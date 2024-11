Nouvelles règlementations cyber européennes : entre défis et opportunités pour les organisations !

novembre 2024 par Marc Jacob

« Les enjeux et les effets de la transposition des directives et règlements européens » était le tire de la table ronde animée par Valentin Jangwa, de Global Security Mag avec le concourt de Marion Buchet directrice du CERT aviation, Jeremy Schwalb, RSSI de Roquette et Maître Olivier Iteanu, lors de l’édition 2024 du Tech Show qui s’est déroulé à Porte de Versailles (Paris). Nous intervenant ont mis en exergue les défis pour les entreprises et les organisations mais aussi les opportunités.

Olivier Iteanu et Jeremy Schwalb

Valentin Jangwa a demandé à Olivier Iteanu de dresser le cadre des directives et règlements européens. En préambule Olivier Iteanu a rappelé que dans les années 70 le slogan d’une publicité était « en France on a pas de pétrole mais on a des idées » aujourd’hui mais aujourd’hui on a en plus des réglementations en Europe avec Dora, NIS2, IA Act le CRA... En ce qui concerne le secteur financier DORA s’applique directement sans transposition car la finance a l’habitude d’appliquer ce genre de règlements. Pour Olivier Iteanu il y a de plus en plus de réglementation ce qui l’amène à dire que « le trop de droit tue le droit ». Il rappelle que le nombre de délit sur le net est plus important que le vol de voiture. Pour lui il aurait mieux valu travailler sur une coopération entre les polices européennes que de rajouter des pages de droits. Ainsi, avec NIS2 il va falloir que les entreprises haussent leur niveau de sécurité sous peine d’amendes conséquentes.

Jeremy Schwalb explique pour sa part que son entreprise est concernée par NIS2 du fait des différents critères requis. Selon Jeremy Schwalb il semblerait que ce nouveau règlement ait plusieurs cause : soit le constat d’un échec de la cybersécurité ou est-ce une résultante du COVID ou encore les événements géopolitiques qui nous amène à repenser notre système de protection.

Valentin Jangwa NIS2 est-ce une source de contrainte ou une nouvelle opportunité ?

Pour les opportunités et contraintes Jeremy Schwalb estiem que l’on va en avoir dans la gestion des ressources. « De ce fait, il va falloir faire une analyse de risques de nos fournisseurs et de mêmes pour nos clients ». Par contre, Jeremy Schwalb voit de nombreuses opportunités en particulier sur les services apportés par les consultants pour les PME. On peut espérer arriver à une homogénéisation des sociétés de scoring. C’est aussi une bonne opportunité pour les systèmes d’IA et d’automatisation. Enfin c’est aussi une opportunité pour la résilience collective. On va pouvoir sécuriser cette supplychain chaîne. Ainsi, le RSSI va devoir donner le tempo à cette mise en conformité qui va durer environ trois ans.

Olivier Iteanu, rebondit pour lui, il y a tout de même des contraintes très importantes toutefois c’est aussi une opportunité pour que les entreprises demandent à leur fournisseurs de se mettre en conformité. Ainsi, il y a peut-être l’opportunité pour les entreprises de reprendre la main et avoir un avantage concurrentiel pour les européens. Par contre les entreprises européennes vont devoir mettre en avant leur effort de mise en conformité.

Valentin Jangwa et Marion Brunet

De son côté, Marion Brunet considère ces règles comme des opportunités car elles vont permettre d’impliquer des entreprises dans la cybersécurité. Elle rappelle que la France a un rôle assez moteur en Europe sur ce sujet. En effet, la France est le seul pays d’Europe à avoir un CERT Aviation.

Dans les trois objectifs de NIS2, il y a la notification à l’ANSSI qui va devoir gérer plusieurs milliers d’entreprises au lieu de 700 aujourd’hui explique Marion Brunet. L’ANSSI va ainsi devoir agréer des organisations de confiance comme les CERT. De ce fait, les PME vont pouvoir trouver aisément des contacts de proximité.

Il semble que le texte sera sur la table du Sénat prochainement pour être adopté semble-t-il en février 2025.

Valentin Jangwa : Olivier Iteanu, comment le cabinet d’avocat peut accompagner les entreprises concernées ?

Le cabinet pourra accompagner les entreprises en revoyant les contrats explique Olivier Iteanu. Il rappelle que la CNIL ou l’ANSSI ne sont pas un tribunal, ce sont des entités qui constatent la non-conformité et ne sont pas habilité à prononcer des sanctions. L’ANSSI aura pour tâche d’aiguiller les entreprises pour qu’elles puissent se mettre en conformité. Il faut donc que les entreprises démarrent d’ors et déjà cette démarche.

Concernant DORA qui arrive le 17 janvier 2025 avec une directive et un règlement associé et qui va s’appliquer directement. Olivier Iteanu, la norme 27001 est très proche de DORA donc il n’y aura pas beaucoup de changement pour les établissements financiers.

Pour Marion Buchet, cela fait deux ans que l’on parle de NIS2 avec les fournisseurs. Aujourd’hui on n’est pas dans des concepts ésotériques mais il y a des éléments concrets à mettre en œuvre. De plus l’ANSSI se veut être plus un guide pour aider les entreprises à se mettre en conformité

Jeremy Schwalb explique que la directive NIS2 va améliorer l’hygiène collective. Par contre, il y a des subtilités comme par exemple est-ce que la défaillance qu’un fournisseur quel qu’il soit va avoir un impact sur ma production. La société va devoir créer des assets en fonction de la production. Il va falloir prioriser en fonction de l’impact d’une défaillance.

Le CERT Aviation va proposer des formations sur ce thème rappelle Marion Brunet.

Olivier Iteanu, estime que les entreprises peuvent s’auto-évaluer et s’auto-qualifier tant exemples mêmes que leur fournisseurs. Aujourd’hui les entreprises concernées sont les plus de 50 sauf que pour certains cas où de plus petites PME peuvent être retenues dans le score de NIS2 sur décision gouvernementale.

Valentin Jangwa conclut en rappelant que les entreprises ont intérêt à débuter dès à présent à travailler sur NIS2.