NIS2 : Ce que les conseils d'administration doivent faire

La NIS2 – une directive européenne qui suit les traces de la NIS1 – doit être pleinement mise en œuvre par les États membres d’ici le 17 octobre 2024. Cela signifie que les États membres auront eu le temps, entre le 16 janvier 2023 et le 17 octobre 2024, pour traduire cette loi en règles et instructions plus spécifiques afin de s’y conformer efficacement. Il est intéressant de noter que certains pays et secteurs ont déjà anticipé ce changement et commencé à s’y adapter. Dans cet article, je décris trois positions essentielles pour les conseils d’administration ou toute personne ayant un intérêt dans l’entreprise. Ainsi que les principales obligations que vous devez considérer à ce jour.





Trois positions clés

Actuellement, trois questions principales sont importantes à considérer avec la NIS2. J’utilise souvent cet exemple lorsque des membres de conseils d’administration ou des investisseurs me demandent : NIS2, que dois-je en faire ?

1. La responsabilité est essentielle pour vraiment comprendre votre rôle, car elle établit une norme de gestion qui influencera votre capacité à agir avec une liberté entrepreneuriale.
   
   

2. La délimitation (ou scoping). Il existe une idée reçue selon laquelle toute l’organisation doit se conformer à la NIS2. Pourtant, les exigences légales précisent clairement que seules les chaînes vitales de votre processus de production doivent s’y conformer. Celles dont la perturbation pourrait entraîner des troubles sociaux, des ruées bancaires, des décès ou d’autres types de catastrophes.
   
   

3. Évitez de réinventer la roue et ne vous laissez pas influencer par des consultants coûteux ou des entreprises de cybersécurité intimidantes, toutes avides de capitaliser sur cette tendance commerciale. Gardez à l’esprit que si votre organisation dispose déjà de certains « contrôles et équilibres », vous pouvez vous appuyer sur ceux-ci et fournir des détails plus spécifiques.
   
   
   

Ne sous-estimez pas l’importance de la spécification. Dans le cadre de la NIS2, certaines exigences impliquent de faire des choix, comme décider si vous souhaitez gérer certaines actions de sécurité opérationnelle en interne ou les déléguer à un spécialiste.

La NIS2 : un cadre avec lequel il faut composer

Je ne vais pas répéter ce que nous savons déjà, mais il y a quelques points importants à considérer au préalable. À savoir : mon entreprise appartient-elle à un secteur essentiel ou vital, ou mon entreprise est-elle un fournisseur dans cette chaîne ? Je vais utiliser un exemple issu d’une chaîne de distribution alimentaire pour décrire les exigences et implications spécifiques. Le document juridique stipule que les organisations impliquées dans « la production, la transformation et la distribution de denrées alimentaires, telles que définies à l’article 3, paragraphe 2, du règlement (CE) no 178/2002 du Parlement européen et du Conseil (3), engagées dans la production et la transformation industrielles et de gros " doivent se conformer aux exigences de la NIS2. Mais que sont les " entreprises alimentaires " dans ce contexte de la NIS2 ? Selon le Journal officiel des Communautés européennes, les entreprises alimentaires sont définies comme des organisations qui interviennent à n’importe quelle étape de la production, de la transformation et de la distribution de denrées alimentaires, et peuvent être soumises à la fois au droit public et privé. Elles peuvent opérer à but lucratif ou non lucratif. Plus précisément, cette chaîne d’approvisionnement inclut nos fournisseurs et prestataires de services, car " à n’importe quelle étape " le suggère également. Ces organisations doivent donc commencer à répondre à des exigences spécifiques.

Conséquences du non-respect des exigences de la NIS2 : L’autorité compétente peut infliger une amende administrative au contrevenant en cas de :


a. violation des dispositions de la présente loi ou de ses textes d’application;
b. violation de l’article 5:20(1) de la loi générale sur la procédure administrative.

Article 28 : L’autorité compétente est habilitée à imposer une ordonnance administrative pour faire respecter les dispositions de la présente loi ou de ses textes d’application.

Article 27 : L’autorité compétente peut enjoindre à la personne qui ne respecte pas les articles 7 ou 8 ou les règles détaillées visées à l’article 9, par une directive, de prendre les mesures spécifiées dans un délai raisonnable indiqué.

Devoir de diligence

Le devoir de diligence, dans ce contexte, fait référence aux préparations et mesures nécessaires prises par une organisation pour mettre en œuvre et maintenir efficacement la NIS2. Pensez à établir une structure organisationnelle transparente, avec des descriptions de rôles et de fonctions, ainsi qu’un cadre de gouvernance pour identifier les situations uniques ou les problèmes potentiels et prendre des décisions éclairées. Il ne suffit pas de nommer un Chief Information Security Officer (CISO) et d’espérer le meilleur. Il faut faire davantage pour garantir des résultats réussis. Dans la NIS2, le directeur, ou le conseil d’administration, a un rôle plus significatif dans la gouvernance pour éviter les amendes ou, pire encore, une exonération de responsabilité. Alors, que faire de la NIS2 ? Vous devez effectivement agir.

