Cybersécurité et résilience : accepter les nouvelles réglementations, pour le bien de l'entreprise

Les entreprises ne devraient pas rejeter les réglementations portant sur la cybersécurité et la résilience, mais plutôt les intégrer à leurs pratiques, au service de leurs intérêts.

Les nouvelles réglementations se multiplient jusqu’à sembler omniprésentes. La résilience numérique des entreprises a été un sujet de préoccupation ces dernières années, en particulier au sein de l’Union européenne (UE). En 2024, la directive NIS2 a été mise en application, rapidement suivie par le règlement Dora, qui se focalise sur les institutions financières, et par le nouveau Data Act, entré en vigueur plus tôt cette année. Et ce flot de nouvelles réglementations ne semble pas devoir s’arrêter de sitôt. La prochaine réglementation prévue, le Cyber resilience act, devrait (progressivement) entrer en vigueur au cours de l’année prochaine.

Naturellement, certaines entreprises considèrent que cela commence à faire beaucoup et ont l’impression que la réglementation devient une entrave ou un frein à leur évolution. Pourtant, ce n’est certainement pas la meilleure façon de voir les choses. Aujourd’hui, la résilience n’est plus optionnelle et les réglementations font perdre du temps uniquement aux entreprises qui les considèrent comme de simples cases à cocher. Celles qui adoptent la bonne approche ont bien plus à gagner que d’éviter une amende.

Les réglementations, sources de frustration ?

De nombreuses réglementations relatives à la cybersécurité et à la résilience ont vu le jour au cours de ces dernières années et il semble impossible d’y échapper. Difficile de croire que le RGPD, qui a ouvert la voie et forcé de nombreuses entreprises à se poser pour la première fois de véritables questions sur leurs données, est entré en vigueur il y a seulement sept ans. Depuis, le paysage réglementaire a radicalement changé. NIS2 et Dora font partie des principales évolutions réglementaires. Elles imposent notamment aux secteurs d’activités considérés comme « essentiels » ou « importants » (dans le cas de NIS2) et les prestataires de services financiers (dont le principal cadre est fourni par Dora, mais également couvert par NIS2) d’assumer de nouvelles responsabilités dans le domaine de la gestion du risque numérique et du reporting des incidents.

Si ces responsabilités représentent déjà une préoccupation pour les RSSI, en raison de la nouvelle emphase mise sur la « responsabilité des entreprises » par des réglementations comme NIS2, l’ensemble des cadres dirigeants sont également concernés. Après tout, ils peuvent désormais être jugés personnellement responsables de la conformité réglementaire. Au-delà d’amendes potentielles s’élevant à plusieurs dizaines de millions d’euros pour l’entreprise, les cadres dirigeants qui font preuve de négligence patente risquent un licenciement, l’exclusion de postes à haute responsabilité, voire des poursuites judiciaires.

Vu sous cet angle, cela peut sembler intimidant (et c’est bien compréhensible), en particulier sachant que de nombreuses entreprises ne se sont pas encore mises en conformité avec ces réglementations plus exigeantes. De plus, en raison de l’entrée en vigueur prochaine de l’EU Cyber Resilience Act, qui concerne toutes les entreprises fournissant des produits logiciels sur le marché européen du numérique, un plus grand nombre d’acteurs encore seront bientôt soumis à l'une ou l'autre des réglementations en matière de résilience numérique.

La résilience a ses avantages et ils sont bien plus nombreux qu’on le pense 

Il est vrai que les réglementations et la conformité ne sont qu’un des éléments avec lesquelles certains décideurs IT et autres dirigeants d’entreprises doivent jongler. Nombre d’entre eux peuvent avoir l’impression que la promulgation de ces multiples réglementations représente un frein. Une étude récente menée après l’entrée en vigueur de Dora auprès de dirigeants IT travaillant pour des prestataires de services financiers révèle qu’un répondant sur cinq pense que le volume de réglementations concernant le numérique est en train de devenir un obstacle à l’innovation et à la compétitivité.

Même si cette réaction est compréhensible, le point positif est que si les entreprises ne se bornent pas à considérer la mise en conformité avec ces réglementations comme une case de plus à cocher ou simplement comme un simple moyen d’éviter des amendes, elles ont bien plus à y gagner. En premier lieu, si ces réglementations existent, c’est pour une bonne raison. Toutes les entreprises numériques ont été impactées pas des cyberattaques ces dernières années. Récemment, les opérations de Jaguar Land Rover and Marks&Spencer se sont retrouvées paralysées par des cyberattaques majeures.

Ainsi, même si ces réglementations n’existaient pas, les menaces contre lesquelles elles s’efforcent de lutter n’en seraient pas moins réelles. En d’autres termes, il est essentiel de prêter une attention particulière à la cyberrésilience et d’investir dans ce domaine, et ce quoi qu’il arrive. Les réglementations devraient tenir lieu de minimum requis ; lorsqu’elles sont modifiées ou transformées, cela indique que les normes minimales de protection se renforcent. Si, lors de l’entrée en vigueur d’une réglementation, une entreprise se voit forcée de créer de nouveaux processus et de nouvelles procédures, c’est qu’elle a d’ores et déjà pris du retard. De telles mesures devraient déjà être en place, ce qui est probablement le cas de ses concurrents.

