[TRIBUNE de Félix Brombach, Tüv Rheinland] De nombreux événements récents ont confirmé la nécessité d’avoir à disposition une réglementation plus strictes en matière de cybersécurité. En particulier, la multiplication des cyberattaques contre les infrastructures critiques, comme la vulnérabilité Log4j et les attaques par rançongiciel dans les secteurs de la santé et de l'énergie, soulignent l'urgence de mesures telles que le Cyber Résilience Act et la directive NIS-2, deux textes portés par l’Europe. Félix Brombach, Practice leader, OT security Consulting au Tüv Rheinland en Allemagne explique ici les enjeux engendrés par ces nouvelles avancées législatives en Europe.
Parmi les textes européens qui entrent en vigueur sur le marché pour améliorer la cybersécurité des entreprises au niveau européen, la directive NIS-2 (Network and Information Security) tient une place centrale. Ce texte qui s’appuie sur les acquis de la directive NIS-1, marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen.
L'une des innovations les plus significatives de la directive NIS-2 est l'élargissement de son champ d'application à un plus large éventail de domaines d'activité, notamment des secteurs critiques comme l'énergie, les transports et la santé. De plus, la directive NIS-2 souligne l'importance de systèmes complets de gestion des risques, intégrant des mesures de sécurité de la chaîne d'approvisionnement pour se défendre contre des attaques de plus en plus sophistiquées.
Un autre changement majeur est l'introduction de la responsabilité personnelle des administrateurs qui ne respectent pas les exigences de sécurité de la directive.
Enfin, le non-respect des dispositions de la directive NIS-2 peut entraîner des sanctions importantes, pouvant aller jusqu'à dix millions d'euros ou 2% du chiffre d'affaires annuel mondial de l'entreprise.
Dans ce cadre, l’introduction de la notion de responsabilité personnelle suscite une attention croissante de la part des industriels. De nombreuses entreprises réagissent en intensifiant leurs investissements dans les stratégies de conformité et de cybersécurité afin de minimiser les risques de responsabilité. L'accent est également mis sur la formation et l'engagement des dirigeants.
Des investissements envers la cybesésucité, de plus en plus significatifs
Le renforcement des exigences de la directive, mais aussi du Cyber Resilience Act, autre grand texte structurant pour la cybersécurité en vigueur depuis le 10 décembre 2024, on constate une augmentation notable des investissements en matière de sécurité en Europe, notamment dans des secteurs tels que la finance, l'énergie et la santé, et ce afin de se conformer à ces nouvelles exigences et de sécuriser leurs infrastructures.
Face à ces textes, l'un des principaux défis auxquels les entreprises sont confrontées lors de la mise en œuvre des exigences de la NIS-2, par exemple, est la complexité de la nouvelle réglementation, qui exige une compréhension approfondie et une adaptation minutieuse des processus internes proposés à chaque entreprise.
A ce niveau, le coût de mise en œuvre d'une évaluation complète des risques et de mesures de sécurité de la chaîne d'approvisionnement peut s’avérer important, ce qui représente une charge financière non négligeable pour de nombreuses organisations. À ces difficultés s'ajoute le manque d'expertise interne dans de nombreuses entreprises, ce qui complique le respect efficace des nouvelles exigences strictes de la directive.
De nombreux défis à surmonter lors de la mise en œuvre de la NIS-2 et du Cyber Résilience Act
Lors de la mise en œuvre de la norme NIS-2, du Cyber Resilience Act, et aussi de la directive sur les équipements radio (RED, (Radio Equipment Directive) les entreprises internationales doivent harmoniser les différentes exigences réglementaires des différents pays. Elles doivent s'assurer de respecter à la fois la réglementation européenne et les autres normes internationales, telles que les directives du NIST aux États-Unis ou les réglementations sectorielles en Asie.
L'harmonisation de ces différentes réglementations est particulièrement complexe car certaines régions, comme les États-Unis, s'appuient davantage sur des approches fondées sur les risques, tandis que l’Union Européenne impose souvent des exigences de sécurité et des obligations de reporting plus strictes.
Pour surmonter ces difficultés, les organisations se tournent de plus en plus vers des cadres de conformité internationaux combinant différentes exigences réglementaires, tels que les normes ISO 27001 (sécurité des systèmes d’information), IEC 62443 (sécurité des réseaux de communication industriels) ou le NIST-CSF (National Institute of Standards and Technology - Cybersecurity Framework).
Aujourd’hui le constat est clair : les organisations doivent désormais réaliser des évaluations complètes des risques, élaborer des plans d'urgence et aligner leurs infrastructures IT (Information Technology) et OT (Operational Technology) sur les grandes familles de normes de sécurité citées précédemment.
Au-delà de ce cadre normatif, la formation des employés est aussi une étape importante pour promouvoir une culture de sécurité résiliente. Les entreprises commercialisant des produits numériques dans l’Union Européenne devant s'assurer que leurs produits sont conformes à la nouvelle réglementation. Ce qui implique de réaliser une analyse de préparation à l'évaluation des risques en vue d’identifier les produits couverts par cette évaluation et d'évaluer les écarts entre les normes.
Des avantages sur le long terme pour le Cyber Résidence Act
Dans ce paysage de la cybersécurité en Europe, le Cyber Relisnce Act apportera de notre point de vue des avantages sur le long terme à la fois pour les entreprises et les consommateurs. Notamment en introduisant le concept dit de "sécurité dès la conception" (surity by design) qui exige des fabricants qu'ils prennent en compte la sécurité dès le développement des produits, plutôt que de l'intégrer ultérieurement.
Les consommateurs pourront ainsi être assurés que les produits numériques qu'ils utilisent sont sécurisés et que leurs informations personnelles sont mieux protégées. De plus, les entreprises seront tenues de fournir des mises à jour de sécurité pour leurs produits pendant au moins cinq ans, garantissant ainsi aux consommateurs de continuer à bénéficier de niveaux de sécurité plus élevés après l'achat.