Les règlementations européennes NIS2 et DORA sont une réponse ambitieuse à la montée des risques cyber. Mais l’excès de contrôle pourrait détourner les entreprises de la sécurité opérationnelle en privilégiant la conformité au détriment de solutions pragmatiques.
Cette chronique partenaire est rédigée par Sylvie Jonas, avocate, fondatrice du cabinet Agil’IT et François Ehly, Manager gouvernance, risques & conformité d’Almond.
Il existe une règle d’airain dans les économies modernes, surtout en Europe : la montée des risques appelle des réponses réglementaires de plus en plus exigeantes. Devant l’ampleur, la fréquence et la diversité des cyberattaques, l’UE a édicté des règles communes afin de protéger une économie de marché ouverte et connectée.
C’est dans ce contexte que sont nées deux nouvelles régulations, NIS 2 et DORA.
En théorie, ce sont deux textes différents. La directive NIS2 appelle les entreprises à protéger leurs réseaux et systèmes d’information et à signaler aux autorités – l’ANSSI en France – tous les incidents de sécurité et les mesures prises pour les traiter.
Les organisations concernées sont les entités considérées comme « essentielles » ou « importantes » dans 18 secteurs et dont l’arrêt des infrastructures numériques aurait un impact significatif sur le fonctionnement de l’économie. Et cette directive inclut également les sous-traitants.
Deux règlementations qui se recouvrent
Effectif en janvier 2025, le règlement DORA apporte un cadre complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.
Les entités financières européennes ou opérant en Europe devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation de leurs systèmes d’information. DORA est en quelque sorte un texte spécial d’application de NIS2 pour le secteur financier, qui en théorie, n’aurait donc pas à appliquer NIS2.
Dans la réalité, les deux réglementations se recouvrent, et il n’est pas toujours simple de savoir si, comme fournisseur de services, on est une entreprise « essentielle » ou « importante » au titre de NIS2 et/ou concerné en même temps par DORA si l’on fournit ces services aussi à des entreprises du secteur financier. En fait, NIS2 et DORA ne sont pas en contradiction, mais expriment des différences dans la façon de penser les risques et dans les mécanismes de supervision.
Ces différences peuvent engendrer de possibles zones de friction et donc des coûts significatifs de mise en conformité pour les entreprises. En théorie, ce sont les régulateurs nationaux qui seront chargés de vérifier la conformité des entreprises : l’ANSSI ou l’ACPR en France. Cependant, à court terme, la sanction pourrait provenir, du marché ou des juridictions civiles, ce qui n’est pas des plus simples à gérer pour l’entreprise.
Contrôle partout, sécurité nulle part ?
Ces réglementations entrent ou vont entrer en vigueur alors que les entreprises ont déjà mis en œuvre des procédures de protection et de résistance aux cyberattaques. Or, de façon assez contre intuitive, l’excès des dispositifs de contrôle que pourrait provoquer la mise en conformité avec NIS2 et DORA serait susceptible de nuire à la sécurité, du fait de contrôles très granulaires et donc très lourds, poussant leur logique jusqu’aux fournisseurs des fournisseurs, par exemple.
Consacrer d’importants moyens aux contrôles ne garantit pas une sécurité accrue, le risque étant de viser la conformité pour elle-même. La conformité est un levier, mais elle ne peut primer sur l’efficacité opérationnelle.
Appliquer le bon sens du modèle universel de cybersécurité est une excellente façon de se mettre en pré conformité ou en conformité. Une seule chose compte : que les procédures de sécurité puissent prévenir les incidents ou limiter leur impact.
Pour l’heure, dans l’incertitude où sont les entreprises quant aux contours et conditions d’applications de ces deux réglementations, il serait bon que les acteurs publics se concentrent sur les décrets d’application, les textes complémentaires et les bonnes pratiques, et suspendent de nouvelles législations.