Entre la complexité, la bureaucratie et les coûts, la conformité NIS2 a été un voyage difficile pour de nombreux leaders informatiques – et qui n’est pas fini. La phase suivante? Tirer parti de NIS2 pour obtenir une posture de sécurité plus élevée.
L’impact de la conformité NIS2 sur les opérations quotidiennes a mis de nombreux dirigeants informatiques dans une obligation stressante.
La directive du réseau et de la sécurité de l’information 2, qui étend la portée de son prédécesseur pour couvrir 15 secteurs, vise à fournir un niveau commun de cybersécurité dans les États membres de l’UE. On estime que l’étendue du règlement affecte plus de 160 000 organisations à travers l’Europe, ainsi que des entreprises en dehors du bloc qui fournissent des services au sein de l’UE.
La directive remaniée resserre les règles de cyber-résilience et, à court de ressources vitales, certains leaders informatiques ont abordé la résolution de ce problème en séparant les tâches de conformité des tâches opérationnelles et en attribuant le premier au CISO.
«Pour moi, il est essentiel que notre entreprise ait un CISO», explique Lucio D’Accoti, CIO d’Ama Roma. «En tant que CIO traitant des opérations, je n’aurais pas le temps et les gens de consacrer à la conformité avec NIS2 ou à des activités de réponse et de notification des incidents. Notre CISO est séparé de la partie opérationnelle, même s’il travaille en étroite collaboration avec moi et les autres fonctions, et peut se consacrer à ces tâches, qui sont complexes d’un point de vue bureaucratique. Si je devais prendre soin d’eux, nous aurions un impact sur la productivité. »
AMA relève du périmètre NIS2 en tant qu’entité «importante». Il est conforme au réseau et à la directive de sécurité de l’information de l’UE, qui vise à améliorer la protection de l’infrastructure critique de 18 secteurs critiques, est primordial.
Pour AMA, et de nombreuses organisations, NIS2 s’avère être un moment essentiel dans la suite C technique, avec des leaders de la sécurité dans de nombreux cas en augmentation, en établissant leurs propres organisations et budgets distincts, et remodelant leurs relations avec leurs collègues exécutifs.
«Nous ne l’appelons peut-être pas CISO, mais il doit y avoir une structure dédiée, du moins pour les grandes entreprises ayant une importance nationale stratégique», explique D’Accolti, ajoutant que le fait d’avoir «un budget séparé et bien défini dédié à la cybersécurité garantit que la haute direction prend la responsabilité».
Claudio Telmon, partenaire senior pour l’information et la cybersécurité à P4i-Parterners4Innovation, convient que NIS2 a souligné l’importance du leadership de la sécurité au sein de l’organisation dans son ensemble.
« Le CISO est essentiel car il est le chiffre le plus approprié pour faire face aux aspects de la conformité, qui ne sont pas seulement la responsabilité des systèmes d’information, mais aussi du domaine de la gestion des risques d’entreprise », souligne Telmon, notant qu’il n’est pas toujours possible, cependant, pour les entreprises dédiées à Ciso, au lieu de fusionner ce rôle avec celle du CIO ou de l’informatique.
Alessio Antolini, CISO et DPO d’AMA, considère NIS2 «une opportunité, car elle offre une série d’ordonnances sur la posture de sécurité qui devrait être adoptée par les organisations et qui représente la norme pour toute entreprise numérique qui expose ses services en ligne.»
Antolini ajoute: «La difficulté qui a toujours existé est que la sécurité n’est pas considérée comme un actif, mais comme un coût: les entreprises le gèrent parce qu’elles sont obligées de faire ou de réaction à une attaque ou pour empêcher un incident de sécurité. Ils ne le font pas comme stratégie. »
Même les organismes publics ont désormais de nombreux points de contact numériques, à la fois dans les opérations centrales et non essentielles, mais – commente Antolini – les activités de résilience sont souvent perçues comme des coûts. L’arrivée d’un règlement dédié a l’avantage de sensibiliser et de faire pression pour la conformité.
