Cet article fait partie de notre guide: Les grands défis Post-RGPD

NIS 2 : pour les DPO, après le RGPD la cybersécurité

Lors de l’Université des DPO organisée par l’AFCDP, le directeur adjoint de l’ANSSI a anticipé un élargissement du rôle des responsables de la protection des données au-delà du RGPD, vers la sécurité, conséquence des implications de la nouvelle version de la directive européenne NIS.

Le colonel Emmanuel Naëgelen l’avoue bien volontiers. Avant de prendre la parole devant un parterre de DPO, le nouveau directeur adjoint de l’ANSSI, invité par l’AFCDP, n’avait qu’une vision « un peu lointaine » de ce que pouvait être cette fonction de Délégué à la Protection des Données.

« La préparation que j’ai menée avant de venir a été édifiante. Elle m’a fait réaliser que je vivais manifestement dans l’ignorance de toute une communauté professionnelle, avec laquelle, pourtant, j’aurais dû avoir des relations très fortes », a-t-il commencé à avouer, avant de continuer « j’ai vraiment réalisé à quel point nos destins sont liés. »

DPO et RSSI sont dans un bateau

De manière assez naturelle, la protection des données passe en effet par la cybersécurité. Les uns (DPO) et les autres (RSSI) sont donc amenés à se croiser. Et de plus en plus.

« DPO et RSSI ont sacrément intérêt à se serrer les coudes s’ils ne veulent pas se faire passer par-dessus bord par les pirates. »
Emmanuel NaëgelenANSSI

« Avec la multiplication des attaques cyber, les RSSI et les DPO sont souvent dans le même bateau », confirme Emmanuel Naëgelen.

« Ils ont aujourd’hui sacrément intérêt à se serrer les coudes s’ils ne veulent pas se faire passer par-dessus bord par les pirates… ou par leurs patrons », plaisante-t-il dans une moue taquine.

Dans certaines organisations, les deux rôles sont d’ailleurs assumés par la même personne.

« RSSI le jour, et DPO la nuit. Ou vice-versa », résume le colonel, là encore dans un sourire.

NIS 2 : un RGPD de la cybersécurité

Cette communauté de destins entre DPO et RSSI devrait se renforcer encore davantage avec la révision de la directive européenne NIS, publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne (NIS 2). Le compte à rebours est en tout cas lancé. Chaque État a 21 mois – 19 à date de publication de cet article – pour la retranscrire dans son droit national.

Pourquoi NIS 2 risque-t-il de transformer en profondeur la fonction de DPO et son rapport à la sécurité ?

« L’esprit est d’aller vers une cybersécurité de masse […] C’est une directive aussi ambitieuse que le RGPD. »
Emmanuel NaëgelenANSSI

D’une part, parce qu’elle élargit considérablement l’éventail des organisations concernées, et donc augmente le nombre de DPO pour lesquels les employeurs vont avoir des contraintes légales de sécurité. « L’esprit est d’aller vers une cybersécurité de masse », synthétise Emmanuel Naëgelen.

Concrètement, de 6 secteurs d’activité régulés dans NIS 1, NIS 2 passe à 23 secteurs.

D’autre part, la directive ne cible pas que les grands groupes ou les administrations centrales. Elle concerne à présent également les PME, les ETI, et toutes les collectivités territoriales.

Toutes ces organisations publiques comme privées « vont devoir revoir et améliorer la cybersécurité de leurs SI, avec évidemment des niveaux d’exigences adaptés », prévient le Directeur adjoint de l’ANSSI. « Nous allons passer de 500 opérateurs régulés, que nous suivons de manière assez fine à l’ANSSI, à plus de 10 000 », chiffre-t-il. « C’est une directive aussi ambitieuse que le RGPD ».

L’ANSSI aussi s’adapte à NIS 2

Au passage, comme l’ANSSI ne peut suivre de manière proche un aussi grand nombre d’entités, l’agence va continuer son évolution, entamée il y a deux ans, vers une approche « à la fois réticulaire et servicielle » (sic).

