NIS 2 : quelle portée sur le SI des organisations concernées ?
L’arrivée prochaine de la transposition en droit français de la directive NIS 2 génère naturellement questions et inquiétudes quant à l’étendue des systèmes concernés et… au coût de mise en conformité.
« C’est l’autre question primordiale et qui deviendra certainement un sport national, à savoir comment exclure mes SI d’une mise en conformité ? », ironisent Aurélia Delfosse et Nicolas Pierre, experts conformité chez Advens.
Manque de chance, pour ceux qui seraient tentés d’essayer de glisser leurs systèmes d’information entre les mailles des filets réglementaires, « la directive est plutôt claire sur ce point, si vous êtes concernés : ce sont tous vos SI qui le sont, et pas uniquement ceux visés par l’activité ». Et ça, c’est une très importante nouveauté par rapport à la LPM de 2013 et à NIS 1 : « oubliez donc la logique de vouloir restreindre au minimum la conformité, c’est peine perdue ».
De son côté, l’Agence nationale de la sécurité des systèmes d’information (Anssi) explique que « la directive prévoit la mise en œuvre de mesures techniques, organisationnelles et opérationnelles sur l’ensemble des SI contribuant au fonctionnement de l’entité, ainsi que sur l’ensemble des SI contribuant à la fourniture des services de l’entité ». Des mesures qui seront également précisées en droit national.
Un pilotage par le risque… mais pas sans risque
Mais les experts d’Advens, ainsi que Rayna Stamboliyska, fondatrice de RS Strategy, et Garance Mathias, avocate Associée chez Mathias Avocats, insistent sur une spécificité : la logique de gestion des risques.
Garance Mathias y voit un potentiel défi pour certaines organisations : « l’entreprise ou la collectivité va devoir mener un audit du risque informatique qu’elle supporte et se mettre en conformité par rapport à ce niveau de risque directement lié à son secteur d’activité, son organisation, sa taille ». Et ça, « c’est une approche qui sera nouvelle pour de nombreuses structures ».
Aurélia Delfosse et Nicolas Pierre y voient une opportunité « sur laquelle vous pourrez vous appuyer pour éventuellement aider à prioriser, et c’est plutôt cet axe qu’il faut utiliser et investiguer dès maintenant ».
Prudente, Rayna Stamboliyska mesure le risque d’approches « beaucoup trop centrées sur la gouvernance, sans pour autant qu’il y ait une descente concrète en ruissellement […] vers le très technique ». Sans oublier la capacité de retour des informations des personnels techniques vers ceux chargés de la conformité.
Un coût variable…
L’Anssi estime que « le coût de la mise en place de ces mesures dépendra de l’état actuel du niveau de sécurité numérique de l’entité. Si certaines sont déjà bien avancées en la matière, il faudra mener pour d’autres des actions de sécurisation renforcées ».
« Tous ceux ayant déjà investi correctement atteindront sans effort la conformité et sans (trop) de surcoût. »
Aurélia Delfosse et Nicolas PierreExperts Advens
Chez Advens, Aurélia Delfosse et Nicolas Pierre estiment que « les mesures imposées sont de l’ordre du classique », et qu’il est déjà possible de « s’évaluer sur des référentiels connus, ou ressortir des feuilles de route inachevées ».
Il n’en reste pas moins que « le coût de la mise en conformité sera propre à chacun et dépendant de sa propre maturité ». Dès lors, « tous ceux ayant déjà investi correctement atteindront sans effort la conformité et sans (trop) de surcoût ». Mais pour les autres… « vous pouvez commencer à ajouter des lignes budgétaires ». Et justement, pour beaucoup, cela risque de ne pas être négligeable.
Jamal Basrire, Partner, Leader for Cyber & Cloud Transformation pour PwC France & Maghreb, relève ainsi que dans les évaluations que l’on peut faire des capacités de détection et de réponse […], on n’est pas encore à un niveau moyen satisfaisant pour se dire qu’on est en capacité de répondre à des attaques très sophistiquées. Le niveau moyen est quand même assez faible, même s’il y a quelques champions sur le marché ».
… Mais potentiellement élevé (ou pas)
Gérôme Billois, partenaire chez Wavestone, souligne toutefois des différences potentiellement marquées en fonction de « son secteur d’activité, de la structure et de son degré de numérisation ».
« Il est possible de faire beaucoup de choses avec des moyens très limités ».
Gérôme BilloisPartenaire, Wavestone
Ainsi, explique-t-il, « certaines PME industrielles reposent sur très peu de numérique. Elles n’auront pas du tout les mêmes efforts à faire qu’une entreprise spécialisée dans la fourniture de service numérique ». Mais il relève toutefois qu’il est possible de « faire beaucoup de choses avec des moyens très limités », car aujourd’hui, « de nombreux services de sécurité peuvent être activés dans le cloud ». Et de citer notamment « l’authentification forte, les moyens de protection déjà fournis avec l’OS ». « De nombreux équipements ou systèmes en place disposent déjà de fonctions de sécurité bien souvent désactivées ou méconnues. Il est possible d’activer beaucoup de choses à un coût relativement léger, des choses qui peuvent améliorer le niveau de sécurité ».
Pour Gérôme Billois, « plutôt que d’acheter systématiquement des solutions nouvelles, il faut se livrer à une phase de réflexion pour exploiter déjà au maximum les solutions déjà en place ».
Pour approfondir sur Réglementations et Souveraineté