Selon l’article 21 des documents juridiques de la NIS2, il existe dix mesures que les organisations doivent prendre pour gérer efficacement les risques de cybersécurité. Non pas une seule fois, mais de manière continue. Tout comme vous tenez vos registres financiers à jour, il est important de les documenter de manière systématique et approfondie. Je mets en avant quelques mesures clés sous-estimées qui nécessitent une explication supplémentaire, en commençant par la réalisation d’une analyse des risques. Cela peut sembler évident, mais il est crucial de bien délimiter l’applicabilité de votre NIS2. Dans le cas de la transformation alimentaire, certains risques doivent être pris en compte. Ceux-ci incluent des attaques potentielles sur les systèmes de production ou les compteurs intelligents (IoT, OT), des attaques sur la chaîne d’approvisionnement, ou même des actes de sabotage d’équipements, c’est-à-dire tous les risques pouvant avoir un impact négatif sur la qualité des produits et, par conséquent, sur la santé publique. Prenons par exemple « le piratage du fromage » qui a laissé le distributeur mondial Ahold sans fromage pendant des semaines. Les rayons vides posent problème, mais du chocolat contaminé a des conséquences bien plus graves.

Stratégies Zero Trust

L’article 89 de la NIS2 aborde la mise en œuvre des principes Zero Trust. Cela signifie que nous mettons en place une technologie pour réguler plus strictement toute confiance implicite qui aurait pu se développer au fil des ans. Comme un contrôle supplémentaire du passeport et des bagages à l’aéroport. Dans le Zero Trust, il est crucial d’identifier ce qui est important et comment cela se rapporte à l’organisation. Cela implique d’abord de déterminer l’importance de la « surface à protéger ». Dans le cas de la production alimentaire, cela pourrait faire référence à un système où le lait est transformé par pasteurisation puis conditionné. Réaliser une analyse des risques pour ce système est important afin de déterminer son périmètre exact et les mesures nécessaires pour réduire les risques. Un prestataire de services peut se voir accorder l’accès au système pour effectuer des travaux de maintenance. Une manière efficace de réguler l’accès à un système consiste à renforcer ses contrôles d’accès en exigeant un facteur supplémentaire, comme un code généré par un authentificateur. Si les droits d’accès sont définis trop largement, cela peut permettre à des invités indésirables d’entrer. Cette mesure est si efficace qu’elle empêche environ la moitié de ces invités non désirés d’accéder au système.

Au fait, saviez-vous qu’une approche Zero Trust a été rendue obligatoire pour les partenaires commerciaux de l’OTAN par un décret exécutif en 2021 ?[4]

" Les professeurs Hunter et Westerman de Harvard ont examiné des entreprises qui traitaient la gestion des risques comme un processus d’amélioration continue et ont montré que celles qui le faisaient étaient perçues comme ayant une valeur marchande plus élevée."

Une stratégie Zero Trust repose sur divers concepts, y compris « ne faire confiance à rien, vérifier tout ». Cela signifie que chaque demande adressée à un système critique s’accompagne d’un processus de vérification supplémentaire, comme vous le connaissez peut-être avec Gmail ou Microsoft 365. Pour la commodité des utilisateurs, la vérification biométrique est désormais disponible, ce qui rend le processus beaucoup plus simple. Surveiller ces vérifications supplémentaires dans nos systèmes de production n’est pas seulement une pratique plus sûre, mais c’est aussi une exigence de la NIS2. En cas de problème, ces vérifications nous permettront d’identifier rapidement le problème et les parties appropriées à notifier, comme les partenaires de la chaîne, les clients, les fournisseurs ou éventuellement la police. Cette dernière relève de l’obligation de notification dans son intégralité. Vous devez être en mesure de reproduire, atténuer et signaler un incident grave de manière complète et efficace. Voici quelques exemples.

L’article F est mon préféré dans la NIS2 : « Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité. » Surtout étant donné que ces politiques et procédures sont fréquemment documentées sur papier mais rarement mises en pratique de manière efficace. En tant que praticien/chercheur avec 20 ans d’expérience, j’ai rarement rencontré une référence opérationnelle fiable pour cette question. Selon un rapport de CSOOnline, la moitié de tous les produits de sécurité ne sont pas configurés correctement, ce qui les fait mal fonctionner. C’est comme avoir une serrure sur votre porte avec la clé restée dedans jour et nuit. Et il faut savoir que la majorité des pirates utilisent des outils automatisés pour « tester » cette poignée de porte et peuvent ainsi entrer facilement. La principale cause des intrusions numériques réussies est donc une reconfiguration incomplète. C’est notre  "fruit à portée de main"  pour la solution. Le fruit est déjà par terre, il est donc très facile pour moi de le ramasser sans effort.

