De la conformité à la transformation : le tournant cyber des entreprises européennes

L’effort demandé pour un alignement de la cybersécurité sur des standards de haut niveau s’annonce comme une évolution naturelle vers un nouveau mode de fonctionnement pérenne, et ce pour au moins deux raisons :

• Les nombreuses obligations réglementaires (issues de NIS2, mais aussi de REC ou de CRA) intègrent des contraintes dans la durée. Contre-mesures, adaptations organisationnelles, formations, audits… tout est conçu pour obliger les entités à mettre en place des règles de fonctionnement durables. Des règles qui impliquent des dépenses récurrentes ;

• Le signal envoyé par l’Union européenne est clair : les textes réglementaires, comme leurs considérants, rappellent avec force l’obligation pour chaque           entité d’organiser sa propre défense. Jusqu’ici, cette fonction était assurée au plus haut niveau par les États, avec un ruissellement de financements et de bonnes pratiques. Les entreprises devront désormais le faire, pas seulement pour leur propre bénéfice, mais aussi et surtout dans un but ultime de protection des institutions, de l’entièreté des régimes démocratique de l’espace communautaire. La contrainte règlementaire place ainsi la responsabilité des entités au centre du dispositif de cyber protection européen, avec un message sous-jacent clair : l’époque de l’intervention financière étatique et supra étatique arrive à son terme. Les agents économiques vont donc devoir trouver les ressources et les modes de fonctionnement pour assurer eux-mêmes les fonctions de cybersécurité, voire de cyberdéfense.

Le mouvement insufflé par l’Europe est donc de nature à totalement reprogrammer le tissu économique des Etats-membres. La comparaison la plus frappante est sans doute la suivante : si l’Europe est un organisme vivant, alors ses entreprises sont ses organes, ses PME, ses cellules, ses réseaux, ses vaisseaux. Les directives telles que NIS2, REC (entités critiques), DORA (institutions financières), CRA (produits connectés), CSoA (solidarité cyber) ou Règlement IA forment un vaccin systémique. Leur but n’est pas seulement défensif, mais transformateur : générer une immunité profonde en adressant les vulnérabilités structurelles, y compris celles issues des chaînes de sous-traitance.

Au-delà de l’effet de défense immédiatement recherché, cet ensemble de règles vise en effet à transformer en profondeur, dans la durée, son organisme bénéficiaire. Les textes mettent l’accent sur les chaînes de vulnérabilité, issues notamment de la sous-traitance et des délégations. Ils autorisent un mode de programmation récursif de l’antidote, conçu pour comprendre son environnement et générer les mécanismes de protection, jusqu’au plus petit composant. L’organisme ainsi protégé doit être à l’avenir considéré comme un état supérieur de lui-même, paré à toutes les éventualités et à toutes les menaces qui vont se faire jour, changeantes par nature.

Enfin, nous sommes conscients d’une réalité bien présente et dont nous pensons qu’elle va se rappeler à nous avec force dans les années à venir : la diversification des modes d’action et des objectifs de la menace étatique. L’ANSSI a d’ailleurs documenté ce phénomène dans la section « Évolutions de l’outillage et des infrastructures d’attaque » de son « Panorama de la cybermenace 2024 ». Traditionnellement dirigée sur les organismes les plus sensibles de l’Etat (historiquement protégés par des dispositifs adéquats tels les statuts d’OIV ou d’EPP), dans un but d’espionnage ou d’agression aux fins d’entrave du service nominal, la menace étatique suit maintenant des cheminements beaucoup plus indirects, qui peuvent s’inscrire dans le temps. On parle ainsi de « pré-positionnement », ou encore de menace hybride. 

Le paradigme a dorénavant évolué. Du fait de l’interconnexion très forte des systèmes de nos sociétés démocratiques, une attaque d’un État pourra être possible à l’avenir à l’égard d’un acteur industriel, voire plusieurs attaques simultanément.

L’attaque pourra s’appuyer sur les nombreuses dépendances que ces acteurs créent autour d’eux, afin de perturber les capacités de la population dans son ensemble. Un appui par une opération de déstabilisation ou d’intoxication via les réseaux sociaux pourra en augmenter les effets. Ce nouveau paysage de la menace influe fortement sur notre manière de nouer des partenariats, d’alimenter des réflexions, de concevoir des fonctionnalités. C’est ainsi que nous percevons notre rôle d’offreur de cybersécurité, au service des industries et des collectivités.

Focus – Equans Digital Cyber

Chez Equans, nous bénéficions d’un héritage de positionnement de leader multi-services auprès des grands donneurs d’ordre des industries (énergie, transport, manufacturière, défense, …) et collectivités. Même si la filiale cybersécurité du groupe est récente, la cybersécurité est un de ces services, transverse, au service des métiers de nos clients, que nous maîtrisons parfaitement. Cet ancrage repose sur la richesse de notre ADN technique :  depuis toujours, Equans conçoit, intègre et maintient des systèmes complexes mêlant infrastructures critiques, automatismes, réseaux industriels, supervision, IT et télécommunications — autant de terrains où la cyber OT et IT convergent de plus en plus. A l’heure où les menaces chez nos clients ne se limitent plus à l’IT, mais aussi à l’OT qui est désormais connecté et communicant, ce croisement unique entre expertise terrain et maîtrise des environnements techniques s’avère clé et constitue l’un des différenciants d’Equans Digital Cyber. Les échanges entre équipes sont vivants et ils permettent de transférer toute la granularité de cette connaissance pour l’élaboration de solutions sur-mesure pour nos clients. Nous nous appuyons sur la maîtrise des techniques et procédures du métier d’intégrateur pour être force de proposition cyber face au défi organisationnel auquel font face tous les marchés. Articulés autour d’un cœur de compétence d’experts en cybersécurité capables de proposer des contre-mesures, d’auditer des organisations (avec notamment une certification PASSI), nos capacités offrent à nos clients une protection de haut niveau.

Nous sommes en mesure d’agréger sur notre offre de « centre opérationnel de sécurité » des fonctionnalités innovantes, éditées par des leaders ou même par des start-ups.

Equans Digital vous donne rendez-vous au FIC le Creusot : deux jours pour booster votre expertise cybersécurité, les 22 et 23 mai 2025.