Les discussions ont quitté le Sénat pour rejoindre l’Assemblée. Pourtant, alors que le sujet semble agiter (de manière injustifiée ?) les grandes entreprises, il nous semble percevoir, une vague impression d’indifférence du côté des petites structures qui sont pourtant le cœur de cible de NIS2. Pour essayer d’y voir plus clair, nous avons demandé à deux RSSI de nous donner leur avis sur la question. Nous en avons profité pour recueillir aussi leurs réflexions et leurs propositions sur ce sujet.
Notre premier témoin (Jean-François) est RSSI groupe d’une coopérative agro-alimentaire de plusieurs milliers de collaborateurs en France et à l’international. L’entreprise dispose d’une petite équipe cybersécurité animée par le RSSI groupe. Cette équipe se répartit entre les différentes entités du groupe. Nous pouvons affirmer qu’elle dispose d’une maturité moyenne sur les sujets de cyber, prenant en compte le retard structurel de ce secteur économique.
Le second (Vivian) est RSSI d’un éditeur logiciel spécialisé dans les solutions destinées aux collectivités. Il est seul à assumer cette responsabilité au sein d’une entreprise où la cybersécurité est perçue comme primordiale pour l’accomplissement des affaires. Le fait de travailler pour des acteurs publics a poussé l’entreprise à investir dans la cybersécurité. Cela se traduit concrètement par une certification ISO27001 et un projet de qualification SecNumCloud en cours.
Nos deux témoins sont d’accord pour dire que NIS2 arrive à un moment où (en France), la prise en compte de la cybersécurité a très largement évolué depuis 10 ans. Cependant, Vivian nous fait aussi remarquer que « Toutes les entreprises ou les collectivités qui ne sont pas de rang 1 n’ont pas forcément fait beaucoup de choses en cybersécurité ». Il fait aussi remarquer que NIS2 ne sera pas une option et que cela actera tout ce qui a déjà été réalisé par le passé.
Jean-François a un avis plus tranché. D’après lui « on se trompe de cibles ». En effet, l’ANSSI annonce quelques 15000 structures concernées versus quelques centaines seulement pour NIS v1. D’après lui, aujourd’hui un club comme le CESIN réunit les RSSI de près de 1500 entreprises vraiment actives et mûres sur le sujet. Ce ne sont donc pas ces structures qui sont concernées au premier chef et pourtant c’est dans ce type de cercle qu’on en parle le plus !
Alors comment aller chercher les quelques 12000 entreprises et collectivités qui restent ? C’est toute la question en effet. D’après nos deux RSSI, « c’est à des entreprises comme les nôtres qu’on va déléguer le rôle d’inciter nos sous-traitants, partenaires et fournisseurs à se mettre en conformité ! ». « C’est louable et nécessaire dans le cadre de la sécurité de la chaine d’approvisionnement mais est-ce vraiment notre rôle et ceci va encore plus alourdir notre charge de travail qui est déjà très importante compte tenu de la nature de la menace. »
Jean-François va plus loin, « il faudrait que les RSSI des grands groupes déploient plus d’énergie à accompagner la prise en maturité des structures plus petites en les accompagnant plutôt qu’en leur envoyant perpétuellement des questionnaires de sécurité…. »
Pour Vivian, cette question se pose moins dans son secteur car la sphère publique est plus directement concernée (cf. panaroma ANSSI de la menace 2024). Pour lui donc, les enjeux de sécurité des collectivités induisent une plus grande implication des acteurs concernés. Il en veut pour preuve le fait que son entreprise n’est pas directement concernée, le sera par rebond en tant que fournisseur des collectivités, mais pour autant elle s’est déjà lancée dans la démarche en anticipation de ce que ses clients vont lui demander.
Il reste donc que l’incitation à y aller est faible pour le moment. Ceci est surement dû au fait que la France a pris du retard dans la transposition. Cependant, la problématique du coût est bien réelle. Pour les entreprises, les coûts engendrés sont perçus comme forcément importants même si très peu ont entamé une analyse de la valeur. Pour nos deux RSSI se pose la question de comparer les coûts de la mise en conformité avec les amendes éventuelles et/ou surtout le coût engendré par un sinistre.
Jean-François fait d’ailleurs le parallèle avec le RGPD. Pour les deux réglementations, l’objectif est louable, absolument indiscutable et ne peut être que partagé. Néanmoins, l’approche par l’unique conformité, dans le seul but d’échapper aux sanctions prévues par les règlements et directives (et qui ne sont que très faiblement appliquées) est complétement erronée et détourne les entreprises de l’objectif du législateur. il serait extrêmement dommage en effet que NIS 2 ne soit compris que comme un règlement de plus qui vienne entraver les affaires des entreprises alors même que la communauté des professionnels s’accorde à reconnaitre qu’il s’agit d’une avancée majeure dans la prise en compte de la problématique et la proposition de solutions au niveau européen !
En conclusion, il ne faudrait pas que NIS2 reste un sujet de spécialistes (réels ou auto-proclamés) mais soit prise en compte comme il se doit c’est-à-dire comme une avancée logique et nécessaire dans la prise en compte de la cybersécurité dans les entreprises et les structures publiques. Un accompagnement, qui ne peut être laissé à la seule main de l’Etat,sera nécessaire pour aller chercher les structures réellement concernées et qui ne sont pas assez sensibilisées aujourd’hui.
Les grandes entreprises et les structures de premier rang n’ont pas attendu NIS2 et ne sont pas réellement concernées aujourd’hui. Elles sont quasiment prêtes.
Pour nous, professionnels de la cybersécurité, il est primordial de comprendre ces enjeux et ses dilemmes au sein des entreprises afin de proposer des approches intelligentes et optimisées. Plus que jamais, la manière dont nous allons aborder ce sujet déterminera comment nos clients vont traiter leur conformité.
Niji remercie Jean-François Louapre et Vivian Pelissou pour cet entretien.