La bascule est nette. Là où la cybersécurité relevait encore, il y a quelques années, d’un périmètre technique, elle s’impose désormais comme un enjeu de gouvernance. DORA, NIS2 : derrière ces acronymes, une transformation profonde des responsabilités, des équilibres internes, et du rapport au risque. Pour les organisations, il ne s’agit plus seulement de se protéger, mais de structurer, piloter et démontrer leur résilience à l’échelle de l’entreprise.
Cet échange s’appuie sur une interview réalisée en direct lors des Petits Déjeuners de la rédaction, un rendez-vous organisé par Solutions Numériques & Cybersécurité, en partenariat avec Euro Cyber Group, pour prolonger les analyses du magazine et confronter les retours terrain aux enjeux concrets des organisations.
À cette occasion, Arnaud Martin, directeur des risques opérationnels à la Caisse des Dépôts et vice-président du Cesin, partage les premiers retours d’expérience autour de DORA et NIS2.
Solutions Numériques & Cybersécurité : On va éviter de revenir sur les obligations ou les calendriers. On voulait plutôt explorer les premiers retours d’expérience. On part du constat que ces réglementations poussent la cybersécurité au niveau de la gouvernance de l’entreprise. Qu’est-ce que cela change pour les directions générales ?
Arnaud Martin :
Elles poussent effectivement de manière formelle au niveau de la direction générale. Après, le risque cyber est déjà, depuis quelques années, remonté à ce niveau-là. La prise de conscience réelle de la direction générale, je la situerais autour des années 2020. Avant, on était plutôt au niveau des DSI ou des directions des risques, comme cela a été évoqué précédemment.
Elle pousse parce qu’en fait, il y a une implication légale, voire même pénale, sur un certain nombre de sujets qui remontent directement au niveau des directions générales et qui ne peut pas forcément être délégué derrière. Si on prend DORA, on est clairement sur un pilotage transverse. Ce n’est pas uniquement la responsabilité de la DSI ou de la direction des risques. C’est un projet global d’entreprise qui doit être porté au niveau de la gouvernance.
Il y a bien sûr le sujet de la non-conformité, qui peut entraîner des amendes. Mais en réalité, ce n’est pas le principal levier du régulateur.
Dans le secteur bancaire notamment, le levier le plus fort, c’est ce qu’on appelle le pilier 2, c’est-à-dire l’exigence de provisions supplémentaires sur fonds propres si le niveau de maturité du contrôle interne est jugé insuffisant.
Concrètement, demander 1 % de fonds propres supplémentaires à une banque, c’est un levier énorme, bien plus impactant qu’une amende. On est sur un effet levier qui peut être dix à vingt fois supérieur.
Donc l’enjeu est vraiment structurant. Cette structuration, il ne faut pas que ce soit quelque chose qui soit rajouté au aux organisations et aux comités déjà existants au sein des grands établissements bancaires, mais on essaye plutôt de s’appuyer sur des structures existantes. Par exemple, le comité stratégique SI, qui définit la roadmap, ou le comité cybersécurité, qui fixe les orientations.
Ensuite, on remonte au niveau de la gouvernance, avec les comités d’audit et de risques. Dans le secteur bancaire, ces comités ont pour vocation de couvrir l’ensemble des risques : financiers, bien sûr, mais aussi opérationnels et de conformité. On va donc intégrer les sujets RGPD, DORA, directement dans ces instances. C’est aussi ce que demande le régulateur. Nous, par exemple, nous sommes régulés en France par l’ACPR. Dans ce cadre, nous avons des entretiens de surveillance rapprochés, avec des focus réguliers sur certains sujets. Et dès qu’on parle de risques SI ou cyber, on y intègre la conformité DORA.
Solutions Numériques & Cybersécurité : DORA repose sur plusieurs piliers, notamment la gestion des risques IT, la notification des incidents, les tests de résilience et la gestion des prestataires. Qu’est-ce qui est le plus difficile ?
Arnaud Martin :
Le plus difficile, chaque pilier a sa spécificité. Mais le plus long en termes de mise en conformité, c’est le pilier qu’on appelle la gestion des tiers. On en parlait tout à l’heure, avec la vision Capgemini en tant que mise en conformité, en tant que fournisseur de solutions pour de grands établissements bancaires, pour des grands industriels, etc.
En fait, côté Caisse des Dépôts, on doit gérer l’ensemble de ces prestations externalisées et les mettre sous contrôle. Les mettre sous contrôle d’un point de vue théorique, d’un point de vue contractuel, avec la gestion des contrats, d’un point de vue référencement, avec la tenue d’un registre exhaustif, et d’un point de vue vérification du niveau réel de sécurité et de résilience atteint vis-à-vis de ces fournisseurs.
Sur cette partie, on a un peu plus de 1 000 fournisseurs référencés côté Caisse des Dépôts qu’on doit superviser, mais pas tous de la même façon. Il y a les prestations essentielles, ce qu’on appelle les TIC critiques en jargon DORA, qui sont bien évidemment davantage monitorées.
Et ça demande une révision des contrats de la part des fournisseurs, une renégociation, puisque lorsqu’on va leur demander des exigences accrues, on aura potentiellement un prix accru sur cette partie-là. C’est de bonne guerre. Ensuite, il y a un suivi dans la durée.
