Les entreprises face au labyrinthe des nouvelles règlementations européennes en matière de cybersécurité

février 2024 par Jérôme Warot, Vice-président Technical Account Management, South EMEA chez Tanium

Pour les entreprises qui opèrent dans l’Union Européenne, l’obligation de mise en conformité avec les nouvelles directives NIS2 et DORA est synonyme de complexité supplémentaire. En effet, ces nouveaux cadres législatifs leur imposent d’adopter une approche proactive et flexible afin de gérer les risques cyber au sein de leurs environnements informatiques. Décryptage.

L’importance d’une mise en œuvre rapide et stable

Complémentaire à la directive NIS1, la nouvelle directive sur la sécurité des réseaux et des systèmes d’information NIS2 élargit son périmètre d’application à d’autres secteurs, comme les administrations publiques et la gestion des déchets. Quant au règlement sur la résilience opérationnelle numérique du secteur financier (DORA), il a pour but d’harmoniser les exigences relatives à cette industrie. Ensemble, ces deux directives obligent les entreprises à mettre en place des structures de gouvernance solides, à réaliser des analyses des risques cyber, à faire remonter à l’autorité nationale compétente tout incident cyber, et à utiliser des technologies appropriées pour sécuriser leurs systèmes informatiques.

Pour réussir l’implémentation de ce nouveau contexte réglementaire complexe, les organisations doivent donc faire preuve de stratégie. Leur succès passera entre autres par une supervision en continu, par l’exploitation de technologies d’automatisation et de renseignements sur les menaces, ainsi que par une étroite collaboration entre les équipes cyber, opérationnelles et tous les autres départements de l’organisation. La mise en place de partenariats avec des fournisseurs de services managés de sécurité (MSSP) peut également permettre de renforcer la résilience des systèmes informatiques en tirant parti de leur grande expertise.

Enfin, grâce à des plateformes flexibles de gestion des cyber-risques en alignement avec les exigences des directives NIS2 et DORA, les organisations pourront accroître leur cyber-résilience, tout en donnant la priorité à l’innovation et au développement de leurs opérations quotidiennes. Ainsi, en adoptant une approche proactive et collaborative, elles auront l’opportunité de profiter de l’avantage stratégique que leur confère leur conformité.

Cybersécurité : une conformité de plus en plus complexe

Avec l’introduction de ces deux législations, un grand nombre d’entreprises doivent s’adapter à un environnement réglementaire toujours plus complexe. DORA ajoute des exigences supplémentaires, en particulier pour les sociétés du secteur financier. Et dans certains cas, ces obligations devront être confrontées à des réglementations existantes.

De son côté, la directive NIS2 se base sur la politique NIS1 existante, et en élargit considérablement le champ d’application. Tout ceci nécessitera donc une grande capacité d’adaptation de la part de nombreuses organisations au sein de l’UE. DORA cible spécifiquement le secteur financier, et établit des normes contraignantes de cybersécurité qui s’appliquent également à bon nombre de prestataires de services informatiques de l’industrie.

Pour les entreprises concernées, ces deux règlements représentent donc un facteur de complexité supplémentaire.

Une approche stratégique pour une bonne gestion des risques cyber

Pour faire face aux obligations liées à ces nouvelles réglementations, les entreprises seraient bien avisées d’élaborer en amont une approche stratégique et proactive de gestion des risques cyber. Celle-ci devrait notamment inclure les éléments suivants :

Une surveillance constante et accrue de la sécurité du système d’information, afin d’identifier les risques et incidents à un stade précoce

L’automatisation des processus grâce à des technologies modernes, afin de gagner du temps et d’utiliser les ressources humaines en priorité sur les actions à forte valeur ajoutée

Des renseignements sur les menaces (threat intelligence), afin d’identifier rapidement les nouveaux risques et se protéger proactivement contre ces derniers

Une coordination et une coopération étroites entre les équipes de cybersécurité, opérationnelles, et les autres équipes métiers, afin d’avoir une vision globale des risques cyber

Des partenariats avec des professionnels de la sécurité des systèmes d’information, afin de favoriser le transfert de connaissances grâce à des services de sécurité managés

L’introduction de structures de gouvernance cohérentes afin de respecter les obligations légales

Des analyses régulières des risques cyber afin d’identifier les vulnérabilités plus rapidement

La mise en place de processus de réponse aux incidents, et l’échange d’informations au sujet de ces incidents

Il n’existe pas de solution universelle. Pour s’adapter à ces nouvelles réglementations, les organisations doivent adopter une approche holistique et proactive vis-à-vis des risques cyber. Tout ceci peut être réalisé grâce à une utilisation ciblée de technologies modernes, à une étroite coopération entre l’ensemble des départements, et en impliquant des partenaires expérimentés. Pour les entreprises, convertir cette complexité réglementaire en avantage compétitif est aussi un moyen de développer leur cyber-résilience. Charge à elles de s’y atteler.