NIS2, DORA : la gouvernance au cœur des exigences

Alors que la directive NIS (Network and Information Security), votée en 2016 et transposée en 2018, ne s’appliquait qu’à un nombre restreint d’acteurs stratégiques, NIS2, qui lui succède, étend son périmètre et devrait concerner des milliers de grands groupes, ETI et PME dans une vingtaine de secteurs d’activité. Les détails de son application ne seront toutefois connus qu’au terme du processus de transposition actuellement mené avec l’ANSSI, avant une entrée en vigueur prévue au plus tard en octobre 2024.

Comme NIS, NIS2 énonce un certain nombre de mesures obligatoires – correspondant plus ou moins aux exigences de la norme ISO 27001 – que doivent mettre en œuvre les entreprises pour réduire fortement l’exposition de leurs systèmes aux risques cyber.

Également votée en 2022, DORA (Digital Operational Resilience Act) est un règlement européen, qui s’appliquera donc tel quel, sans transposition. Il entrera en vigueur début 2025. Son objectif est de renforcer la résilience opérationnelle des entreprises du secteur financier (banques, assureurs, gestionnaires d’actifs…) face au risque numérique (cyber, panne, erreur…). Il établit pour cela des règles contraignantes concernant la gestion de ces risques, la notification des incidents, les tests de résilience et la gestion des risques liés à la supply chain et ses parties prenantes.

Un point commun : la gouvernance

Même s’ils ont des portées et des champs d’application différents, ces deux textes partagent un point commun majeur : l’un et l’autre prévoient l’instauration de sanctions, notamment réputationnelles (name and shame), et établissent, en cas de manquement, la responsabilité pénale des dirigeants de l’entreprise.

Dans le cas de DORA, ceux-ci ont d’ailleurs l’obligation d’être formés aux risques cyber et à leurs impacts sur la continuité des opérations. Outre l’aiguillon que représente le risque juridique et financier, ceci bouleverse la gestion traditionnelle de la cybersécurité dans l’entreprise et, en particulier, sa gouvernance.

Avec des responsabilités remontées au niveau de la direction, la cybersécurité devient de fait un enjeu d’entreprise, qui sera intégré à la stratégie globale et abordé de façon systématique et transverse, au même titre que d’autres types de risques. Ceci favorisera l’homogénéisation des dispositifs et des pratiques, l’optimisation de l’allocation des ressources, l’intégration de la sécurité dans les processus opérationnels et sa prise en compte by design dans les projets, et enfin le développement d’une culture interne de la cybersécurité.

Comme le demande d’ailleurs explicitement DORA, cette transversalité nécessitera une gouvernance renforcée, impliquant régulièrement les acteurs métiers. Étant donné la technicité du sujet, le CISO/RSSI en restera l’acteur clé, mais il gagnera en visibilité et en poids politique, bénéficiant de réponses plus rapides et de moyens accrus.

Deux volets pour la mise en œuvre

Les mises en œuvre de NIS2 comme de DORA auront donc deux volets. Le premier concernera les mesures de sécurité proprement dites, conformément à ce que réclament les textes.

Très précises et détaillées pour DORA, ces exigences restent à être précisées par chaque Etat-membre pour NIS2. En l’état de sa transposition menée avec l’ANSSI, il s’agit plutôt d’une liste d’objectifs à atteindre, les entreprises bénéficiant d’une grande latitude sur les moyens d’y parvenir et sur le choix des priorités. Le point de départ consistera donc à déterminer à quel régime d’obligations exactement est soumise l’entreprise, puis à mesurer l’écart entre ces exigences et l’existant, et enfin à établir une feuille de route (désormais sous l’œil de la direction générale !).

Le second volet de la mise en œuvre concernera justement le dispositif organisationnel et de gouvernance transverse et à haut niveau qui permettra de suivre, piloter et coordonner cette mise en conformité, puis le respect dans la durée des exigences réglementaires en fonction de l’évolution des technologies et des risques.

Bien plus que des nouvelles contraintes réglementaires, NIS2 et DORA visent ainsi à faire prendre conscience aux entreprises et à leurs dirigeants de l’importance cruciale de la cybersécurité dans l’environnement actuel. Elles aident à passer d’un traitement siloté et à haut niveau des risques et de la sécurité, à un traitement transverse et stratégique, inscrit comme tel dans la gouvernance de l’entreprise.