- Accueil
- Cybersécurité
- De la cybersécurité à la résilience : au cœur des transpositions REC, DORA & NIS2
De la cybersécurité à la résilience : au cœur des transpositions REC, DORA & NIS2
L’ année 2022 a marqué une étape cruciale pour l’harmonisation des normes cyber en Europe, avec l’adoption des trois directives majeures NIS 2, DORA et REC. L’année 2025 sera donc « une année règlementaire », estime Arnaud Martin (CESIN). Des dizaines de milliers d’entreprises et leurs fournisseurs sont en effet concernées par ces directives, qui visent non seulement à augmenter le niveau de cybersécurité de l’Union européenne, mais aussi à impliquer les équipes dirigeantes des entreprises, désormais tenues responsables de la résilience de leurs organisations.
L’effet recherché : une robustesse systémique
Pourtant, la cybersécurité demeure « une terra incognita pour la majorité des dirigeants, qui en ont une connaissance faible, contrairement aux normes environnementales », observait Maxence Demerlé, directrice numérique du Medef. Ce manque d’acculturation aux enjeux cyber se double pour la majorité des entreprises d’un manque de compétences et de budget : « 85 % des organisations ont un budget informatique de moins de 5000 € », poursuivait Maxence Demerlé. Ce manque de moyens est encore plus critique pour les petites organisations : « Que faire pour accompagner les TPE ? », interrogeait ainsi la représentante du Medef. « Nous avons besoin de clarification et d’harmonisation. » Dans la salle, une auditrice relèvera de même le besoin d’un « guichet cyber unique ».
Autant d’enjeux pour lesquels la sénatrice Vanina Paoli-Gagin, vice-présidente de la commission spéciale dédiée à la transposition des directives cyber, se voulait rassurante : « Nous travaillons à une transposition heureuse. Nos entreprises ont besoin de souplesse et de délais. N’oublions pas que l’objectif premier de ces directives, c’est que nous atteignions collectivement une robustesse systémique. »
Un risque de pénurie des prestataires qualifiés ?
Ce travail de transposition ne s’est pas fait sans consultation de l’écosystème concerné. Comme le rappelait Arnaud Martin, directeur des risques à la Caisse des Dépôts et membre du conseil d’administration du CESIN, « sur les mille RSSI que compte le CESIN, 150 ont participé aux travaux NIS2. Si pour 90 % d’entre eux les exigences de la directive sont claires, 30 % sont dans l’incapacité de savoir s’ils y sont assujettis. Par ailleurs, 7 RSSI sur 10 estiment que NIS2 ne sera pas simple à appliquer, notamment parce que les budgets règlementaires se font concurrence au sein des entreprises. » Le même problème se pose pour la disponibilité des prestataires qualifiés : la plupart ayant « mis la priorité sur DORA », l’offre ne risque-t-elle pas « de manquer pour NIS2 » ?
En effet l’application de la directive DORA, qui s’applique au secteur bancaire, semble bien avancée. Ne serait-ce que parce que le secteur est particulièrement encadré (notamment par l’ACPR) et dispose de moyens conséquents. Le coût de DORA est pourtant considérable pour les entités assujetties : « 10 millions d’euros pour un grand établissement bancaire », estime ainsi le représentant du CESIN. En effet, « DORA repose sur 148 mesures, qui touchent jusqu’à 6 directions dans les organisations concernées. La directive délimite un cadre clair et strict, imposant l’implication et la formation des comex et des salariés, la réalisation de tests de résilience et un véritable management des tiers. »
Des « mammouths législatifs » pour combler un vide règlementaire
La Commission européenne est aussi entrée dans « un niveau de détails très élevé » pour son règlement d’exécution Rex NIS 2 du 18 octobre dernier, qui s’applique directement aux fournisseurs de services numériques critiques (cloud, centres de données, DNS). Le régulateur instaure ainsi « un régime draconien pour les infrastructures du numérique » observait maître Marc-Antoine Ledieu. Concrètement, les exigences du règlement d’exécution recoupent « les 42 mesures d’hygiène de l’ANSSI, en plus détaillées : approche zéro trust, segmentation des réseaux, gestion des identités et des accès, authentification multifactorielle, analyse de risques, etc. »
« Ces mesures sont assorties d’une procédure de notification des incidents (un rapport aux régulateurs sous 24h, 72h et 30 jours) ainsi que d’une obligation de prévenir ses clients B2B). », poursuivait l’avocat. On peut s’étonner de la lourdeur de ces mesures pour les organisations et leurs fournisseurs : mais pour Marc-Antoine Ledieu, le caractère massif de ces « mammouths législatifs » s’explique aisément.
