Avec la directive européenne Network and Information Security 2 (NIS 2), des milliers d’organisations vont devoir mettre à niveau leur cybersécurité. Un défi que l’industrie prépare depuis l’adoption du texte fin décembre au niveau européen. La transposition en droit français va, elle, intervenir en automne. L’occasion pour Siècle Digital de faire le point avec Jean-Noël de Galzain, président de l’association professionnelle Hexatrust. Ce groupement réunit 131 entreprises françaises de tailles diverses, l’équivalent de 7 milliards d’euros de chiffres d’affaires, toutes spécialisées dans la cybersécurité et le cloud de confiance. Forcément, en première ligne sur le bouleversement NIS 2 à venir.
Siècle Digital : Pouvez-vous présenter en quelques mots cette fameuse directive NIS 2 ?
Jean-Noël de Galzain : La directive NIS 2 est héritière de la directive NIS. Elle a été créée en 2016 pour élever le niveau de résilience cyber dans un certain nombre de secteurs sensibles. C’est une directive européenne qui impacte toutes les organisations essentielles ou vitales pour notre quotidien et dans lesquelles le numérique est en train de mettre en œuvre une transformation de fonctionnement, de business et plus généralement d’usages.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
La directive NIS 2 est une évolution de ce premier texte, avec comme principe de démultiplier le nombre de secteurs couverts. À présent, 18 sont concernés contre 10 auparavant. De mémoire, avec NIS environ un millier d’organisations y étaient soumises, maintenant nous en sommes entre 10 000 et 15 000. Cette directive s’adresse aux grands groupes, mais aussi à leurs sous-traitants. Pour l’État, c’est aussi les agences de l’État, les établissements de santé, etc. Cela élargit le scope à des entreprises de taille moyenne ou plus petite.
NIS 2 a pour ambition de rendre l’Europe plus résiliente face aux risques cyber et ce en amenant tous les acteurs économiques, les organisations, sur un standard de cybersécurité.
Que change NIS 2 par rapport à sa version précédente, au-delà du nombre de secteurs concernés ?
La particularité de la directive NIS 2, c’est un volet répressif. C’est très important. Si une entreprise n’a pas mis le niveau de cybersécurité minimum dont elle doit se prévaloir, elle risque une pénalité allant jusqu’à 2 % de son chiffre d’affaires. L’enjeu est majeur et la sanction peut aller jusqu’à la radiation de son statut.
L’entreprise a aussi pour obligation de prévenir les autorités dans les 72 heures lorsqu’elle subit une cyberattaque. C’est quelque chose qui est plus lourd et plus impactant.
Et donc cela veut dire quoi ? Cela veut dire que cela responsabilise ces organisations en tant qu’opérateurs importants ou opérateurs de services essentiels. Les managers, les dirigeants d’entreprises, les conseils d’administration sont directement impliqués. La cybersécurité, au niveau de la directive NIS 2, est une mesure de saine gestion et de saine gouvernance.
Il est difficile de convaincre des dirigeants de prendre des mesures de cybersécurité ?
Toujours. Il faut souligner que d’après les divers rapports, études d’organisations étatiques ou privées, les entreprises vont consacrer moins de 5 % de leur budget informatique à la cybersécurité. Ce n’est pas suffisant, ce n’est pas la norme. Ces budgets doivent passer de 5 % à 10 % d’urgence pour pouvoir se mettre dans les standards.
Ce pourcentage varie selon les secteurs. Certains vont investir davantage, comme la banque. Certains secteurs industriels vont avoir des obligations fortes parce que les répercussions de l’arrêt d’un service peuvent être graves. Une écluse, un système de transport, un système d’électricité ne peuvent pas se permettre de ne plus fonctionner.
NIS 2 c’est un premier argument à donner aux dirigeants, au conseil d’administration ou au COMEX de prendre des engagements annuels de 10 % du budget informatique consacré à la cybersécurité.
Les organisations ont aussi parfois du mal à admettre avoir été victimes d’une cyberattaque…
Il y a un problème de crédibilité. Ne pas faire savoir aux autres ce qui est arrivé, c’est éviter de perdre en réputation. Il se dit que pour les PME et ETI, la moitié des victimes risquent de déposer le bilan dans les 24 mois qui suivent une attaque. Ce type d’événement nécessite d’agir rapidement et tout aussi rapidement d’informer les autorités. Si l’obligation de prévenir les autorités dans un délai court a été ajoutée c’est aussi parce qu’il y a un besoin de données. Il faut des traces de ces cyberattaques pour retrouver l’origine de l’incident et rechercher ces pirates.
Et du reste, on observe que plus les réglementations pèsent, et plus, semble-t-il, des arrestations spectaculaires ont lieu. Il y a l’exemple récent de Lockbit ou d’autres groupes. C’est un fil d’Ariane pour essayer d’aller retrouver des cybercriminels. Cette obligation est une condition importante pour la réussite du dispositif.
Comment Hexatrust se prépare à l’arrivée de NIS 2 ?
