FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • NIS 2 : s’y préparer...ou pas

    NIS 2 : s’y préparer…ou pas

    Écrit par
    Cédric Cartau
    17.04.25
    Cybersécurité Transformation numérique
    05
    MIN
    NIS 2 : s’y préparer…ou pas
    NIS 2 : s’y préparer…ou pas
    NIS 2 : s’y préparer…ou pas
    Image Attaques zero-day, Shadow OT, deepfakes : les nouveaux angles morts de la cybersécurité
    Cybercriminalité
    15.04.25 Cybercriminalité
    Prochain article
    Attaques zero-day, Shadow OT, deepfakes : les nouveaux angles morts de la cybersécurité
    Lire
    06
    MIN
    Image NIS2, le défi du passage à l’échelle
    Cybersécurité
    11.04.25 Cybersécurité
    Prochain article
    NIS2, le défi du passage à l’échelle
    Lire
    05
    MIN
    Image Le Zero Trust, une approche pragmatique au-delà du buzzword
    Cybersécurité
    10.04.25 Cybersécurité
    Prochain article
    Le Zero Trust, une approche pragmatique au-delà du buzzword
    Lire
    11
    MIN
    Image PRA, ransomware et DORA : comment rendre la continuité d’activité réellement opérationnelle ?
    Cybersécurité
    08.04.25 Cybersécurité
    Prochain article
    PRA, ransomware et DORA : comment rendre la continuité d’activité réellement opérationnelle ?
    Lire
    06
    MIN

    Faites le test, dans un dîner en ville ou dans un pince-fesse apéro-atoire pour prétexte d’une réunion marketing, et posez la question à votre voisin de gauche ou de droite au buffet : au fait, et vous vous vous y préparez comment à NIS 2 ? Il y a de fortes chances pour que ledit voisin vous réponde tout de GO en vous sortant au débotté un plan stratégique de fou en 3 phases et 5 chantiers, avec une macro-estimation financière et un début d’analyse d’impact sur son métier et ses clients / usagers.

    Non je blague bien entendu, au pire (pour lui) il regardera le bout de ses chaussures en tentant de trouver visuellement une voie de sortie au traquenard que vous lui avez tendu devant les petits fours salés, au mieux (pour vous) il psalmodiera des incantations inintelligibles à base de phonèmes sanscrits : en un mot, il n’a rien fait, ne fait rien et n’a rien prévu de faire. Tout du moins pour le court terme. Tout comme moi d’ailleurs. Et tout comme vous certainement.

    J’ai eu l’occasion, à plusieurs reprises, de poser cette question, plus ou moins directe et déguisée, dans des colloques, réunions, repas au restaurant, salles de pause, etc. Et je peux déjà vous faire part d’un premier niveau de classement des réponses.

    Il y a tout d’abord les entreprises – ou plus précisément leur RSSI – qui, ne sachant pas si elles seront soumises ou pas à NIS 2, ont joué avec le simulateur fourni par l’ANSSI (ici), et ont obtenu soit une réponse clairement positive, soit clairement négative, soit entre les deux selon une petite variation de tel ou tel paramètre. Bon à quelques exceptions près cependant, une entreprise sait assez rapidement si elle est touchée par la directive. Et parmi celles qui sont touchées, on distingue clairement deux familles : le privé et le public.

    Une entreprise privée n’est clairement drivée que par deux motivations : l’argent (et ce n’est pas péjoratif, c’est juste un constat). Celui que cela va coûter (amende) si elle ne s’y conforme pas, et celui qu’elle va perdre (perte de marchés, de clients) si elle ne peut pas mettre dans ses réponses aux appels d’offres qu’elle n’y est pas conforme. Globalement, les entreprises avec qui j’ai pu échanger sont tout de même pas mal en veille sur le sujet, surtout quand lesdits clients sont des grosses structures (privées ou publiques) qui n’auront aucun état d’âme à les éliminer de leurs référencements.

    Dans le public le raisonnement est différent (la peur de l’amende est tout de même bien éloignée) : il s’agit de ce que cela va coûter pour s’y conformer, et des budgets étatiques que l’on peut aller gratter à droite ou à gauche pour en réaliser une partie (ou pour dire qu’on en réalise une partie, ce qui est une nuance de taille, mais je ne vais pas trop développer). Avec le cas particulier des administrations qui n’étaient pas soumises à NIS 1 et qui vont l’être à NIS 2, que manifestement, cela n’empêche pas de dormir (alors qu’elle devraient s’inquiéter un peu plus selon moi). A leur décharge, la plupart n’ont aucune maîtrise de leurs financements (un hôpital ne peut pas augmenter le prix d’une appendicite, elle est fixée par l’État) de sorte que jouer sur le prix de ses prestations pour encaisser les coûts réglementaires additionnels leur est impossible.

    Mais ce qui frappe le plus, ce n’est pas cela. Historiquement, le schéma est toujours le même : un secteur commence à se structurer autour de bonnes pratiques, qui deviennent des guides (livre blanc, ouvrages plus ou moins officiels), puis des normes (ISO ou sectorielles) puis des lois (ou assimilées). NIS 2 n’est que la continuité de cela, on est juste en train de voir apparaître la déclinaison de la 27001 sous la forme de loi contraignante. Et ce qui frappe justement, c’est l’absence totale d’anticipation, surtout du côté des décideurs (les RSSI avec qui j’ai pu échanger visualisent très bien le schéma ci-dessus, heureusement). Ceux qui n’ont entamé aucune démarche 27001 et qui ont échappé à NIS 1 vont se réveiller avec une belle gueule de bois avec NIS 2, et ceux qui se sont assis sur leurs supposés acquis 27001 ou NIS 2 auront juste une gueule de bois moins forte.

    Ah au fait, j’ai un mini-scoop : après NIS 2 il y aura NIS 3. Si si.

    Cédric Cartau
    17.04.25
    Articles du même auteur :
    1
    22.01.25 Cybersécurité
    Au nom du Bug, du dDos et du Saint-chiffrement – une approche de la cyber par les évangiles
    Lire
    06
    MIN
    2
    25.10.24 Souveraineté numérique
    NIS 2 : réflexions organisationnelles sur le projet de référentiel des mesures
    Lire
    07
    MIN
    3
    18.09.24 Gestion des risques
    La cyber hypothétique ou le risque de classe chapi-chapo
    Lire
    04
    MIN
    4
    24.06.24 Cybersécurité
    Visions comparées de l’ISO 27001
    Lire
    05
    MIN
    Image Attaques zero-day, Shadow OT, deepfakes : les nouveaux angles morts de la cybersécurité
    Cybercriminalité
    15.04.25 Cybercriminalité
    Prochain article
    Attaques zero-day, Shadow OT, deepfakes : les nouveaux angles morts de la cybersécurité
    Lire
    06
    MIN
    Image NIS2, le défi du passage à l’échelle
    Cybersécurité
    11.04.25 Cybersécurité
    Prochain article
    NIS2, le défi du passage à l’échelle
    Lire
    05
    MIN
    Image Le Zero Trust, une approche pragmatique au-delà du buzzword
    Cybersécurité
    10.04.25 Cybersécurité
    Prochain article
    Le Zero Trust, une approche pragmatique au-delà du buzzword
    Lire
    11
    MIN
    Image PRA, ransomware et DORA : comment rendre la continuité d’activité réellement opérationnelle ?
    Cybersécurité
    08.04.25 Cybersécurité
    Prochain article
    PRA, ransomware et DORA : comment rendre la continuité d’activité réellement opérationnelle ?
    Lire
    06
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.