Cybersécurité : un passage à l'action est nécessaire au niveau du conseil d'administration
Adoptée par le parlement Européen, la directive NIS 2 annonce des grands chantiers pour les entreprises en termes de cybersécurité. Les conseils d'administration sont-ils prêts à passer à l'action ?
Adoptée en novembre dernier par le Parlement européen et en décembre par le Conseil de l’Europe dans le but de consolider la posture cyber des organisations, la directive NIS 2 vient remplacer NIS (votée en 2016) et annonce de grands chantiers pour les entreprises de tous les états membres, qui ont maintenant jusqu’à 2024 pour la transposer dans leur législation et les mettre en application sur leur territoire.
Face à l’évolution de la menace, NIS 2 vise à renforcer la résilience des organisations, en particulier l’hygiène informatique de base, la formation à la cybersécurité, les politiques de contrôle d’accès et la gestion des actifs, les procédures de réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, et l’évaluation des mesures de gestion des risques de cybersécurité.
Jusqu’à présent, seuls les acteurs de l’énergie, des transports, les banques et institutions financières, la santé, les réseaux d’eau et certaines infrastructures numériques étaient concernés. Le périmètre est désormais élargi à près de 600 types d’entités différentes, dont les administrations publiques et des entreprises allant des PME aux groupes du CAC 40.
Mais pour Yves Verhoeven, Sous-Directeur Stratégie de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, « l’objectif reste inchangé : élever le niveau global de sécurité numérique en France en permettant aux entités concernées de mieux se protéger face à la menace. »
La bonne nouvelle est que plus des deux tiers des membres des conseils d’administration français considèrent déjà la cybersécurité comme une priorité absolue. Un rapport Proofpoint de 2022 révélait même que les trois quarts (76 %) des membres de conseils d’administration en France recevaient des informations régulières de leurs RSSI, tandis que près de la moitié (46 %) discutaient des questions de cybersécurité au moins une fois par mois.
Approfondir le débat sur la cybersécurité
RSSI et membres du conseil s’accordent en effet sur l’imminence du risque. Près de 80 % d’entre eux s’attendent à subir une cyberattaque importante dans les douze prochains mois. Ils sont également sur la même longueur d’onde en ce qui concerne les menaces auxquelles ils sont confrontés. Pour la majorité d’entre eux, la fraude par le canal de messagerie est la principale menace, qu’elle mène à un rançongiciel, un vol d’information et de Propriété Intellectuelle ou à une fraude financière directe (compromission d’email professionnel ou BEC, pour Business Email Compromise).
Cependant, cette convergence théorique ne se traduit pas toujours par une action concertée dans la pratique. Il existe toujours un fossé entre le RSSI et son conseil d’administration qui affaiblit la posture de sécurité globale de l’entreprise dans plusieurs domaines clés.
Compte tenu de la menace qui pèse sur les entreprises, est-il suffisant de débattre de la posture de sécurité cyber de l’entreprise une seule fois par mois ? Les recherches Proofpoint montrent que seulement 18 % des entreprises françaises interrogées placent la cybersécurité à l’ordre du jour de chaque réunion du conseil d’administration.
Par ailleurs, le sondage mené par Proofpoint montre qu’un quart des conseils d’administration interrogés en France ne possède pas d’expertise cyber parmi leurs membres.
Si la France est le pays où conseils d’administration et RSSI sont les mieux alignés (toujours d’après les recherches Proofpoint), il reste tout de même un certain chemin à parcourir pour atteindre un niveau de discussion structuré, efficace et approfondi.
S’attaquer à l’erreur de sensibilisation
Une autre conclusion inquiétante du rapport est le décalage évident entre la sensibilisation à la cybersécurité et la préparation à une cyberattaque. Plus des deux tiers des membres du conseil d’administration (72 %) comprennent le risque systémique de leur organisation, mais dans les faits, 40 % d’entre eux considèrent que leur organisation n’est pas préparée à faire face à une cyberattaque au cours des 12 prochains mois.
Le problème est similaire en ce qui concerne le risque humain. Plus des trois quarts (76 %) pensent que leurs employés comprennent leur rôle dans la protection contre les menaces, mais un peu plus (78 %) affirment que l’erreur humaine est leur plus grande vulnérabilité cybernétique.
Cela laisse supposer qu’il existe un fossé entre la compréhension des menaces modernes et la capacité à les tenir à distance. Si tel est le cas, il s’agit d’un problème qui doit être traité de toute urgence, particulièrement avec l’adoption de la directive européenne NIS 2, les nouvelles obligations qui pèseront sur les entreprises en termes de gestions des risques cyber, et les pénalités possiblement encourues en cas de non-respect des lois qui seront en vigueur en 2024.
Les RSSI doivent travailler encore plus dur pour faire comprendre au conseil d’administration que la sensibilisation et la préparation sont loin d’être la même chose. Il importe peu que les utilisateurs puissent décrire une menace courante, mais qu’ils ne sachent pas dans quelle mesure ils sont susceptibles d’y être confrontés et comment réagir le cas échéant est plus problématique.
En effet, comme le rappelle Yves Verhoeven (ANSSI), « l’un des éléments majeurs de la directive NIS 2 est le renforcement de son régime de sanction, qui s’appliquera à toutes les entités assujetties. Le mécanisme prévu, largement comparable à celui du RGPD, pourra selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée. »
RSSI et conseils d’administration doivent maintenant travailler en étroite collaboration pour faire avancer le sujet et transformer la bonne volonté en action, en créant une culture de la cybersécurité adaptée aux exigences du paysage actuel des menaces sophistiquées.