Selon Benoît Tremolet, General Manager France, et Florian Korhammer, CISO, de Retarus, la transposition de la directive Network and Information Security 2 (NIS 2) dans le droit français pourrait se heurter, comme en Allemagne, au conflit entre deux dimensions temporelles aux priorités éloignées, celle politique et celle cyber, sans réussir à guider efficacement les entreprises. Ils expliquent leur point de vue à nos lecteurs.
Tandis que la transposition de la directive européenne NIS 2, relative à la sécurité des réseaux et des systèmes d’information est débattue au Parlement (le débat a commencé au Sénat le 11 mars), le précédent de sa transposition avortée en Allemagne en janvier illustre parfaitement la dichotomie entre les lenteurs de la politique face à la rapide évolution de la menace cybernétique. Faute d’accord sur les points essentiels entre le SPD, les Verts et le FPD, la directive n’est toujours pas transposée à échelle nationale, plus de deux ans après son adoption dans l’Union européenne. Le nouveau gouvernement devra faire une nouvelle tentative.
Berlin n’est pas le seul gouvernement à faire face à un échec. Aucun des 27 États membres n’a été en mesure d’appliquer pleinement la nouvelle directive, bien que certains pays aient atteint un niveau de maturité supérieur à d’autres.
Ainsi, les entreprises concernées devront se conformer à de nouveaux standards non mieux définis par la réglementation nationale. Ce qu’elles ne sont sans ignorer est que ces standards impliqueront une évaluation de la sécurité de leurs réseaux afin d’identifier les failles, de mettre en place des mesures de protection pour renforcer leurs réseaux, de signaler les incidents de sécurité afin d’isoler de potentielles menaces et de coopérer avec les autorités compétentes.
La politique réglemente lentement, mais les menaces constituées par les cyberattaques ne cessent pas pour autant de croître et de se multiplier. Au contraire, leurs auteurs se réjouissent probablement de l’absence de feuilles de route nationales et de la vulnérabilité de l’écosystème économique européen. Plus que jamais, les entreprises doivent intégrer qu’elles ne doivent pas attendre des directives claires de leurs gouvernements pour mettre en œuvre des mesures de sécurisation de leurs réseaux de communication. Même en l’absence d’une loi nationale, la directive NIS 2 s’applique dans l’UE. Ceux qui n’agissent pas maintenant s’exposent non seulement à des sanctions, mais aussi à d’énormes failles en matière de sécurité.
Qu’est-ce qui entrave une adoption et une application réussie de NIS 2 pour la sécurisation des communications dans l’Union Européenne ?
En France, la navette parlementaire s’accompagne de nombreux points problématiques et notamment celui d’un flou juridique qui, laissant un espace trop important à d’éventuelles réglementations successives (circulaires, décrets…), risque de complexifier encore le texte européen. Ce surplus de complexité pourrait retarder sa transposition et compliquer son application.
Confrontées à ces nouvelles injonctions, il est raisonnable d’anticiper les doléances d’entreprises contraintes à rapidement modifier leurs automatismes sans directives claires au niveau national. De plus, si l’approche allemande (mais aussi belge et italienne) privilégie une approche basée sur les risques, l’approche française voulue par l’ANSSI privilégie une liste de mesures par “objectifs de sécurité”. Celle-ci s’adapte plus difficilement aux architectures décentralisées ou basées sur le cloud.
Or se conformer à une réglementation pléthorique comporte avant tout de la comprendre, ensuite de l’intégrer, enfin de l’appliquer. Se mouvoir sans autre boussole que celle de Bruxelles est d’autant plus un défi pour les entreprises concernées que bon nombre d’entre elles ne s’étaient jamais penchées sur le problème de la sécurité des communications avant NIS 2.
Identifier les solutions, s’appuyer sur des experts et adopter les bonnes pratiques
Privées de ce cran d’adaptation culturelle, réglementaire et pratique qu’est la transposition de la directive dans le droit national, les entreprises peuvent néanmoins pallier leur déficit de compétences internes en s’appuyant sur des prestataires experts.
Ces derniers, outre se faire véritables sherpas dans l’interprétation technologique du dédale réglementaire, sont en mesure de fournir un éventail de services modulables et agiles, allant de la cryptographie à la sécurisation des réseaux de communication, pour se mettre en conformité à NIS 2.
Le chiffrement des e-mails, par exemple, constitue une solution de sécurisation simple et efficace à laquelle les entreprises renoncent le plus souvent sur la base du préjugé que l’effort requis pour sa mise en œuvre serait trop important. Pourtant, une simple fonction de synchronisation avec le service d’annuaire de l’entreprise suffit à alléger la charge administrative et permet à l’administrateur de gérer les exigences des utilisateurs individuels, des groupes ou encore les certificats requis en toute autonomie.
Les solutions de sécurisation des correspondances sont nombreuses, abordables et de plus en plus intuitives. Les entreprises ne seront donc pas ‘abandonnées’ face à leurs obligations de conformité et le rôle des fournisseurs de services sera de les éclairer dans leur choix.
Devancer les évolutions réglementaires
Les infrastructures critiques ont besoin d’une plus grande résilience cybernétique compte tenu de l’augmentation constante des menaces. Le règlement NIS-2 est un instrument approprié à cet effet, à condition que sa mise en œuvre ne soit pas bloquée et qu’elle soit effectuée avec diligence.
Le fait que NIS 2 succède à la précédente directive laisse présager, dans quelques années, un élargissement ultérieur du faisceau des entreprises concernées et des nouvelles obligations auxquelles elles devront se conformer.
Au su des enjeux commerciaux et de sécurité, le retard allemand nous enseigne que les parties-prenantes ne devraient pas attendre la coercition réglementaire pour prendre en main leur cyber-résilience et se faire aider à identifier les meilleurs outils et pratiques pour sécuriser leurs communications.
L’évolution protéiforme de la menace cybernétique ne peut se combattre qu’avec une approche holistique et une démarche proactive. En l’absence d’initiatives mondiales, c’est à l’échelle de l’Europe qu’il faut envisager notre cyber-résilience.
