Les nouveaux besoins de sécurisation appelés par la directive NIS2, associés à l’accent mis sur la collaboration et le partage des connaissances, ouvrent la voie à la créativité dans le secteur de la cybersécurité, ce qui transformera radicalement le paysage global tel que nous le connaissons.
La directive sur la sécurité des réseaux et de l’information (NIS) 2 est l’un des textes réglementaires les plus importants en matière de cybersécurité jamais adoptés en Europe.
Les 27 États membres de l’UE ont jusqu’au 17 octobre 2024 pour adopter et publier les lois nationales nécessaires à la mise en conformité des organisations avec la directive NIS 2, qui impose des objectifs de sécurité accrus pour répondre aux cybermenaces et des obligations de signalement plus régulières avec des délais plus courts en cas de cyberattaques.
Le champ d’application de la directive NIS 2 a été considérablement élargi. En France, le nombre d’entités concernées devrait passer de 500 à 15 000 environ, entités ayant le plus grand impact potentiel sur l’économie et la société françaises. Ceci représente un défi de taille pour les autorités nationales car elles les obligent à répercuter les exigences de sécurité pour chaque nouvelle organisation et secteur concernés, à coordonner l’appropriation progressive des exigences, et à traiter beaucoup plus de signalements d’incidents.
De plus, les conséquences pour les organisations qui ne respectent pas les normes sont potentiellement plus importantes, avec notamment des possibilités d’amendes en cas de non-respect des délais et une responsabilité personnelle pour les dirigeants des entreprises concernées.
Cependant, alors que les entreprises se préparent à cette nouvelle ère de conformité, une autre question se pose : quel impact la NIS 2 aura-t-elle sur l’innovation en cybersécurité ? L’évolution réglementaire suscitera-t-elle une envolée des dépenses d’investissement dans de nouvelles solutions de sécurité ? ou au contraire, le poids de la réglementation étouffera-t-il les capacités d’innovation et condamnera-t-il les organisations à mettre en œuvre par incréments successifs les outils destinés à respecter la conformité ?
Un nécessaire renforcement des pratiques via la réglementation
Le besoin de mesures de cybersécurité plus ambitieuses est indéniable. Elles sont nécessaires pour lutter contre des acteurs malveillants toujours plus efficaces et parfaitement outillés. Selon une récente étude IDC menée par Palo Alto Networks, seuls 28 % des RSSI de la zone EMEA et de l’Amérique latine testent régulièrement leurs plans de réponse aux incidents. Cela survient à un moment où le paysage des menaces évolue rapidement, en particulier en raison de l’intelligence artificielle générative.
Par exemple, l’Unit 42 de Palo Alto Networks a récemment observé un cas où des acteurs malveillants ont extrait 2,5 téraoctets de données en seulement 14 heures, démontrant un niveau d’efficacité jamais vu auparavant. À la lumière de ces statistiques, la Commission européenne espère que son texte réglementaire historique se traduira par une nouvelle ère de cyber-résilience, où la cyber-résilience deviendra un pilier clé de la culture organisationnelle plutôt qu’un élément secondaire.
Une démarche européenne globale mais des transpositions confrontées aux particularités nationales
Chaque État membre de l’UE avance de manière hétérogène sur l’adoption et la transposition de la directive, qui, selon l’ANSSI (Agence nationale de la sécurité des systèmes d’information), “marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen”.
En France, le projet de loi “Résilience”, qui sera débattu par le Parlement, transposera à la fois NIS2, DORA (pour le secteur financier) et REC (résilience des entités critiques).
Concernant NIS2, l’ANSSI a organisé des consultations auprès des organisations professionnelles des secteurs visés par la directive d’une part, et auprès des associations d’élus de collectivités territoriales d’autre part.
Les bilans de ces consultations soulignent les attentes et besoins des acteurs qui espèrent être entendus lors de l’élaboration des textes d’application. Tout en étant conscientes des vulnérabilités et des enjeux à augmenter le niveau de protection, des associations d’élus se sont regroupées afin de demander de l’adaptabilité au niveau de maturité existant dans les organisations, de la progressivité dans le temps, et un accompagnement technique et financier, notamment pour le fonctionnement des CSIRTs (centres de réponses à incidents cyber) régionaux qui sont destinés à faire partie du dispositif de notification des incidents cyber.
Ainsi, que ce soit au travers des régions ou des secteurs d’activité, la concertation et la coopération avec les CSIRTs et avec l’autorité nationale de cybersécurité détermineront la réussite de l’application des nouvelles exigences à un paysage d’organisations hétérogène et vigilant quant à la difficulté et au coût de la mise en conformité.
L’opportunité d’orienter les investissements dans de l’innovation pérenne
Certaines critiques craignent que la directive NIS 2 n’aille trop loin dans la « sur-réglementation », notamment avec ses deux niveaux de régulation, touchant bien au-delà des organisations considérées critiques. Les dispositions réglementaires strictes et la possibilité de sanctions en cas de non-conformité pourraient inciter les organisations à rester prudentes dans leur approche de la cybersécurité, comme dans leurs futurs investissements, ce qui pourrait ne plus être adapté à un monde où le paysage des menaces évolue plus rapidement et devient toujours plus complexe.
