La conformité à la directive NIS2 ne garantit pas une totale sécurité

Voici trois règles à suivre pour sécuriser son entreprise en complément du dispositif instauré par la directive NIS2.

Ce mois de novembre 2024 constitue une étape importante dans la réglementation en matière de cybersécurité avec l’entrée en vigueur du nouveau cadre réglementaire NIS2. Toutes les entreprises concernées par cette directive devront ainsi s’assurer de leur conformité et adhérer à ses règles. Cette exigence ne devrait, en principe, pas poser de problème, car NIS2 constitue avant tout un modèle standard d’hygiène de données que chaque entreprise devrait adopter. Toutefois, être conforme avec la directive NIS2 n’est pas une garantie absolue de sécurité.

Le terme de conformité signifie, littéralement, « adhérer aux règles ». Le fait d’être conforme aux règles en vigueur devrait effectivement avoir un impact positif sur la sécurité de l’entreprise. Mais il faut aller encore plus loin pour rendre sa stratégie de cybersécurité vraiment fiable.

Ne pas être conforme à NIS2 revient à laisser sa porte grande ouverte

Se concentrer uniquement sur la conformité contribue à créer une « dette technique ». Cela équivaut à construire une maison en utilisant des matériaux de mauvaise qualité, simplement pour gagner du temps. S’il est toujours possible de renforcer sa maison plus tard, cette étape est souvent négligée et cela entraîne l’effondrement du bâtiment au fil du temps. Il en va de même pour les services informatiques qui optent parfois pour des solutions rapides qui affaiblissent la résilience et entraînent des réparations coûteuses. La conformité s’inscrit parfaitement dans ce contexte : une fois que les entreprises adhèrent aux règles, elles ont tendance à relâcher leur vigilance par la suite.

C’est exactement ce que NIS2 veut éviter. La directive considère en effet la sécurité comme un processus continu et encourage les entreprises à constamment vérifier non seulement qu’elles sont conformes, mais également qu’elles sont toujours en totale sécurité. C’est pour cette raison que la nouvelle directive comprend un mécanisme de reporting. Les règles prescrites par NIS2 ne sont qu’une étape sur le long chemin qui mène à une entreprise totalement sécurisée. Elles constituent une base sur laquelle il est nécessaire de s’appuyer pour construire les autres pans de la sécurité en fonction des besoins des utilisateurs. Si le fait de ne pas être conforme à NIS2 revient à laisser la porte de sa maison grande ouverte, il ne faut pas s’étonner si des intrus réussissent à voler les données d’une entreprise.

La directive NIS2 est une version numérique de la manière dont nous fonctionnons dans le monde physique. Avant de souscrire à une assurance, il faut, en parallèle, s’assurer que toutes les mesures ont été prises pour éviter les dommages. L’assurance n’intervient alors que lorsqu’un incident imprévu se produit. La directive NIS2 applique ces principes aux cyberattaques.

Les trois règles à suivre pour sécuriser son entreprise

Les mesures de la directive NIS2 existaient déjà, en substance, à travers la première directive NIS1. Toutefois, celle-ci s’appliquait à un nombre plus restreint d’entreprises et il est devenu rapidement évident que le message véhiculé ne passait pas. Grâce à NIS2, les législateurs entendent faire porter la responsabilité aux entreprises elles-mêmes, et plus particulièrement à leurs dirigeants – c’est à eux de s’assurer que tout est en ordre. 

Ainsi, pour sécuriser son entreprise, il est nécessaire de respecter les trois règles suivantes :

1.     Encourager une culture de la sécurité chez ses salariés : Jusqu’à présent, l’utilisateur était trop facilement pointé du doigt en tant que coupable. Si un salarié clique sur un lien dangereux, c’est le signe que la culture de l’entreprise néglige l’aspect sécurité. Après tout, il est plus logique de fermer la porte derrière soi que de la laisser grande ouverte.

2.     Ajuster les procédures pour ses utilisateurs : Si les procédures sont déjà conformes à NIS2, il convient de poursuivre les efforts et de renforcer la sécurité en fonction des besoins de l’entreprise.

3.     S’assurer de disposer de la technologie nécessaire à la création d’un environnement sûr pour les utilisateurs : Il faut garder à l’esprit que toutes les décisions prises doivent être régulièrement remises en question – après tout, ce qui fonctionne aujourd’hui ne sera peut-être plus suffisant demain.

Alléger le fardeau de l’utilisateur

La question se pose alors : la directive NIS2 devrait-elle être plus sévère ? Il est probable que, dans le futur, une directive NIS3 voit le jour et permette d’étendre à d’autres secteurs des réglementations beaucoup plus strictes, comme le règlement DORA dans le monde financier ; DORA constitue, à cet égard, une sorte de NIS2 surpuissant. D’ici là, NIS2 devrait constituer une ligne directrice de base, qui devrait inciter les entreprises à se pencher davantage sur la question de la sécurité au sein de leur structure afin de trouver le bon équilibre entre sécurité et efficacité opérationnelle. 

Il ne faut pas aborder la directive NIS2 uniquement sous le prisme de la conformité, ni la considérer simplement comme un ensemble de règles à suivre pour assurer le bon fonctionnement de l’entreprise – autrement, il sera difficile de tirer le meilleur parti de la directive. En fin de compte, tout tourne autour de l’utilisateur, qui ne souhaite qu’une chose : que tout fonctionne et qu’il puisse accéder en toute sécurité aux données et aux systèmes dont il a besoin pour accomplir son travail. C’est là que la résilience des données devient essentielle, car elle garantit non seulement que les données sont sécurisées, mais également qu’elles sont disponibles et fonctionnelles en cas de besoin, ce qui permet d’assurer la continuité des activités et de maintenir la productivité.

Si les récents problèmes informatiques rencontrés par les entreprises du monde entier ont permis d’éveiller davantage les consciences, il est évident qu’il reste encore un long chemin à parcourir. Il est probable que plusieurs pays montreront l’exemple et imposeront de lourdes sanctions financières aux entreprises fautives. Cela contribuera à inciter les autres entreprises à se préoccuper davantage de leur sécurité. Elles percevront ainsi la directive NIS2 non pas comme un cadre composé de quelques règles, mais comme un socle permettant de construire une sécurité solide et d’améliorer la résilience des données.