Alors que l’entrée en application de NIS2 et DORA au niveau européen se poursuit cette année, ces évolutions réglementaires conséquentes pour le secteur technologique visent à renforcer la cybersécurité et la résilience opérationnelle des entreprises. DORA s’applique aux acteurs financiers et à leurs prestataires de services pour garantir leur résilience face aux cybermenaces tandis que NIS2 impose des exigences accrues en matière de protection des réseaux et des systèmes d’information impactant plus de 10 000 entités françaises dans 18 secteurs d’activité.
Elles nécessitent une adaptation rapide par les membres de l’Union européenne pour que les entreprises ajustent leurs stratégies de conformité à ces nouvelles règles. Les entreprises doivent se préparer dès maintenant à la transposition nationale de NIS2. À défaut, elles s’exposent à des sanctions financières et à un risque accru face à des menaces toujours plus sophistiquées.
Quel cadre pour les entreprises françaises ?
La directive NIS2 n’a pas encore fait l’objet d’une transposition nationale en France dans la mesure où le sujet est actuellement entre les mains du parlement. En effet, le Sénat a adopté en première lecture le 12 mars le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dont la transposition des directives DORA et REC). Le projet de loi est désormais examiné en première lecture à l’Assemblée nationale. Une fois qu’il sera adopté par les deux institutions, des décrets et des ordonnances devront également être promulgués. Un décret du Conseil d’Etat déterminera les conditions de développement, de modification et de publication d’un cadre de cybersécurité. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) est responsable de la rédaction du cadre de cybersécurité afin de préciser la liste des entités essentielles et importantes assujetties à NIS2 et les obligations exactes que celles-ci devront respecter. Sans ce cadre national, il est difficile pour les dirigeants de déterminer les mesures à mettre en place ainsi que les investissements nécessaires, ce qui génère de l’incertitude pour les entreprises françaises.
Par ailleurs, ce manque de visibilité soulève des inquiétudes quant aux risques de précipitation une fois le cadre établi, obligeant les entreprises à s’adapter en urgence et exposant certains secteurs stratégiques à des menaces accrues. Face à ces incertitudes, certaines organisations prennent les devants en renforçant dès à présent leurs dispositifs de cybersécurité. L’objectif est d’anticiper les futures exigences et de limiter les risques liés à un déploiement tardif de NIS2.
Comment anticiper les réglementations ?
Les organisations ne peuvent donc pas se permettre d’attendre. Les entreprises, en particulier celles aux activités internationales, devraient structurer proactivement leur démarche de conformité en faisant évoluer leurs bureaux de conformité vers le “multi-framework”. Cette approche permet d’harmoniser les exigences des réglementations entre les pays européens, dans lesquels la transposition nationale des lois sera potentiellement différente, et de limiter les risques associés au déploiement tardif de NIS2.
En outre, les obligations en matière de cybersécurité ne se limitent pas à NIS2 et DORA. D’autres réglementations, comme le standard PCI DSS (Payment Card Industry Data Security Standard) et SWIFT CSCF, imposent l’adoption des règles strictes pour sécuriser les transactions par carte bancaire, les systèmes de paiement et les infrastructures opérant des virements. L’enjeu est donc global et les entreprises doivent adopter une approche centralisée pour gérer efficacement ces différentes exigences.
Investir dans la formation : un levier indispensable pour la conformité
L’un des défis majeurs posés par l’entrée en vigueur des nouvelles réglementations est la nécessité de continuer à renforcer les compétences en cybersécurité au sein des entreprises. Ces réglementations et directives imposent des exigences accrues en matière de protection des systèmes d’information. Elles obligent ainsi les organisations à former leurs collaborateurs aux bonnes pratiques et aux nouvelles obligations légales. L’acquisition de certifications spécifiques à l’audit et à la mise en œuvre, telles que CISSP (Certified Information Systems Security Professional) ou encore CISM (Certified Information Security Manager), devient essentielle pour garantir une mise en conformité efficace et limiter les risques liés aux cyberattaques. Cependant, la mise en place de ces formations demande du temps et des ressources, ce qui doit également être anticipé.
Ce besoin de formation se heurte également à une pénurie alarmante de talents en cybersécurité en France. Selon la DGSE, il manquerait actuellement environ 15 000 experts dans ce domaine, un chiffre qui risque de croître avec l’augmentation des exigences de conformité. Face à cette situation, les entreprises doivent investir dès maintenant dans des programmes de montée en compétence et en encourageant l’obtention de certifications. En parallèle, le recours à des prestataires externes spécialisés peut constituer une solution temporaire pour pallier le manque de ressources en interne. Toutefois, sans un effort massif pour combler ce déficit de compétences, le respect des nouvelles obligations pourrait s’avérer particulièrement complexe pour de nombreuses organisations.