« Pendant 50 ans, il n’y a pas eu de législation cyber. Or, entretemps, la cybercriminalité est devenue une activité extrêmement rentable et elle s’est industrialisée à l’échelle mondiale. »
La majorité des attaques réussissent grâce à des failles basiques
C’est ce décalage entre le faible niveau de sécurité informatique des organisations et la détermination des attaquants, qui explique aujourd’hui l’explosion des cyberattaques réussies et des fuites de données. D’autant plus dans un contexte géopolitique tendu. C’est ce constat qui a motivé en 2017 la rédaction du célèbre guide d’hygiène informatique de l’ANSSI, dont les 42 mesures ont été édictées pour répondre à la plupart des vulnérabilités constatées par l’agence lors de ses interventions.
Thomas Gayet, ancien responsable de CERT chez Lexsi (Orange Cyberdéfense) et Digital.Security (Eviden), et CEO de l’agence de cybernotation Scovery, en témoignait lui-même d’expérience. « La plupart des intrusions sont basiques. Sur les 300 interventions que j’ai pu réaliser dans ma carrière, dans 75 % des cas, les attaquants ont profité de failles dans des mesures d’hygiène élémentaire. Et 65 % de ces attaques réussies sont passées par la supply chain. » Constat qui a motivé la création de la solution d’audit Scovery, qui « permet d’auditer la surface d’attaque d’une organisation et de réaliser un premier diagnostic, afin d’orienter au mieux les audits de sécurité et de conformité. Et d’évaluer sa supply chain ! »
Que fait la police ? La question de la réponse pénale
La nécessité de renforcer la résilience du tissu économique ne doit pas oblitérer le devoir de lutter contre l’origine des attaques, c’est-à-dire les cybercriminels eux-mêmes. C’est en tout cas ce besoin d’une politique pénale efficace que soulevait un des auditeurs présents à la Caserne des célestins : « Que font les institutions ? Nous entendons trop peu nos régulateurs. Et nos magistrats : sont-ils formés à ces sujets ? Quelle réponse pénale apporte-t-on aux victimes ? ». Pour maître Marc-Antoine Ledieu, « les parquets, comme partout ailleurs, ne suivent malheureusement pas. Ne parvenant pas à arrêter les délinquants, le régulateur a donc choisi de sanctionner les négligents. Nous n’aurons jamais de réponse pénale satisfaisante tant que l’économie du cybercrime sera encouragée dans des pays comme la Russie. »
La communauté cyber française, encore méconnue du grand public, est pourtant constituée d’un écosystème d’acteurs reconnus dans toute l’Europe et parfois avant-gardistes, que ce soit la CNIL ou l’ANSSI, la gendarmerie ou la police nationale. À l’image de la brigade de lutte contre la cybercriminalité de la Préfecture de Police de Paris, qui a été créée dès 1994, de l’office anti-cybercriminalité de la direction générale de la police nationale ou bien encore du travail mené au Tribunal Judiciaire de Paris par la vice-procureur en charge de la cybercriminalité, Johanna Brousse.
Dès lors, comment expliquer la difficulté de mettre un terme à la cybercriminalité ? Pour le général Marc Watin-Augouard, fondateur du Forum InCyber et modérateur de la table-ronde, « la cybercriminalité est devenue la criminalité du XXIe siècle ». Massive, très organisée, en collusion avec certains États et transfrontalière, elle exige en réponse une forte coopération internationale, telle que celle mise en place par Interpol et qui a déjà permis l’arrestation et le démantèlement de nombreux groupes de cybercriminels. Cependant, cette approche globale ne pourrait-elle pas en outre être accompagnée de mesures plus… offensives ?
la newsletter
la newsletter