La mise en conformité avec NIS2 et DORA est imminente, soulignant l’importance accrue de la cybersécurité. Cependant, pour véritablement progresser, il faut allier réglementation et innovation, afin de dépasser le statu quo et anticiper les futures avancées technologiques. Bref, allier la clairvoyance à la cybersécurité.
Les dates limites de mise en conformité avec la directive NIS2 et la loi sur la résilience des opérations numériques (DORA) approchent à grands pas. La réglementation concernant la cybersécurité est désormais au centre des préoccupations de nombreuses entreprises. Les initiatives NIS2 et DORA sont des avancées prometteuses pour l’Europe en termes de cybersécurité. Cependant, pour vraiment transformer le paysage mondial de la cybersécurité, un ingrédient essentiel semble manquer : la clairvoyance. Certes, la réglementation répond à des besoins spécifiques, mais cela ne veut pas dire qu’elle ne peut pas être visionnaire. Actuellement, les leaders de l’industrie se retrouvent souvent démunis face aux nouvelles technologies et sont confrontés à un défi majeur car l’innovation évolue plus rapidement que la réglementation.
Guidés par l’incertitude
Si les récents débats à Davos nous ont appris une chose, c’est que les responsables informatiques et politiques inscrivent la réglementation dans leur feuille de route par peur, et non par volonté de changer. Ce qu’ils oublient de prendre en compte, c’est que la réglementation et l’innovation peuvent travailler de pair pour nous faire avancer à un rythme beaucoup plus rapide et à moindre risque. Le processus de réglementation est cyclique : il repose sur une norme qui évolue sous l’effet d’une technologie existante et est donc, à bien des égards, prévisible. D’ailleurs, la 5G basée sur l’IA illustre bien le type de technologie qui nécessitera une nouvelle réglementation, d’autant plus qu’elle évolue vers la 6G et une série de nouvelles fonctionnalités.
La réglementation joue un rôle actif dans le développement de la technologie car elle permet aux entreprises de passer de la simple réponse à un incident à une planification stratégique plus complexe. Cependant, il faut bien reconnaître que la réglementation ne les incite pas à innover. Au contraire, elle les oblige simplement à respecter le statu quo.
La véritable innovation vient des acteurs du marché et des dirigeants qui revoient intégralement leur copie pour gagner en compétitivité et obtenir de meilleurs résultats. Une entreprise spécialisée dans la fabrication de produits alimentaires et de boissons accordera généralement la priorité aux technologies qui amélioreront ses processus de production plutôt que sa sécurité. Mais avec une perspective aussi restreinte, ne passera-t-elle pas à côté d’une véritable opportunité ? Les entreprises concernées ont souvent tendance à considérer la réglementation comme un simple moyen de se conformer au système, plutôt que de réfléchir à la façon dont elle pourrait les aider à moderniser leurs opérations et à créer de nouvelles opportunités. Elles ont tendance à l’appliquer seulement après un « moment Titanic » qui provoque le naufrage du bateau alors qu’il était censé être insubmersible, ou parce que sans ces dispositions réglementaires imposées, elles risquent de ne pas être en conformité. Dans ce contexte, la réglementation agit comme un catalyseur pour accélérer le développement technologique des entreprises, leur priorité première étant de rester opérationnelles, de vendre, de fabriquer et de gérer d’autres aspects commerciaux non liés à la sécurité.
Un esprit visionnaire
Effectivement, la réglementation joue un rôle important pour faire avancer les connaissances et la compréhension, et pour établir un plus grand nombre de limites, de contrôles et de rapports. Mais à elle seule, elle ne peut pas aider les entreprises à suivre le rythme de l’évolution technologique et de l’innovation auquel nous sommes actuellement confrontés.
Dans l’état actuel des choses, il est peu probable que la réglementation contribue à améliorer la sécurité dans le monde. Sans une vision à long terme et sans encourager l’innovation, elle n’arrivera jamais à faire adopter le type de sécurité globale qui nous permettra de dépasser le statu quo. Bien qu’elle serve à protéger les entreprises moins portées sur la résolution de problèmes et plus soucieuses d’aller de l’avant, elle ne suffit certainement pas à faire bouger les choses à plus grande échelle.
Pour que nous puissions réellement laisser libre court à l’innovation dans le domaine de la cybersécurité, elle doit s’accompagner d’une réglementation qui incitera les entreprises à se moderniser au rythme des nouvelles technologies. Cela exigera beaucoup de clairvoyance, mais les dirigeants ne peuvent pas se cantonner au statu quo si les dix prochaines années sont à l’image des précédentes.
____________________________
Par Nathan Howe, directeur de l’innovation chez Zscaler
puis