Daniel De Prezzo, directeur technique Europe du Sud et BeNeLux chez Cohesity, met en lumière l’importance de la conformité des données, notamment en cas de cyberattaque. En effet, les cas de « double peine » liés à une rançon, additionnée d’une amende de la part d’un gouvernement, se multiplient.
En 2023 une filiale de la poste Italienne, Postel SpA, a été condamnée à une amende de 900 000 euros à la suite d’une cyberattaque. La GPDP (l’autorité italienne de protection des données) remarque à ce moment le manque d’application des correctifs disponibles alors même que les vulnérabilités étaient connues et documentées, entrainant une « double peine » pour l’entreprise avec une amende en plus de la fuite de données. Ce cas illustre une tendance claire : les dirigeants doivent prendre la cybersécurité à bras le corps. DORA et NIS2 arrivent, et l’heure de la responsabilité a sonné.
Les entreprises et leurs dirigeants ont désormais des responsabilités juridiques en cas de cyberattaque réussie. Connaissance des risques, non-signalement, inaction, absence de mesures correctives : la justice peut frapper fort. Avec la réglementation DORA ainsi que la directive NIS2 en Europe, l’ignorance en matière de sécurité ne sera plus une excuse.
Responsabilité personnelle : la fin de l’impunité ?
L’Union Européenne a musclé son jeu avec DORA, pour le secteur financier, et NIS2 pour les infrastructures critiques. Objectif : renforcer la cyber-résilience opérationnelle. La nouveauté ? La direction des entreprises est directement mise en cause. En cas de manquement, les sanctions peuvent être lourdes avec des amendes et/ou des restrictions de gestion.
Les amendes sont calquées sur le RGPD. Non-respect de DORA ? Jusqu’à 10 million d’euros ou 5% du chiffre d’affaires mondial pour les entités financières. NIS2 est encore plus sévère, ciblant directement les dirigeants. Les amendes peuvent atteindre 10 millions d’euros et 2% du chiffre d’affaires mondial pour les personnes morales. Depuis la loi sur la sécurité informatique 2.0 de 2021, la sévérité est de mise. On peut s’attendre à une application aussi rigoureuse que pour le RGPD.
En France, près de 10 000 entreprises sont concernées par NIS2, qui comble les lacunes de DORA, les deux textes étant complémentaires. DORA est un règlement, NIS2 une directive : les États membres peuvent donc renforcer les exigences. Dans cette optique, les organisations doivent résolument s’engager vers la cyber-résilience dès à présent, afin de construire une base que toute législation spécifique à un pays exige. En France, NIS2 a déjà passé une première étape en vue de devenir une loi, ayant déjà été adoptée par le Sénat.
Résilience : le nouveau mantra
Les dirigeants et la qualité de leurs mesures de cyber-résilience sont sous le feu des projecteurs. Une stratégie déficiente favorisera cyberattaques et risques de paralysies de l’IT, ainsi que des conséquences économiques désastreuses, et des risques juridiques accrus.
Il est temps pour les entreprises de faire un état des lieux honnête de leurs capacités de prévention et de réponse. Toute organisation, peu importe sa taille et son secteur d’activité peut être victime d’une attaque par rançongiciel. La motivation des attaquants est forte, et la surface d’attaque immense. Prétendre pouvoir bloquer toutes les attaques est illusoire. Il faut engager un dialogue franc avec la direction sur les risques et mettre en place des processus d’enquête, d’atténuation et de récupération efficaces. Croire en l’infaillibilité des outils de sécurité est une erreur qui expose le RSSI et la direction.
Une entreprise de taille moyenne utilise plus de 130 outils de cybersécurité, souvent peu intégrés et en conséquence inefficaces. Investir davantage dans la prévention et la détection n’apportera qu’un gain marginal, tout en augmentant les frictions, la complexité et les coûts. La tendance à déplacer les contrôles vers les terminaux crée des silos isolés, difficiles à investiguer. Après une attaque, peut-on même faire confiance aux outils qui n’ont rien vu venir ? Les systèmes d’exploitation sont plus sûrs, mais les outils de sécurité plus vulnérables à l’évasion. Le framework MITRE ATT&CK le confirme : il y a beaucoup plus de techniques dans la phase « d’évasion de la défense » (ne pas se faire détecter par les outils de cybersécurité) que dans toutes les autres.
Se focaliser uniquement sur la construction de barrières potentiellement contournables n’est pas suffisant, il est désormais critique d’investir dans la cyber-résilience. Cette approche, axée sur la capacité à détecter, répondre et se rétablir rapidement face aux incidents, constitue un chemin pragmatique vers la conformité réglementaire et contribue à renforcer la confiance ainsi que la tranquillité d’esprit des RSSI et de leurs dirigeants.
