e9es et de renforcer la protection des infrastructures critiques et des donn\u00e9es sensibles. Cependant, les entreprises concern\u00e9es peuvent se sentir d\u00e9munies face \u00e0 une accumulation de r\u00e8glementations, compl\u00e9t\u00e9e par un manque d\u2019information mais aussi par une r\u00e9alit\u00e9 dans laquelle l\u2019innovation technologique reste tr\u00e8s en avance sur la mise en place de ces r\u00e8glementations, comme ce f\u00fbt le cas de l\u2019IoT ou plus r\u00e9cemment de l\u2019IA pour ne citer que quelques exemples.<\/p>\n

 <\/p>\n

Une superposition accrue de r\u00e9glementations et de leurs champs d\u2019application<\/h2>\n

La directive NIS1, entr\u00e9e en vigueur en 2016, avait pos\u00e9 les bases de la cybers\u00e9curit\u00e9 en Europe, en mettant l'accent sur des mesures technologiques et r\u00e9glementaires en vue de renforcer la r\u00e9silience des infrastructures critiques. Elle a encourag\u00e9 une gestion standardis\u00e9e de la cybers\u00e9curit\u00e9 en introduisant la gestion des risques et en incitant les entreprises \u00e0 am\u00e9liorer continuellement leurs protocoles de s\u00e9curit\u00e9. La directive NIS2<\/a>, qui entrera en vigueur au niveau des \u00e9tats membres de l\u2019Union europ\u00e9enne en octobre 2024, repr\u00e9sente quant \u00e0 elle une expansion notable par rapport \u00e0 NIS1. Elle couvrira notamment un plus large \u00e9ventail de secteurs et de tailles d\u2019organisations, 600 types<\/a> en France r\u00e9parties dans dix-huit secteurs, afin de \u00a0renforcer l'\u00e9cosyst\u00e8me de s\u00e9curit\u00e9 en s\u00e9curisant chaque maillon de la cha\u00eene d'approvisionnement. NIS2 introduit \u00e9galement la responsabilit\u00e9 des dirigeants, avec de possibles sanctions en cas de manquements, afin qu\u2019ils s\u2019engagent plus s\u00e9rieusement et proactivement dans la gestion des cyber-risques.<\/p>\n

Cependant, la capacit\u00e9 de l\u2019organisme national charg\u00e9 d\u2019effectuer des contr\u00f4les (l\u2019ANSSI en France) est une question cruciale soulev\u00e9e par l'extension de NIS2. Sans augmentation significative des effectifs en consultants, les contr\u00f4les pourraient se limiter \u00e0 des v\u00e9rifications al\u00e9atoires, r\u00e9duisant potentiellement l'efficacit\u00e9 de la directive. \u00c0 ces questions de contr\u00f4le, s\u2019ajoute celle du champ d\u2019application des diff\u00e9rentes l\u00e9gislations. En effet, bien que des r\u00e8glementations comme NIS2 et DORA pr\u00e9sentent des similitudes telles que l'analyse des risques, les obligations de d\u00e9claration et le contr\u00f4le de la cha\u00eene d\u2019approvisionnement, leurs applications diff\u00e8rent. Si NIS2 s'applique \u00e0 divers secteurs<\/a>, DORA cible sp\u00e9cifiquement le secteur financier. Cette distinction interroge sur le caract\u00e8re sp\u00e9cifique et compl\u00e9mentaire de DORA par rapport \u00e0 NIS2, soulignant la n\u00e9cessit\u00e9 d\u2019adapter les mesures de cybers\u00e9curit\u00e9 aux sp\u00e9cificit\u00e9s de chaque secteur.<\/strong><\/p>\n

 <\/p>\n

Impacts d\u2019une complexit\u00e9 l\u00e9gislative sur les co\u00fbts et comp\u00e9titivit\u00e9 des organisations<\/h2>\n

