Par
Jean-Michel Tavernier*, country manager France Armis
Tout au long du mois
d’octobre s’est tenu, en France et dans tous les pays de l’Union, le Mois
européen de la cybersécurité. Campagne de sensibilisation menée en France par
le dispositif national Cybermalveillance.gouv.fr, Cybermoi/s 2024 a l’ambition
de permettre de mieux comprendre les menaces cybers et leurs impacts. En dépit
d’une actualité géopolitique pour le moins vive, les nombreuses manifestations
menées par des acteurs publics, privés, associatifs sont parvenues à alerter
sur l’importance de la protection des personnes, des entreprises et des
infrastructures dites critiques (hôpitaux, ministères, mairies, industries...).
Ce que nous retenons
Lors du Conseil des
ministres du 15 octobre dernier, le ministre de l’Économie, des Finances et de
l’Industrie, le ministre de l’Enseignement supérieur et de la Recherche, et la
secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche,
chargée de l’Intelligence artificielle et du Numérique, ont présenté un projet
de loi relatif à la résilience des infrastructures critiques et au renforcement
de la cybersécurité.
Ce projet de loi
intervient dans un contexte géopolitique et sécuritaire qui a montré l’impact
des conséquences des cyberattaques pour l’intégrité des personnes, la stabilité
de l’économie et la protection des infrastructures vitales du pays et des pays de
l’Union. La France, par ce projet, transpose trois directives européennes
majeures nécessaires au renforcement des dispositifs de protection nationaux :
- La directive (UE)
2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des
entités critiques (dite directive « REC »), qui vise à améliorer la fourniture,
dans le marché intérieur européen, de services essentiels au maintien de
fonctions sociétales ou d’activités économiques vitales ;
- La directive (UE) 2022/2555 (dite directive
« NIS2 ») du Parlement européen et du Conseil du
14 décembre 2022, qui vise à assurer un
niveau commun de cybersécurité dans l’ensemble de l’Union européenne pour
certaines entités qualifiées comme essentielles ou importantes ;
- La directive (UE)
2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, accompagnant le
règlement DORA (Digital Operational Resilience Act), qui vise à améliorer les
exigences liées à l’encadrement des risques induits par l’emploi des
technologies de l’information et de la communication (TIC) dans le secteur
financier.
Avons-nous bien pris la
mesure de ces directives ?
Les initiatives
européennes en matière de cybersécurité, notamment NIS2 et DORA, fixent des
objectifs ambitieux pour réduire les risques cyber, mais elles ne suffisent pas
à traiter les changements culturels, de gouvernance et financiers dont les
organisations ont besoin pour réussir. NIS2, par exemple, vise à réduire les
pertes annuelles dues à la cybercriminalité de 11,3 milliards d’euros. Mais
pour atteindre ces objectifs, il faudrait augmenter le budget de la
cybersécurité de 22% pour les organisations nouvellement sélectionnées et de 12%
pour celles qui étaient auparavant concernées par la directive NIS actuelle.
DORA, dont la mise en
œuvre est prévue dans toute l'UE en janvier 2025, entend permettre aux entités
financières d’atteindre la résilience opérationnelle. Les organisations devront
par exemple se préparer à gérer les incidents cyber sans créer de rupture dans
la fourniture ou la qualité de service. Ceci implique non seulement de disposer
des technologies adéquates, mais aussi d’une gouvernance permettant à tous les
métiers et à tous les fournisseurs d’avoir une vision holistique du risque. Or,
nous le savons, les métiers sont pour la majorité cloisonnés ou ne parlent pas
le même langage en matière de cybersécurité.
Au-delà des annonces de
conformité, de véritables progrès en cybersécurité impliquent de relever ces
défis organisationnels et financiers. Des initiatives comme le Mois européen de
la cybersécurité doivent encourage les entreprises à mener des efforts continus.
Mais, plutôt que de supporter le coût d’une mise en conformité, la solution
pourrait être à trouver auprès d’un fournisseur tiers... Ce dernier devra être
en mesure de déployer des solutions avancées, offrant une intelligence des
actifs en temps réel, une analyse des vulnérabilités, une détection des menaces
et une remédiation alimentée par l'IA ; ainsi que des informations
contextuelles sur les incidents afin que les équipes de sécurité puissent
prendre des décisions éclairées en matière de gestion des risques. Cette
approche pourrait non seulement permettre de préserver les actifs critiques,
mais aussi d’assurer la pérennité des organisations.
__________________
*A propos de l’auteur. Country Manager France d’Armis, M. Jean-Michel Tavernier est rompu à la gestion et à la résolution de problématiques de cybersécurité pour des groupes français et internationaux. M. Tavernier fait ses premières armes auprès de sociétés internationales, à l’instar de Cisco, Juniper, Tufin, etc. Des expériences qui lui confèrent une connaissance étendue du marché et des enjeux stratégiques de la cybersécurité.