Cela étant, il faut être conscient que la mise en conformité n’est pas toujours synonyme de sécurité. Si des réglementations comme NIS2 ou Dora constituent la norme plancher, les entreprises devraient s’efforcer d’en faire davantage. De plus, c’est le rythme rapide de l’évolution des cybermenaces qui pousse les autorités à promulguer de nouvelles directives et les normes du secteur représentent, dans une certaine mesure, une photographie instantanée de la situation à un moment donné. Autrement dit, il est bien plus efficace de se conformer à la réglementation en devenant une entreprise mature et résiliente en matière de numérique que de tenter de devenir résiliente en se conformant simplement à la réglementation.

En outre, la résilience ne se limite pas seulement à éviter les amendes ou les conséquences d’une attaque par ransomware. Certains envisagent les réglementations, voire la menace que représentent les cyberattaques, comme un bâton dont il faudrait fuir les coups. De nombreuses entreprises n’ont pas conscience du fait que renforcer sa résilience des données est en réalité une carotte qu’il faut poursuivre. Selon une étude récente de McKinsey, les entreprises les plus performantes qui font preuve d’un degré de maturité élevé en matière de résilience des données sont non seulement en mesure d’éviter les arrêts ou ralentissements de leur activité, ainsi que les pertes de données, mais leur chiffre d’affaires moyen est environ 10 % plus élevé. Il est intéressant de se pencher sur les raisons.

Prendre une longueur d’avance

La réglementation se concentre souvent sur l’aspect tactique en s’attaquant aux symptômes d’un problème et en obligeant les entreprises à déployer des mesures spécifiques afin d’atténuer les risques ou d’être en mesure de réagir en cas d’incident.

Même si cela permet peu à peu au secteur de d’élever son niveau d’exigence et de revoir ses bonnes pratiques, cette approche fragmentée de la résilience ne permet pas aux entreprises de prendre une longueur d’avance. Afin d’être véritablement matures en matière de résilience des données, celles-ci doivent aller plus loin que la réglementation, en adoptant une approche à long terme qui s’attaque aux causes fondamentales du risque numérique, plutôt que de tenter de colmater les fuites lorsqu’elles apparaissent.

L'éternelle triade composée « des personnes, de processus et des technologies » est toujours aussi valable, mais il devient essentiel d’y ajouter la stratégie. À mesure que les cyberattaques évoluent, que les pressions réglementaires se font de plus en plus fortes et que les écosystèmes de données deviennent de plus en plus complexes, les entreprises doivent intégrer leurs objectifs commerciaux au processus de planification de la résilience. Grâce à une approche qui associe différents domaines, comme l’IT, la cybersécurité et la conformité, les équipes transverses peuvent alimenter une stratégie cohérente qui ne se limite pas à anticiper les menaces, mais garantit la mise en œuvre de la gouvernance et permet à l’entreprise de garder une longueur d’avance sur la réglementation.

Le fait d’intégrer la stratégie permet d’envisager la résilience moins comme un exercice qui consiste à cocher des cases et davantage comme une approche qui permet de bénéficier d’une vue d’ensemble. En définitive, c’est la couche stratégique qui fait passer la résilience d’une simple obligation réglementaire à un véritable bénéfice pour l’entreprise, en permettant aux entreprises d’être préparées à toute éventualité. C’est pourquoi les entreprises plus matures en matière de résilience des données sont en moyenne plus profitables. Le fait d’avoir intégré l’aspect stratégique protège l’entreprise, mais permet également d’éliminer les causes d’inefficacité opérationnelle et les silos, afin que l’entreprise fonctionne de manière plus intelligente et se développe plus librement.  

Qu’en est-il des entreprises qui tentent de franchir cette étape, qui leur permettrait de cesser de courir après la conformité réglementaire et d’en devenir les chefs de file ? L’application de correctifs fragmentés peut déboucher sur un véritable casse-tête technique qu’il importe de résoudre pour garantir la résilience des données.

Heureusement, il existe des outils qui peuvent les aider à y parvenir. Les modèles de maturité qui mesurent le degré de résilience des données sont de plus en plus facilement accessibles, offrant aux entreprises des cadres au sein desquels elles sont non seulement en mesure d’évaluer leur degré de maturité existant, mais également de détecter des failles et de formuler une marche à suivre afin d’opérer des améliorations ciblées. La résilience des données ne se limite plus alors à une série de mesures réglementaires minimalistes, mais devient un véritable processus d’amélioration en continu qui s’accompagne d’avantages en matière de conformité, mais aussi de rentabilité.

Les entreprises qui se reposent sur de tels modèles et adoptent cette approche ne considèrent pas la mise en conformité avec la réglementation comme une nuisance ou comme une case à cocher. À leurs yeux, les données ne représentent plus une vulnérabilité, mais un moteur de croissance. En se conformant aux nouvelles réglementations comme le Data Act ou le futur Cyber resilience act, elles auront déjà une grande partie du chemin et cela leur permettra d’envisager la réglementation comme un moyen de tester leur résilience et de mettre en avant leur agilité, tout en gardant une longueur d’avance sur la réglementation. En résumé, l’intégration de la stratégie fait passer la résilience d’une simple obligation à un véritable avantage pour l’entreprise.