 La compétence informatique des conseils d’administration est positivement associée à la performance des entreprises. Les résultats suggèrent que la performance des entreprises n’est pas seulement meilleure, mais aussi plus constante dans le temps. » (Joshi, A. 2019)

Ce que nous pouvons apprendre des autres

Avant tout, inspirons-nous de l’approche américaine de la NIS2. L’ordonnance exécutive présidentielle adopte une approche descendante visant à améliorer la résilience cyber grâce au modèle Zero Trust en cinq étapes. De plus, les entreprises cotées en bourse sont tenues par la Security and Exchange Commission de nommer un CISO au conseil d’administration, tandis que le directeur de la Federal Trade Commission (FTC) peut être tenu responsable des « mauvaises pratiques ». Cette réglementation descendante rend les administrateurs plus conscients du besoin d’informations clés de pilotage pour suivre efficacement la mise en œuvre de la NIS2 et éviter toute duplication. En fait, plusieurs des processus et tâches liés au RGPD (santé et notification) sont comparables à ceux de la NIS2 et peuvent être développés davantage.

Cinq questions que les conseils d’administration peuvent poser

Outre la responsabilité de diligence et de notification, les administrateurs ont également le devoir de dispenser une éducation parmi leurs autres obligations. Similaire à l’exigence de points de formation continue pour les superviseurs et les managers, ce programme vise à sensibiliser et à transférer des connaissances afin de développer des compétences et de permettre une action efficace. Les cours que je propose aux administrateurs et aux managers à l’Antwerp Management School sont conçus pour enseigner diverses compétences, comme permettre au CISO de penser comme un DAF et vice versa, afin qu’ils puissent mieux comprendre et remplir leurs rôles respectifs. Ainsi, ils peuvent mieux comprendre les perspectives de chacun et travailler ensemble en tant qu’alliés. Et ainsi, nous pouvons réfléchir à la manière d’atteindre une efficacité maximale avec des ressources minimales. Ici, je vous fournis un petit échantillon des questions abordées lors de ces sessions de formation. Les administrateurs et DG peuvent poser ces questions à leur responsable de la sécurité à l’avance. Pour obtenir l’état actuel et les progrès de la NIS2 :

-Quels étaient les principaux résultats de l’analyse des risques menée sur nos chaînes clés de Protect Surfaces ? Quels plans de traitement avons-nous développés pour garantir que nous atteignons le résultat souhaité ? Enfin, quel est ce résultat souhaité ?

-Qui dans notre chaîne d’approvisionnement est disponible 24h/24 et 7j/7 en cas d’incident, et quand cela a-t-il été testé pour la dernière fois ?

-À qui et quoi devons-nous signaler en cas d’incident ou de perturbation ? Avons-nous récemment testé ce processus, et si oui, quelles leçons en avons-nous tirées ?

-Quel est notre délai typique pour détecter et contenir les incidents en termes d’impact sur les opérations et les échanges ? Quand ce délai est-il testé en réalité ?

-Comment pouvons-nous mesurer l’efficacité de nos mesures de sécurité et nous assurer qu’elles sont correctement mises en œuvre en temps réel ? Cela inclut la vérification de la qualité de nos mesures, comme leurs configurations.

Poser ces questions facilitera un dialogue constructif, tant avant le 18 octobre qu’après la date de mise en œuvre.

Hooper déclare que  "les organisations doivent intégrer leurs préoccupations en matière de cybersécurité dans leurs critères de sélection des membres du conseil d’administration."

Nouvelles perspectives sur la conformité

Maintenant que nous prenons des mesures pour garantir la diligence, la notification et la réaction en cas de perturbations, ainsi que l’éducation, nous sommes sous la supervision des autorités. Nous savons déjà que le grand nombre d’entreprises conformes à la NIS2 dans l’UE, en plus de toutes sortes d’autres législations européennes à venir, posera des défis pour les superviseurs. Ceux-ci manquent non seulement de capacité, mais aussi des connaissances technologiques nécessaires des auditeurs. Le petit nombre d’auditeurs actuellement capables de gérer la NIS2 est insuffisant. Ils devront donc explorer des méthodes alternatives de supervision. Tout comme pour les rapports financiers ou les déclarations de TVA, nous pouvons également nous inspirer de « l’inversion de la charge de la preuve ». Nous demandons aux parties supervisées de soumettre un rapport périodique, « Déclaration de maîtrise », pour démontrer l’efficacité de la mise en œuvre de la NIS2. J’ai écrit précédemment à ce sujet comme une sorte de « label de conformité NIS2 », et cette idée semble gagner du terrain auprès des décideurs politiques. En fait, un label de conformité par le biais d’une déclaration de maîtrise peut servir de proposition de vente unique (USP) pour les entreprises.