«Nous devons vivre dans le présent, qui est également composé de cyber-menaces contre lesquelles nous devons construire des badwarks», explique Antolini. «NIS2 est comme un RGPD pour la sécurité, et ce n’est pas une option. Il représente ce que chaque entreprise devrait faire sur la cybersécurité: par exemple, savoir comment identifier une menace latente dans les systèmes ou une situation quasi et avoir une approche non seulement réactive mais programmatique, dans laquelle vous ne vous limitez pas à avoir les outils pour réagir à un incident, mais vous pouvez l’anticiper. »
La complexité, selon Antolini, entre en jeu lorsqu’un écart a été créé dans une organisation, c’est-à-dire une distance entre la posture de sécurité et ce qu’elle est réellement – alors il y a la précipitation d’adapter et d’escalade des coûts.
Combien coûte la conformité NIS2?
Pourtant, la conformité NIS2 elle-même pèse sur les budgets informatiques. Selon une étude récente de Veeam, 80% des budgets informatiques des sociétés EMEA touchés par NIS2 sont désormais dépensés pour la cybersécurité et la conformité.
Antolini lui-même souligne que le budget de la cybersécurité d’AMA a dû augmenter en raison de l’ajustement des exigences NIS2.
«Nous avons dû faire beaucoup d’investissements, par exemple pour renforcer les systèmes et avoir le bon nombre de personnes pour les gérer et suivre les procédures», explique le CISO d’AMA. «NIS2, en fait, nécessite des rapports dans un délai précis et cette vitesse nécessite les responsables. Ensuite, il y a la partie de contrôle de la chaîne d’approvisionnement, souvent un véhicule pour les incidents, et cela impacte non seulement le CIO et le RSI, mais aussi les bureaux d’appel d’offres, les achats, etc. Même la vérification des exigences et la surveillance des tiers nécessitent du travail, ou plutôt des personnes. »
Les dépenses sont donc indéniables et augmentent avec la taille de l’entreprise. En outre, les dépenses comprennent les investissements initiaux pour obtenir la conformité et les coûts récurrents pour maintenir la conformité. Les experts disent que le coût est de l’ordre de 100 000 € à 500 000 €, atteignant jusqu’à 1 million d’euros pour les grandes entreprises. Et cela exclut les coûts de sécurité informatique normaux.
Il y a aussi l’élément bureaucratique, certains leaders informatiques décrivant NIS2 comme une «superstructure»: il nécessite des procédures précises qui se traduisent par «beaucoup de papier et beaucoup d’argent qui auraient pu être investis dans une réelle sécurité».
Même dans le cas d’une organisation à la hauteur de la sécurité, la bureaucratie est un drain important sur les ressources: «Nous avions déjà investi dans la cybersécurité et étions pratiquement conformes. Mais maintenant, toutes les activités de formation, simulations et procédures doivent être documentées de manière définie et cela crée une bureaucratie », explique un autre leader informatique.
La conformité sera plus facile pour certains
Il y a des DSI et des CISO qui ont trouvé la conformité NIS2 relativement facile: ceux qui ont travaillé vers la certification ISO / IEC 27001: 2022, qu’ils soient restés dans la phase de préparation ou ont été certifiés.
Ceux qui ont le rapport de certification qui se sont retrouvés avec «80% des travaux effectués»: l’entreprise est prête en termes d’équipement de cybersécurité, les gens sont formés et la gestion est alignée. À ce stade, le démarrage des travaux vers la conformité NIS2 est presque naturel.
C’est l’expérience de Matteo Mutti, CTO de ProMotica, une agence de fidélité spécialisée dans la création de solutions marketing.
«Nous avons choisi la certification ISO / IEC 27001: 2022 pour assurer une approche structurée de la gestion de la sécurité de l’information. Cette norme nous permet d’assurer une gestion appropriée des données sensibles, d’améliorer notre réputation et de répondre aux demandes des clients concernant la sécurité. La certification de l’ISO 27001 aide également à se conformer aux réglementations actuelles, telles que le RGPD et le NIS2, réduisant le risque de sanctions et rendant l’entreprise plus prête à faire face à de nouveaux défis sur le marché », explique Mutti.
La clé est d’impliquer toute l’organisation. «Les différents bureaux, submergés par les travaux quotidiens, ont du mal à soutenir la demande d’efforts supplémentaires», explique Mutti. «Il est donc important que cette voie soit organisée en impliquant tous les domaines opérationnels impliqués afin qu’ils perçoivent l’opportunité, par la définition des procédures, pour examiner et améliorer les processus de l’entreprise.»