En clair, « réticulaire » pour une approche qui se veut pragmatique, avec un travail en réseau et de proximité : mise en place de centres régionaux (CSRIT) et de centres de réactions cyber (CERT) dans des secteurs comme le maritime (les deux, grâce à France Relance), création d’un Groupement d’Intérêt Public Action contre la Cybermalveillance en 2017 (pour conseiller les particuliers et les TPE/PME), ou encore la nomination de référents préfectoraux en sécurité numérique depuis 2022.

Et « servicielle » pour des services en ligne « les plus simples et les plus automatisés possibles, pour permettre au plus grand nombre d’en profiter ».

L’ANSSI se voit également dotée d’un vrai pouvoir de sanction (elle en avait déjà un, mais dans les faits, l’agence ne l’appliquait pas – confie Emmanuel Naëgelen) pour « les cas extrêmes » de non-respect des exigences de NIS 2. Tout comme pour le respect du RGPD – suivi par la CNIL –, pas question de compter sur une impunité de l’inaction.

NIS 2 plonge les DPO dans la cybersécurité

NIS 2 va modifier la fonction de DPO d’autre part (et surtout), parce qu’avec la directive, le risque cyber ne peut plus être considéré seulement comme un problème technique, géré par la DSI. Il devient aussi, et sans équivoque, un risque juridique.

Or « le positionnement [des DPO] est très intéressant : vous êtes à la croisée du technique et du juridique », constate Emmanuel Naëgelen. « Pour nous, cela préfigure peut-être la manière dont, demain, les questions de cybersécurité seront abordées ».

« Le positionnement [des DPO] est très intéressant : vous êtes à la croisée du technique et du juridique. »
Emmanuel NaëgelenANSSI

Depuis plusieurs années, les DPO sont effectivement en première ligne pour traduire concrètement en interne les évolutions juridiques sur les données (le RGPD bien sûr, mais aussi celles à venir, que le Président de l’AFCDP, Paul-Olivier Gibert appelle les « les textes en “A” » – les différents Acts européens – qui constituent un nouveau « droit de la data »).

Ce travail de mise en application interne et d’outillage sera, a priori, le même pour les exigences légales de cybersécurité. « Nous aurons peut-être demain un nouveau champ de compétence pour les DPO, qui ne seront plus là que pour le RGPD, mais qui auront aussi dans leurs besaces l’application de la directive NIS », entrevoit le colonel.

« La communauté des DPO est un puissant relais […] pour nous aider à faire comprendre que la cybersécurité n’est pas qu’un problème technique ni le problème des autres, mais un problème à prendre en compte par chaque direction, pour mesurer les risques opérationnels ou juridiques que chacun est prêt à prendre ou pas », conclut-il en envisageant même qu’avec NIS 2, « dans quelques années, ces deux fonctions [de RSSI et de DPO] puissent fusionner ; ce qui pourrait être vu – en tout cas c’est mon avis – comme une avancée de la maturité dans nos organisations ».

Les trois mesures clefs de l’ANSSI pour assurer votre cybersécurité :

Emmanuel Naëgelen l’assure. La cybersécurité d’une organisation se renforce drastiquement en appliquant trois mesures (assez) simples. « Ce sont des mesures basiques, mais qui ne sont pas, hélas, complètement généralisées » :

  1. Appliquer les patchs de sécurité (« Ce sont quasiment toujours des vulnérabilités documentées, et souvent depuis longtemps, qui sont attaquées », insiste le responsable de l’ANSSI).
  2. La MFA (« il y a deux catégories de victimes, celles qui ont mis en place l’authentification multifacteur, et pour celles-là, généralement l’attaque ne va pas très loin. Et puis il y a les autres », avertit le Colonel)
  3. Des sauvegardes hors ligne (« là encore, il y a deux mondes. Il y a ceux qui ont des sauvegardes hors ligne, et ils arrivent généralement à se rétablir rapidement. Et puis il y a les autres, qui se rétablissent après de longues semaines… voire jamais »).

Pour approfondir sur Réglementations et Souveraineté

Close