Nous devons nous mettre à niveau, pour ceux qui n’ont pas encore fait le travail et les investissements nécessaires ou qui n’ont pas forcément la connaissance suffisante du sujet. Vincent Strubel, le directeur général de l’ANSSI, a laissé entendre dans son discours au forum InCyber cette année que l’ANSSI ne serait pas dès le départ extrêmement répressive. Beaucoup de nos entreprises sont mobilisées sur les Jeux olympiques. C’est un moment très intense qui requiert beaucoup de ressources et d’attention.
Maintenant, durant cette période, nous nous sommes préparés. Nous n’avons pas travaillé uniquement en vase clos, mais avec les utilisateurs. Nous avons échangé avec le CESIN, le Clusif, le CIGRF… C’est vraiment une démarche collective, il faut essayer de faire travailler l’écosystème dans son ensemble, y compris avec les autorités, les ministères…
Pour ceux qui vont devoir mettre en œuvre ces solutions, il y a une bonne nouvelle : l’industrie est en ordre de marche. Les solutions sont là. Les éditeurs travaillent entre eux, et avec les fournisseurs de cloud et les intégrateurs pour être prêts à déployer les solutions qu’il faut.
Nous avons déjà des clients qui sont des collectivités, des établissements de santé, des OSE, des OIV [ndlr : opérateurs de services essentiels, opérateurs d’importance vitale]. Nous sommes en contact, nous couvrons déjà une partie de leurs risques. Grâce au principe de notre association, « l’union fait la force », avec l’aide des meneurs du groupement, des autres membres, nous allons pouvoir étendre les protections nécessaires pour se mettre en conformité.
C’est le sens de la brochure que vous publiez ?
Oui, nous avons choisi d’accompagner le geste à la parole avec ce catalogue, cette brochure capacitaire. Elle permet de se rendre compte de comment utiliser les différentes offres de nos membres, comment les combiner, pour pouvoir répondre à NIS 2 dans les différents secteurs concernés. Je pense qu’il est important de donner un message d’espoir : ce n’est pas inaccessible.
J’encourage aujourd’hui et j’ai encouragé mes camarades à l’intérieur, mais aussi à l’extérieur d’Hexatrust, y compris les GAFAM, de faire naître plus de collaborations. Travailler ensemble pour rendre les solutions plus packagées et plus accessibles. Quand je dis qu’il faut que nous proposions des packaging d’offres, c’est aussi pour donner une visibilité budgétaire aux entreprises.
NIS 2 c’est un palier, il n’y a pas besoin d’aller dans une course à l’armement cyber. Dans les salons ou avec le marketing, il y a un foisonnement d’offres cyber. Il peut être difficile de s’y retrouver. NIS 2 c’est un standard de sécurité qui permet d’élever son niveau de résilience.
Cette année, Docaposte, membre d’Hexatrust, a annoncé un bouquet de services. 8 domaines dans lesquels ils ont intégré les offres de 12 éditeurs partenaires. Des solutions unifiées au service des collectivités, des établissements de santé et des PME, PMI. Ce sont ces exemples de collaboration qui simplifient l’accès à la cyber pour se mettre le plus rapidement en conformité avec NIS 2, DORA et toutes les réglementations possibles.
Est-ce que dans le domaine cyber, comme ailleurs, il y a un risque de monopoles des grandes entreprises du numérique, principalement américaines ?
Il y a un risque… Et inutile d’aller jusqu’au risque de monopole. Je comprends les efforts de ces grands fournisseurs pour être NIS 2 et apporter des solutions pour NIS 2. Je dis simplement attention.
Il y a certains grands éditeurs de plateformes cloud qui vont expliquer qu’ils sont capables de tout faire, mais mettre tous ses œufs dans le même panier, confier toute sa sécurité pour son numérique à un seul prestataire c’est prendre un énorme risque de dépendance et de sécurité. C’est un risque économique pour son organisation.
C’est une question de bon sens. Si vous travaillez avec un prestataire, il faut contrôler son travail. Si vous mettez tout votre numérique dans une grande plateforme GAFAM mettez plutôt la cybersécurité dans des solutions européennes, voire françaises. Les solutions françaises sont parmi les meilleures solutions européennes.
SD : justement Hexatrust et ses membres regardent-ils vers le marché européen ?
Il y a une ambition. Il faut le dire, c’est une filière qui exporte. C’est sans doute la deuxième filière industrielle exportatrice mondiale, derrière la défense et l’armement.
Au-delà du rayonnement des offres de nos membres, Hexatrust est en train d’évoluer vers l’idée d’accueillir davantage de partenaires de l’écosystème européen, et faire rayonner l’ensemble de l’Europe en matière cyber.
Comme je le disais, la cybersécurité made in France a une très bonne dynamique. Ceci étant, un client a des besoins multiples. Si nous voulons être capables d’apporter des solutions souveraines, il faut les concevoir au niveau européen. Ainsi, nous serons capables de répondre à l’essentiel des besoins en matière de cyber… Pour ne pas dire à quasiment tous les besoins.
Pour passer nos entreprises à l’échelle, nous avons besoin d’un marché. Ce qui fait la force des acteurs américains, c’est, certes leur puissance financière, le Nasdaq, mais c’est aussi leur marché intérieur. Si nous parvenons, demain, à créer un marché européen pour nos entreprises technologiques et cyber, nous pourrons créer des champions mondiaux qui rivaliseront avec nos amis américains.