Entre les récentes directives de la SEC américaine et la refonte de la directive NIS en Europe (NIS 2), la réglementation en matière de cybersécurité s’intensifie. Quels en sont les impacts sur les entreprises et comment les RSSI peuvent-ils naviguer dans ce labyrinthe réglementaire ?
Vous avez déjà entendu quelqu’un se plaindre d’un manque de réglementation et de protocoles de sécurité dans son secteur ? Moi non plus.
Directives, règlements, normes de sécurité… Les pouvoirs publics imposent tout un tas de mesures pour garantir une certaine cohérence des pratiques de cybersécurité. Alors, mal nécessaire ou contrainte inutile ? La réponse dépendra certainement de votre rôle et de la lourdeur du cadre réglementaire en vigueur dans votre secteur.
Certaines entreprises veulent simplement s’assurer d’être dans les clous. Pour elles, respecter chacune de ces obligations – et le prouver ! – est un exercice chronophage, coûteux et extrêmement frustrant. D’autres, en revanche, voient dans ces règles une boussole qui les guidera dans la configuration et l’implémentation de leurs contrôles de sécurité. À la clé : une protection renforcée de l’infrastructure, des informations sensibles et des données clients.
Cybersécurité et réglementation : les autorités haussent le ton
Depuis quelques semaines, tous les projecteurs sont braqués sur les États-Unis. La raison de cette attention ? La nouvelle réglementation de la Securities and Exchange Commission (SEC) qui a fait l’effet d’une bombe dans le monde de la cybersécurité : pour la première fois, les comités exécutifs (Comex) et conseils d’administration des entreprises cotées en bourse peuvent faire l’objet de poursuites en cas de cyber-incident.
Au premier abord, cela peut sembler une bonne idée. Une mesure aussi drastique ne peut qu’obliger les entreprises à prendre la cybersécurité plus au sérieux. En revanche, certains volets ne manqueront pas de provoquer des crispations. Par exemple, l’obligation de soumettre un rapport détaillé de chaque incident jugé « sérieux » dans un délai de 4 jours risque de donner quelques sueurs froides aux RSSI !
En tant qu’Européens, nous aurions cependant tort de nous réjouir trop vite, car de ce côté-ci de l’Atlantique aussi, les autorités serrent la vis. C’est donc maintenant que les entreprises doivent se préparer au changement.
Au mois de janvier 2023, soit 7 ans après l’entrée en vigueur de la directive NIS (sécurité des réseaux et des systèmes d’information, aussi appelée « SRI » en français), l’Union européenne annonçait une grande refonte de son texte. Sobrement intitulée NIS 2, la nouvelle mouture étend le périmètre d’action de la directive initiale pour homogénéiser les pratiques cyber et établir des normes communes en matière de sécurité et de gestion des risques. L’objectif ? Coordonner les actions de réponse des secteurs et des entreprises à l’échelle de tous les États membres via un réseau central baptisé « EU CyCLONe ». Et la date butoir approche. Tous devront se mettre au diapason avant le 17 octobre 2024.
Impacts et enjeux
Désormais, les entreprises de plus de 50 employés enregistrant un chiffre d’affaires supérieur à 10 M€ doivent établir un plan de sécurité et un processus de gestion des risques pour réagir rapidement en cas d’incident de cybersécurité. Autre nouveauté, la directive fait maintenant la distinction entre les « secteurs hautement critiques » et les « autres secteurs critiques ».
On retrouve pour la première fois dans la deuxième catégorie les fournisseurs de services cloud (CSP) et d’autres acteurs du numérique comme les marketplaces et les moteurs de recherche.
Les entreprises doivent donc prendre les devants, et vite, si elles veulent échapper aux sanctions financières et éviter les perturbations de leur activité. Elles sont également tenues de signaler tout incident ou cybermenace à l’autorité nationale compétente dans un laps de temps de 24 heures, puis divulguer cet incident au public dans les 72 heures suivant sa survenance.
Et si ces délais draconiens ne sont pas respectés, les dirigeants des entreprises fautives s’exposent (comme avec le RGPD) à une amende pouvant aller jusqu’à soit 10 M€, soit 2 % du chiffre d’affaires annuel, pour les entités essentielles (EE). Pour les entités importantes (EI), la sanction peut s’élever à soit 7 M€, soit 1,4 % du chiffre d’affaires annuel. Dans les deux cas, le montant le plus élevé est retenu.
Investir intelligemment
Toutes ces réglementations (directive de la SEC aux États-Unis, NIS 2 en Europe) poursuivent un seul et même objectif : encourager les RSSI – ou les fonctions équivalentes – à transmettre régulièrement des rapports de risque à leur hiérarchie en interne. Fini les promesses de façade. Les entreprises doivent joindre le geste à la parole et investir en espèces sonnantes et trébuchantes dans tous les domaines de la cybersécurité : réduction des risques, réponse à incident, protection des données, sécurité de la supply chain et des environnements cloud, etc.
Les RSSI sont confrontés à un défi de taille. Quel que soit l’état d’avancement de leur migration cloud, ils devront intégrer et opérationnaliser les capacités de détection nécessaires pour repérer les attaques, tout en se conformant aux exigences de reporting imposées par NIS 2 et la SEC. Pourtant, la CSPM ne suffit pas ! Aujourd’hui, les entreprises cotées aux États-Unis et toutes celles concernées par NIS 2 ne peuvent plus uniquement compter sur les outils de gestion de la posture de sécurité cloud (CSPM). Elles doivent intégrer des capacités de détection et recruter les talents pour les opérationnaliser.
Autre difficulté, face à la recrudescence des cybermenaces, les organisations ont tendance à accumuler les solutions de sécurité – les produits CSPM n’étant que le énième élément d’une longue liste. Résultat, les équipes doivent corréler manuellement une multitude d’alertes et d’artefacts provenant de dizaines de tableaux de bord différents. Impossible, dans ce contexte, de se conformer aux règles strictes imposées par l’UE et la SEC. D’autant que cette approche n’a rien de viable sur le plan financier, et ce à l’heure même où les budgets sont en berne malgré l’entrée en vigueur de la nouvelle directive. Pour leurs solutions de cybersécurité, les RSSI doivent donc privilégier l’efficacité à la quantité pour alléger la charge de travail de leurs équipes.
____________________________
Par Alexandre Pierrin-Neron, Regional Vice-President EMEA chez Lacework