L'accumulation des lois et r\u00e9glementations en cybers\u00e9curit\u00e9 pose \u00e9galement un d\u00e9fi financier aux entreprises.<\/strong> Chaque nouvelle directive, visant \u00e0 renforcer la s\u00e9curit\u00e9, engendre en effet des co\u00fbts suppl\u00e9mentaires. Tout d\u2019abord, elles doivent investir dans un audit qui va leur permettre d\u2019\u00e9valuer leurs syst\u00e8mes et leur posture de s\u00e9curit\u00e9 par rapport \u00e0 ce que les r\u00e8glementations exigent. Ensuite, il y a les co\u00fbts li\u00e9s au d\u00e9ploiement de technologies avanc\u00e9es qui vont adresser des probl\u00e9matiques de cybers\u00e9curit\u00e9 sp\u00e9cifiques et donc r\u00e9pondre \u00e0 des exigences bien pr\u00e9cises\u00a0; des adoptions qui n\u00e9cessitent ensuite une formation des collaborateurs afin qu\u2019ils puissent exploiter ces outils de mani\u00e8re efficace et appropri\u00e9e. Ces investissements, n\u00e9cessaires pour se conformer \u00e0 des standards \u00e9lev\u00e9s, peuvent conduire les entreprises \u00e0 augmenter les prix de leurs biens et de leurs services. En outre, ces co\u00fbts impactent la comp\u00e9titivit\u00e9 internationale. Les entreprises europ\u00e9ennes peuvent en effet devenir moins comp\u00e9titives par rapport \u00e0 celles d'autres r\u00e9gions o\u00f9 les r\u00e9glementations sont moins strictes.<\/p>\n

Une autre probl\u00e9matique pos\u00e9e par les nouvelles r\u00e9glementations est le manque de main-d'\u0153uvre sp\u00e9cialis\u00e9e en cybers\u00e9curit\u00e9.<\/strong> Les entreprises doivent recruter davantage d'experts pour se conformer, ce qui accro\u00eet la demande pour ces comp\u00e9tences sp\u00e9cifiques sur le march\u00e9 du travail. La p\u00e9nurie de professionnels qualifi\u00e9s en cybers\u00e9curit\u00e9 est d\u00e9j\u00e0 une r\u00e9alit\u00e9 et cette demande croissante exacerbe la situation. Cela cr\u00e9e une pression sur le secteur, rendant encore plus difficile la mise en conformit\u00e9 aux nouvelles r\u00e9glementations pour les entreprises qui peinent \u00e0 trouver les ressources humaines n\u00e9cessaires. Enfin, les co\u00fbts potentiels li\u00e9s aux sanctions pour non-conformit\u00e9, tels que les amendes, les dommages \u00e0 la r\u00e9putation pouvant conduire \u00e0 un impact sur l\u2019image et \u00e0 des pertes de clients en cas de compromission de donn\u00e9es sont \u00e9galement \u00e0 prendre en compte.<\/p>\n

 <\/p>\n

Cybers\u00e9curit\u00e9, r\u00e9glementations et retour \u00e0 la raison<\/h2>\n

Pour un expert, il serait difficile de ne pas observer la multiplication des r\u00e9glementations actuelles ainsi que des normes sectorielles suppl\u00e9mentaires (Doar, B\u00e2le III, HDS, etc.). Leur similitude est frappante, car les r\u00e8gles et pratiques se recoupent largement. Cela est compr\u00e9hensible, car un syst\u00e8me d'information est fondamentalement similaire dans le secteur bancaire comme dans l'industrie. Les diff\u00e9rences sont marginales et n\u00e9cessitent des ajustements techniques sp\u00e9cifiques. Par exemple, la protection d\u2019un ModBus ne sera pas la m\u00eame que celle d\u2019une base SQL. Cependant, il est essentiel que les t\u00e9l\u00e9mainteneurs soient fortement authentifi\u00e9s et que les comptes soient r\u00e9guli\u00e8rement v\u00e9rifi\u00e9s.<\/p>\n

Une telle prolif\u00e9ration pourrait donner l'impression que chaque entit\u00e9 cherche \u00e0 \u00e9tablir ses propres r\u00e8gles.<\/strong> Cette tendance \u00e0 la surench\u00e8re r\u00e9glementaire pourrait entra\u00eener une inflation des co\u00fbts (les charges incombant in fine<\/em> aux individus) sans pour autant am\u00e9liorer significativement la s\u00e9curit\u00e9. C\u2019est la raison pour laquelle il est donc crucial de revenir \u00e0 une approche plus rationnelle, tant pour notre \u00e9conomie que pour notre s\u00e9curit\u00e9.<\/p>\n

 <\/p>\n

Des solutions simples face aux multiples r\u00e9glementations<\/h2>\n

Quelle que soit la norme ou la r\u00e9glementation en vigueur, il est essentiel de garder \u00e0 l'esprit que le syst\u00e8me d'information constitue un pilier fondamental de l'activit\u00e9 de l'entreprise et m\u00e9rite donc une protection adapt\u00e9e. Plut\u00f4t que de multiplier les d\u00e9tails des mesures n\u00e9cessaires, il est pr\u00e9f\u00e9rable de se concentrer sur ces points essentiels :<\/p>\n