En responsabilisant les dirigeants, NIS2 redéfinit la culture cyber des entreprise
Un changement nécessaire pour rehausser les standards de cybersécurité dans les organisations, un impératif pour faire face à l'augmentation des cybermenaces.
L'été 2024 a été marqué par une explosion des cyberattaques en France, touchant de grandes enseignes comme Truffaut, Boulanger, SFR, Free, Cultura, ainsi que l'Université de Paris-Saclay et le groupe Bayard. L'ANSSI a recensé 548 évènements de cybersécurité liés aux Jeux Olympiques (1), soulignant la vulnérabilité croissante des institutions et des entreprises face aux menaces numériques.
Dans ce contexte, la cybersécurité est devenue un enjeu stratégique majeur nécessitant l'implication directe des dirigeants. Comme le souligne Bart Groothuis, rapporteur NIS2 au Parlement européen : "La cybersécurité ne peut plus être gérée en disant à un informaticien : 'D'accord, fais quelque chose pour assurer notre sécurité.' Le PDG et le conseil d'administration doivent savoir quoi faire, comment ils peuvent prendre le contrôle et où ils se situent en tant qu'entreprise".
C'est précisément à ce défi que répond la directive européenne NIS2, en rendant les dirigeants personnellement responsables de la mise en œuvre et du suivi des politiques de cybersécurité.
Un changement de paradigme en matière de cybersécurité
Avec NIS2, l'Union Européenne opère un virage majeur. Elle a pour ambition de passer d'une cybersécurité centrée sur les acteurs critiques à une approche de masse pour élargir son champ d’application. Couvrant désormais 18 secteurs contre 7 auparavant, elle s’appliquerait aujourd’hui à plus de 10 000 entreprises en France.
Ce changement d'échelle s'accompagne d'une responsabilisation accrue des dirigeants. NIS2 introduit des obligations spécifiques les rendant personnellement responsables de la mise en œuvre et du suivi des politiques de cybersécurité.
La directive exige également un renforcement significatif des mesures de sécurité. Les entreprises doivent adopter des pratiques de gestion des risques plus rigoureuses et assurer la sécurité de leurs chaînes d'approvisionnement : prestataires, partenaires sous-traitants et fournisseurs de l’entreprise. Les dirigeants ont la responsabilité de s'assurer que ces mesures sont non seulement en place, mais aussi efficaces.
Une épée de Damoclès pour les dirigeants d’entreprise
Pour garantir l'application de ces nouvelles exigences, NIS2 prévoit des sanctions dissuasives. En cas de non-conformité à la transposition française de la directive NIS2, les entreprises s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités dites essentielles. Ces montants considérables visent à faire de la cybersécurité une priorité incontournable pour les dirigeants.
La directive met également l'accent sur la formation et la sensibilisation des dirigeants aux enjeux de la cybersécurité. L'objectif est de garantir qu'ils comprennent pleinement les risques et prennent les mesures nécessaires pour protéger leurs organisations et les données de leurs
clients. Cette approche vise à créer une véritable culture de la cybersécurité au plus haut niveau de l'entreprise.
La cybersécurité est devenue un sujet de COMEX
Ce nouveau cadre réglementaire transforme profondément la place de la cybersécurité dans l'entreprise. Elle n'est plus cantonnée au domaine technique des équipes spécialisées, mais s'impose comme un sujet stratégique pour la direction. La cybersécurité passe d'une vision de prévention, détection et remédiation à une approche d'anticipation face à un risque devenu majeur pour la pérennité même de l'entreprise.
Dans ce contexte, le rôle du Responsable de la Sécurité des Systèmes d'Information (RSSI) évolue considérablement. Il devient un interlocuteur clé du COMEX, attendu autant sur l'analyse des risques, l'identification des menaces et la stratégie de cybersécurité que sur l'implémentation de solutions techniques.
L'enjeu n'est pas dans le positionnement hiérarchique du RSSI, mais dans sa capacité à diffuser en transverse une véritable culture cyber à tous les niveaux de l'organisation, en particulier au sein des COMEX, faisant de la cybersécurité une composante essentielle de la stratégie d'entreprise.
En plaçant la responsabilité de la cybersécurité directement entre les mains des dirigeants, NIS2 opère un changement de paradigme dans la gouvernance des entreprises. La directive redéfinit fondamentalement l'approche de la sécurité numérique au plus haut niveau de l'organisation.
Cette évolution pourrait marquer l'avènement d'une nouvelle ère en matière de sécurité numérique. En s’étendant aux niveaux décisionnels les plus élevés, elle aura désormais un impact sur l’ensemble de la culture des entreprises. C’est à cette condition que nous pourrons enfin répondre efficacement à l’explosion des menaces cyber.
Sources :