La conformité comme proposition de valeur unique (USP)

En fin de compte, je pense que les entrepreneurs ont la responsabilité de réfléchir de manière critique et stratégique, spécifiquement à la manière dont les nouveaux développements peuvent les affecter et comment ils peuvent y répondre de manière proactive. Voici trois réflexions que vous pouvez discuter avec votre équipe de direction dès maintenant :

-Comment pouvons-nous réutiliser efficacement les processus et procédures existants, tels que ceux déjà établis pour l’ISO9001, 27001 ou le RGPD, lors de la mise en œuvre de la NIS2 ? De plus, comment pouvons-nous intégrer « la réutilisation » dans cette mise en œuvre ? Par exemple, pouvons-nous effectuer une mesure une fois par an et rester conformes à diverses lois et réglementations ? Le principe connu sous le nom « tester une fois, se conformer plusieurs fois » peut être exploré plus avant grâce aux informations fournies ici.

-Comment puis-je assumer ma responsabilité managériale et réfléchir de manière stratégique pour mettre en place les processus requis pour la NIS2, y compris les opérations de sécurité et la réponse aux incidents ? Par exemple, dois-je gérer cette tâche moi-même, ou dois-je tenter de recruter, former et retenir des employés dans un marché du travail compétitif ? En tant qu’entreprise alimentaire, je reconnais que la sécurité n’est pas mon domaine principal. Ou les acteurs commerciaux du marché sont-ils mieux équipés pour cela ? J’ai précédemment écrit sur « l’effet IKEA » et le choix entre faire quelque chose soi-même ou l’externaliser.

-Enfin, je dois réfléchir à ce que mon plan d’investissement doit inclure en ce qui concerne la NIS2 et d’autres réglementations et normes sectorielles. En tant qu’entrepreneur, il est important de considérer les appels d’offres commerciaux (RFPs) qui mandentat souvent la conformité à des normes sectorielles spécifiques pour le traitement de l’information. Pensez à la norme Payment Card Industry, à la NEN7510 pour les soins de santé, et à la Baseline Information Security for Government (BIO) si vous prévoyez de faire des affaires avec le gouvernement. Et si vous avez des ambitions pour faire des affaires à l’étranger, il est important de connaître la norme de la Federal Trade Commission (FTC) pour les entreprises financières faisant des affaires aux États-Unis et traitant plus de 5 000 enregistrements. De même, si vous prévoyez de faire des affaires en Californie, vous devez vous conformer à la California Consumer Privacy Act (CCPA). À l’avenir, une entreprise axée sur l’international devra peut-être gérer une large gamme d’exigences clients. Il est donc judicieux de considérer ces investissements et de maximiser la réutilisabilité des contrôles dès maintenant.

Les entreprises qui abordent de manière proactive la sécurité de l’information et les risques cyber savent comment gérer la NIS. En tirant parti de leur conformité à la NIS2 comme USP, elles peuvent prendre un avantage sur leurs concurrents. Cela leur permettra d’être perçues par les clients comme une entreprise qui valorise la qualité, la transparence et l’honnêteté.

À propos de l’auteur :

Yuri Bobbert est professeur en sciences des systèmes d’information (ISS) à l’Antwerp Management School (AMS). En plus de son travail académique, il est également activement engagé dans la pratique à travers le monde, en tant que PDG d’Anove et CSO mondial d’ON2IT. Il gère de nombreux projets de recherche, y compris ceux liés au Zero Trust, à la cybersécurité mesurable, aux cadres standardisés, à la cyberéconomie et à la prise de décision, ainsi qu’à une cybersécurité abordable pour les petites et moyennes entreprises (PME).

Références :

[1] Les textes juridiques peuvent être trouvés à : https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555#d1e32-143-1


[2] https://www.rtlnieuws.nl/economie/tech-business/artikel/5224919/kaas-hack-lege-schappen-albert-heijn

[3] En 2022, le fabricant belge de chocolat Barry Callebaut a rappelé son chocolat en raison d’une infection à la salmonelle dans sa chaîne de production. https://www.vrt.be/vrtnws/nl/2022/04/05/ferrero-terugroepactie/

[4] Décret exécutif sur l’amélioration de la cybersécurité de la nation. https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[5] Réglementations technologiques : Comment soulager la charge des organismes de supervision et réduire les risques pour les investisseurs. https://www.anove.ai/post/tech-regulations-how-to-relieve-the-burden-of-supervisory-bodies-and-reduce-the-risk-for-investors

[6] L’effet IKEA sur les décisions d’investissement en cybersécurité. https://12ways.net/blogs/the-ikea-effect-on-cybersecurity-investment-decisions/