Même si DORA, pour l’ensemble des grandes banques et des grandes assurances, est entrée en vigueur le 17 janvier 2025, c’est quelque chose qui se fait dans la durée.
On estime globalement qu’il faut une rotation des contrats de l’ordre de trois ans pour une mise en conformité globale.
C’est un peu le même espace-temps qu’on avait lors de la mise en conformité RGPD. Ce n’est pas aberrant et cela fait partie des choses que l’on va vérifier.
Je pense qu’on est aujourd’hui à un niveau de conformité autour de 30 %, donc on a avancé d’un tiers du chemin sur cette partie-là.
Solutions Numériques & Cybersécurité : Et sur les tests de résilience, comment les entreprises abordent-elles le sujet ?
Arnaud Martin :
Les tests de résilience, pour tout le monde, je pense que vous connaissez ce qu’on appelle les pentests, donc les tests d’intrusion dans le SI. Après, il y a des tests moins connus. Il existe notamment du monitoring en continu, où l’on fait appel à des hackers éthiques à l’extérieur pour vérifier directement en production s’il n’y a pas de vulnérabilités qui sont apparues. C’est ce qu’on appelle le bug bounty, la chasse au bug, entre guillemets. Il y a d’ailleurs quelques startups françaises qui sont très bonnes sur le sujet, donc je vous invite à aller regarder.
On a également des tests plus classiques, comme les audits de conformité, ou encore des audits de code lors de la phase de construction des produits.
Et puis, il y a quelque chose qui émerge depuis quelque temps, issu d’un jargon plus militaire : la red team. Les red teamers sont des attaquants, et la seule chose qu’on leur demande, c’est d’aller chercher des “drapeaux”. Le drapeau, cela peut être pénétrer une application, ou récupérer un fichier sur le système d’information.
La red team s’est développée progressivement dans les entreprises les plus matures. Et dans le cadre de DORA, pour les établissements systémiques, il va être demandé de réaliser ces exercices en format “plus plus”.
Le format “plus plus”, c’est intervenir directement en production, non pas sur des environnements annexes, mais bien sur les systèmes qui hébergent les fonctions critiques de l’entreprise. Et cela se fait en délégant cette mission à une équipe, sans que personne, ou très peu de personnes en interne, ne soient informées.
Cela implique une vraie délégation de responsabilités, avec un risque réel : si les tests se déroulent mal, certains systèmes peuvent être impactés. On est clairement sur un niveau supérieur, un niveau “plus plus”, entre guillemets.
Solutions Numériques & Cybersécurité : J’ai une derniere question a vous poser plutot en tant que vice-président du CESIN plutôt. Cette directive elle va étendre ses exigences à un large spectre d’organisation. D’après vous, quels vont etre les défis principaux pour ces entreprises qui vont arriver sous le spectre ?
Arnaud Martin :
Le défi, c’est clairement, je pense, le passage à l’échelle. Si on parle de DORA, je n’ai pas les chiffres exacts en tête, mais on est, entre la version DORA et la version DORA simplifiée, sur un ordre de grandeur d’une centaine d’établissements bancaires et d’assurances en France.
Si on prend NIS1, la petite sœur de NIS2, on était plutôt sur un ordre de grandeur du millier. Et là, on va encore multiplier par 10, potentiellement par 20, le nombre d’organisations concernées dans l’écosystème français, avec une déclinaison de NIS2 qui a vocation à s’appliquer partout en Europe. D’ailleurs, on ne vous aura pas échappé qu’on est légèrement en retard en France sur ce sujet.
Le but du jeu, c’est de gérer cela de manière proportionnée, en fonction des risques propres à chaque entreprise. Et donc, on va forcément avoir un assujettissement à NIS2 pour des entreprises qui ont déjà eu cette prise de conscience il y a quelques années, qui disposent déjà souvent d’un RSSI ou au moins d’un rôle de RSSI.
Dans ces cas-là, on a déjà la structure pour appréhender les textes, sensibiliser les dirigeants et mettre en musique la mise en conformité.
Mais cela va aussi s’appliquer à des structures plus petites, qui ne sont pas du tout sensibilisées à ces sujets. Et là, le premier enjeu, c’est vraiment d’avoir du discernement, de savoir jongler et de remettre les pièces du puzzle dans le bon ordre pour consolider l’ensemble.
Sur ce point, le patron de l’ANSSI, Vincent Strubel, le disait très bien :
il y a un enjeu de mise en conformité, mais qui ne va pas avancer à la même vitesse pour toutes les entreprises, et qui va s’inscrire dans la durée.
On parlait du pilier quatre de DORA, avec une mise en conformité potentielle sur trois ans, et on est aussi sur cet ordre de grandeur ici.
Et pour faire un clin d’œil à l’actualité, même si NIS2 n’est pas encore totalement décliné au niveau de l’Assemblée nationale, il y a déjà des premiers textes qui commencent à apparaître. Ils ont été appelés ReCyF, et ont été présentés récemment : c’est le Registre Cybersécurité Français sur ce sujet.
Pour approfondir ces enjeux, consultez l’édition du magazine, Trouver le cap réglementaire, disponible en cliquant ici.