La conformité a également été moins un problème pour les DSI et les CISO sur les marchés réglementés – par exemple dans les soins de santé.
«Beaucoup dépend de la structure que vous êtes et de la façon dont vous devez respecter les normes de l’industrie, comme cela se produit avec les réglementations des soins de santé ou le modèle organisationnel 231», explique Fabrizio Alampi, CIO à Colisée Italia, qui fait partie d’un groupe français qui exploite des soins de santé pour les personnes âgées en Europe. «Pour nous, NIS2 était indolore parce que nous étions déjà à 95% conformes grâce au chemin que nous avions emprunté auparavant.»
Selon Alampi, ce qui met les DSI et les entreprises dans un poste de difficulté, c’est de traiter la cybersécurité uniquement parce qu’elle est exigée par NIS2, ou une autre loi; Au lieu de cela, si une stratégie de cybersécurité efficace a été mise en place depuis le début, la conformité vient en elle-même.
C’est ce que Marco Foracchia, CIO d’AUSL (autorité sanitaire locale) de Reggio Emilia, réitère.
«La cybersécurité est l’un des sujets chauds du moment, étroitement liés aux défis actuels des soins de santé qui deviennent distribués, territoriaux», dit-il. «Cette évolution nous a conduits à une nouvelle approche écosystémique dans laquelle la sécurité doit également être appliquée au-delà du périmètre de l’entreprise aux structures et appareils tiers, tels que des cliniques privées, des maisons de retraite, des sociétés à but non lucratif et des maisons de citoyens. Cela nécessite un fort dialogue avec les partenaires et la surveillance de la chaîne d’approvisionnement, et NIS2 s’est déjà inséré presque naturellement dans ce processus. La méthodologie que NIS2 impose est conforme à ce que nous aurions dû faire de toute façon. La nouvelle structure de sécurité ouverte est plus risquée et les directives NIS2 aident certainement. »
L’approche de Foracchia était de s’appuyer sur les partenaires technologiques pour les solutions logicielles qui intègrent la sécurité par conception, comme il l’a déjà fait pour le RGPD avec la confidentialité par conception: «Les problèmes sont différents, mais l’approche est similaire; Vous devez y penser depuis le début, à la fois au niveau technologique et organisationnel », dit-il.
La prochaine étape de la cybersécurité: le talent
Partout où les entreprises sont aujourd’hui, NIS2 devrait être considérée comme une opportunité de s’intégrer aux normes de sécurité désormais essentielles, selon les dirigeants informatiques. Selon leur État membre et le statut de leur version du règlement NIS2, les obligations de base pour les entreprises devraient bientôt être plus claires pour les DSI et les CISO en termes de ce qu’il faut faire pour être conforme. En Italie, par exemple, ce sera d’ici la fin de 2026.
Quant aux coûts et à la bureaucratie, il n’est pas certain qu’ils continueront d’augmenter. Comme Telmon clarifie: «Le montant des investissements pour les entreprises dépendra de leur niveau de maturité de la cybersécurité et de la demande de ces obligations. Les entreprises qui sont déjà suffisamment mûres n’auront pas à investir autant dans la technologie. Cependant, ils devront consacrer beaucoup d’efforts pour examiner leur organisation et leur formation ou attirer des compétences en cybersécurité, qui sont plus nécessaires que jamais mais pas largement disponibles. »
Les DSI et les CISO le savent: les compétences sont un point faible sur le marché. Bien que les technologies soient abondantes, les spécialistes informatiques sont rares.
«Les grandes entreprises devront sortir et trouver des talents, peut-être même embaucher», explique Telmon. «Les entreprises de taille moyenne devront trouver des moyens d’accéder à une expertise de qualité sans mettre trop de rupture sur leur budget, et ce sera un véritable défi. Une telle expertise verticale est souvent plus facile à trouver dans le conseil, en particulier pour les PME qui n’ont pas l’espace pour embaucher de tels chiffres spécialisés à temps plein. Il serait également utile que les associations de l’industrie interviennent pour aider les entreprises de taille moyenne, car dans les secteurs verticaux, les compétences requises sont similaires et les PME bénéficieraient grandement des synergies, même parmi les concurrents. »
Un défi dans un défi, mais une véritable priorité pour les DSI: selon les dernières études IDC, la complexité réglementaire croissante sera au cœur de son travail dans les prochains mois.
