Alain Bouillé (Cesin) : "NIS 2 a encore besoin d'ajustements"

Le délégué général du Club des experts de la sécurité de l'information et du numérique revient sur les principales difficultés auxquelles sont confrontées les entreprises dans leur conformité à la directive NIS 2.

JDN. Les organisations concernées sont-elles prêtes pour se conformer à NIS 2 ?

Alain Bouillé. Les organisations qui sont membres du Cesin sont prêtes. Cependant, la majorité des entreprises n'est pas prête. Parmi l'ensemble des organisations concernées par NIS 2 je pense qu'environ la moitié a déjà commencé à travailler sa conformité au texte et que l'autre moitié reste largement à éduquer et à convaincre. Au total, NIS 2 concerne entre 15 000 et 20 000 entités. Or le Cesin représente entre 700 et 800 entreprises, dont surtout des grandes entreprises, des entreprises de taille intermédiaire et très peu de petites entreprises et de collectivités locales. Et ce sont ces plus petites entités qui sont loin d'être prêtes.

Enormément d'entreprises ne savent toujours pas si elles vont être concernées par NIS 2. Pensez-vous que le projet de loi de transposition n'est pas assez clair ?

Le texte explique qu'il y a 18 secteurs d'activité qui sont concernés. Ce critère est clair : soit votre entreprise est dans ce secteur soit elle n'y est pas. Cependant, le diable se cache dans les détails. Par exemple, le retail ne fait pas partir des 18 secteurs concernés : les Leclerc, Carrefour et autres entreprises du retail ne sont donc pas visées. En revanche, si un supermarché fabrique des produits alimentaires alors il est concerné par NIS 2. Résultat : des Intermarchés sont soumis aux obligations de NIS 2 pendant que des Carrefour ne le sont pas car ils ne fabriquent pas de produits alimentaires. Cela intrigue que des entités presque identiques ne soient pas logées à la même enseigne. Il y a donc probablement encore quelques ajustements à faire.

Vous expliquez qu'une organisation peut être concernée par NIS 2 seulement pour une partie de son activité. Comment les entreprises vont gérer cette partition ?

La problématique qui va se poser pour les entreprises dont une partie seulement est soumise à NIS 2 est la manière dont elles vont appréhender la sécurité de leur système d'information. Vont-elles conformer toute la sécurité de leur système d'information à NIS 2 ou une partie seulement ? Intermarché va-t-il séparer dans sa cybersécurité ce qui concerne sa filière de fabrication de nourriture de ce qui n'est pas concerné par NIS 2 ? Cela relève de questions internes aux entreprises et de la manière dont est bâti leur système d'information.

Pensez-vous que la tendance, pour ces entreprises, va être d'assujettir toutes leurs activités à NIS 2 ?

Ce qu'il faut garder en tête est que NIS 2 sert à augmenter le niveau global de sécurité des entités. Ce n'est pas fait pour embêter les organisations. Les règles de NIS 2 sont des règles de bon sens. Donc si j'étais le responsable de la sécurité des systèmes d'information d'Intermarché, je soumettrais tout mon système d'information à NIS 2 parce que cela serait plus simple et cohérent. Selon moi, il n'y a pas de raison d'élever le niveau de sécurité d'une partie seulement d'un système d'information sans soumettre le reste aux obligations de NIS 2. La sécurité du système d'information sera complètement incohérente, or les hackers adorent l'incohérence.

Beaucoup d'acteurs pointent du doigt le mille-feuille règlementaire auquel ce texte s'ajoute (DORA, REC, RGPD et bien d'autres) et le manque d'harmonisation européenne dans sa mise en œuvre. Qu'en pensez-vous ?

Je vous accorde qu'on aurait pu faire plus simple. D'abord, on aurait dû faire de NIS 2 un règlement plutôt qu'une directive. Cela aurait permis d'éviter de faire tout ce travail de transposition et d'interprétation dans chaque pays. Aussi, nous devons penser aux entreprises qui sont multi-représentées en Europe. Quand les transpositions de NIS 2 ne sont pas les mêmes en Espagne, en France, au Luxembourg et en Allemagne et qu'une organisation est présente dans ces quatre pays, quelle règle doit-elle appliquer ?

Plusieurs membres du Cesin m'ont fait part de cette problématique. Une organisation ne peut pas se permettre de devoir se conformer à des règles différentes dans chaque pays. C'est pourquoi certaines organisations ont déjà pris la décision d'appliquer les règles NIS 2 du pays dans lequel se trouve leur siège social. Or cela n'est pas écrit dans le texte. Il y a donc encore quelques ajustements à prévoir.

Cependant, j'essaie de voir la bouteille à moitié pleine : cette réglementation, je la trouve bienvenue. Et je vais peut-être en choquer certains mais je rêve d'un NIS 3 qui s'appliquerait à toutes les entreprises. Certes, il faudra créer des seuils pour adapter les règles en fonction de la situation des organisations mais je pense que toutes les entreprises doivent être concernées.

Un chef d'entreprise est responsable de la sécurité de ses salariés et de ses locaux. Il est responsable d'un point de vue pénal : s'il ne protège pas la sécurité de ses salariés il va en prison. Dans la même logique, je souhaite que, demain, le chef d'entreprise soit pénalement responsable sur l'état de la sécurité de son système d'information. Car entre l'extincteur dans l'usine et le bon système de sauvegarde dans le système d'information qui fait tourner l'usine, je pense qu'il ne faut pas choisir : il faut sécuriser les deux.