Par exemple, les organisations pourraient choisir d’utiliser des technologies héritées d’anciennes pratiques déjà longuement employées, plutôt que des systèmes de détection basés sur l’IA plus récents et offrant une identification plus précise des menaces, et adaptée à la culture de l’organisation.
En réalité, l’adoption d’une approche plus innovante permettrait aux organisations de se protéger non seulement aujourd’hui, mais aussi de pérenniser leurs investissements imminents et leur sécurité opérationnelle dans la durée. La directive NIS 2 invite ainsi les entités régulées à « poursuivre l’intégration de technologies améliorant la cybersécurité, telles que l’intelligence artificielle ou les systèmes d’apprentissage automatique, afin de renforcer leurs capacités et la sécurité des réseaux et des systèmes d’information ».
Une approche risques “sur mesure” plutôt qu’un certificat de conformité
Pour d’autres, la directive NIS2 pourrait avoir une efficacité limitée compte-tenu d’une portée trop réduite des mesures de gestion des risques de cybersécurité, comme l’absence de mesures spécifiques axées sur la phase de reconnaissance d’une cyberattaque. Le recours aux technologies qui exploitent l’apprentissage automatique et l’intelligence artificielle est pourtant une solution car elles peuvent contribuer à la mise en œuvre de mesures de prévention efficaces et adaptées à l’évolution des outils, tactiques et menaces des cyberattaques.
Cependant, l’accent mis par NIS2 sur la normalisation de la cybersécurité et des obligations de signalement uniformes dans l’ensemble des États membres de l’UE pourrait décourager l’innovation dans des pratiques de cybersécurité adaptées aux besoins et aux défis spécifiques de chaque organisation, au profit d’une approche généraliste privilégiant le consensus et l’uniformisation des pratiques.
Les réglementations actuelles en matière de cybersécurité s’avèrent insuffisantes pour relever les défis majeurs de la cybersécurité. Une approche plus universelle et ambitieuse, comme celle proposée par la NIS2, pourrait apporter une solution. Son cadre bien défini permettra d’instaurer une plus grande confiance sur le marché en fournissant aux organisations une feuille de route claire pour la conformité.
A condition qu’elle soit comprise pour ses finalités et non pour rechercher la seule conformité, cette approche confère à NIS2 le potentiel d’encourager les investissements dans le développement de solutions innovantes qui répondent aux exigences et s’adaptent aux besoins spécifiques des organisations.
La mise en conformité comme déclencheur pour gagner en efficacité et mieux partager en cybersécurité
La directive NIS2 peut stimuler l’innovation dans le secteur de la cybersécurité de plusieurs manières. Une transformation déterminante est d’aborder la cybersécurité en favorisant l’intégration et la consolidation des technologies et des sources de données, plutôt que de recourir à un patchwork de technologies isolées, responsables d’angles morts, incapables de générer une vision globale de la situation en matière de cybersécurité sur les postes de travail, les réseaux et les environnements cloud.
De cette façon, les organisations bénéficieraient d’une meilleure visibilité sur les menaces, pourraient les détecter plus rapidement et prendre des mesures correctives plus rapidement. Ce qui permettrait de réduire le risque potentiel qu’une cybermenace peut faire peser sur l’organisation, qu’il soit d’ordre réputationnel ou financier.
Cette approche permet également aux organisations de faire évoluer facilement leurs opérations de cybersécurité et d’automatiser de nombreuses tâches souvent réalisées manuellement, ce qui les aiderait à se conformer à NIS2 dans l’ensemble de l’organisation. De plus, grâce à une visibilité à 360 degrés et à des alertes en temps réel, les organisations seront beaucoup plus efficaces pour respecter les délais de signalement plus courts imposés par NIS2.
Pour répondre aux exigences de conformité de la directive NIS2, il sera également nécessaire d’adopter de nouvelles technologies et pratiques de cybersécurité, telles que des capacités avancées de détection des menaces et de réponse aux incidents. Le recours à l’IA et à l’automatisation peut réduire considérablement le temps et les ressources nécessaires pour répondre aux incidents de sécurité et garantir que les actions entreprises sont cohérentes et alignées sur les meilleures pratiques.
L’IA peut également fournir des services de sécurité avancés, par exemple en s’appuyant sur le filtrage et la prévention des menaces pour contrer les menaces sophistiquées basées sur le web, les menaces zero-day, les attaques furtives de type « command-and-control » et les détournements de DNS.
Enfin, l’objectif commun de se conformer à la directive NIS2 stimulera la collaboration et le partage des connaissances entre les organisations, les acteurs du secteur et les organismes de réglementation. La collaboration est un élément fondamental de l’innovation. L’échange de bonnes pratiques, de connaissances et de nouvelles technologies peut conduire à des avancées significatives dans le domaine de la cybersécurité.
L’accélération de l’évolution de la cybersécurité
Naturellement, les entreprises et les collectivités publiques s’inquiètent de leur capacité à répondre aux exigences de cette directive, d’autant plus que des amendes sévères et une responsabilité personnelle sont introduites comme sanctions. Cependant, le potentiel d’innovation dans le secteur de la cybersécurité est indéniable.
Les nouveaux besoins de sécurisation appelés par la directive NIS2, associés à l’accent mis sur la collaboration et le partage des connaissances, ouvrent la voie à la créativité dans le secteur de la cybersécurité, ce qui transformera radicalement le paysage global tel que nous le connaissons.
