Mieux comprendre NIS2 et les impacts pour votre entreprise
Le défi cyber aujourd’hui va bien au-delà des enjeux technologiques, il s’agit d’un sujet de société dont il faut s’emparer sans se dire que son entreprise est intouchable. En effet, cela serait faire fausse route de ne pas tenir compte des risques.
D’ailleurs, cela devient également un sujet réglementaire…même si 23%* des dirigeants informatiques n’ont jamais entendu parler de la nouvelle directive européenne NIS2, elle entrera en vigueur prochainement.
Dans ce contexte, cet afterwork a été conçu pour vous partager des “insights” marché et un regard pragmatique sur les évolutions et les enjeux cyber des PME et ETI françaises.
*Étude Usine Digitale, Octobre 2024
PANORAMA DU MARCHÉ DU CLOUD & CYBER
Présenté par Éric Beaudet, Senior Analyst et Consultant chez PAC.
PAC, spécialiste du marché et des services cloud et cyber, se charge d’analyser uniquement le marché européen. Avec 45 années de recherche et d’expérience, PAC Analyst se positionne comme une référence en termes d’analyse, avec des analystes présents dans 6 pays européen qui rendent compte des tendances de marché et de ces enjeux pour les PME.
Aujourd’hui, le marché du Software et des IT Services (SITS) représente 60 milliards de dollars et augmente de 6% par an. Ce marché, qui ne connaît pas la crise, ne devrait pas connaître de décroissance, bien au contraire. Quand on parle de technologie, on parle de secteur cyclique. « Sur les services IT, on a un secteur extrêmement résistant » rajoute Éric Beaudet. Ce secteur est vu comme un élément et un moyen de moderniser son cycle marché en cas de crise.
5 domaines clés tirent aujourd’hui la croissance. D’abord la sécurité, mais aussi la data, soit chercher à utiliser les données de l’entreprise pour améliorer son fonctionnement interne englobant ses produits, ses services et ses clients. Nous avons également l’IA générative, du marketing, de la finance, à la RH, l’IA générative va être utilisé pour aller chercher de la valeur. Afin qu’elle soit pertinente et qu’elle détienne davantage de valeur, il faut qu’elle utilise les propres données de l’entreprise. Puis nous avons la souveraineté et le move to cloud. « On considère le Cloud comme la clé, le vrai moteur du marché. » Éric Beaudet.
Le marché est tiré par le cloud, qui comptabilise une croissance de 10%. Pour la première fois, on voit que les investissement cloud représentent plus de la moitié des investissements IT.
Parmi les principaux moteurs, on observe que c’est l’agilité et la flexibilité relationnelle qui intéressent les entreprises davantage que l’optimisation des coûts. L’innovation et le cloud verticalisé sont des points clés dans son adoption. Même si l’argument financier reste important « Investir pour ensuite amortir grâce à du As A Service apporte davantage de flexibilité en termes de croissance » commente Éric Beaudet.
Parmi les principaux obstacles de l’adoption du cloud, la pénurie de main d’œuvre. Il faut prendre en compte le côté RH de cette migration. « Le move to cloud est un projet RH avant tout » avance Éric Beaudet. En premier lieu, il faut projeter les DSI pour embarquer toutes les formes humaines. Aujourd’hui, on peut faire face à des stress de compétences sur le marché. De son côté, le cloud coûte plus cher que le On Prem, car on va chercher davantage de service, « les gens qui ont déplacés leurs workloads sur le cloud montrent que l’optimisation est la clé » confirme Éric Beaudet. Les obstacles peuvent aussi être liés à la sécurité et la souveraineté des données, en effet, les règlementations sont assez strictes en France et cela représente un vrai sujet politique plus qu’IT. Le silo organisationnel peut aussi être un frein car un projet cloud c’est transformer son entreprise pour la faire fonctionner de manière agile et faire innover la partie métier. C’est un changement au plus proche de la DSI afin d’emmener chaque métier au Move to cloud.
Parmi les landscapes présentés par PAC, on peut constater que Naitways se démarque significativement et positivement sur 3 segments : services cloud managés, services d’infrastructure cloud et spécialistes du mid-market.
La cybersécurité en France comporte des enjeux et des challenges pour les PME et ETI. Le rapport de BNP Assurance avance que le risque de défaillance de l’entreprise augmente de 50% dans les 6 mois qui suivent l’annonce d’un incident. Les attaques ont des conséquences colossales, environ 130000 euros de coût moyen pour une PME, sachant que 41% d’entre elles ne récupèrent pas leurs données. « L’impact est multiple et important, même chose pour les impacts financiers qui sont extrêmement longs. Tout est impacté à long terme. » confirme Éric Beaudet.
D’après une enquête auprès de 2000 DSI, la préoccupation IT des entreprises est la cybersécurité et cela représente 10% du marché total des investissements IT des entreprises françaises. « Le risque cyber augmente, les entreprises en prennent conscience et ça se reflète sur le marché » commente Éric Beaudet.
Les services sont une part importante du marché de la cybersécurité. On distingue 2 grandes familles, d’un côté les plateformes et logiciels et de l’autre, les services, qui continuent de prendre des parts de marché. De plus en plus d’entreprises n’ont pas les compétences en interne et vont donc sous-traiter cette partie.
Les principales menaces pour les entreprises représentent le piratage de compte ou hameçonnage, qui sont à l’origine déclenchés par des erreurs humaines. « Il faut rester vigilants et sensibiliser au maximum car les menaces se complexifient. » rajoute Éric Beaudet.
Les grands enjeux face à ces menaces sont le manque de ressources financières. Avec une règlementation changeante, il faut avoir l’aval du top management pour pouvoir augmenter les investissements, ce qui n’est pas toujours évident. L’absence d’expertise est aussi un point bloquant, entre 2020 et 2023, une attrition est à déplorer dans le secteur. « Il est important de pouvoir attirer de l’expertise. » conseille Éric Beaudet.
Un autre enjeu est le suivi réglementaire. NIS2 va avoir un vrai impact de ce côté-là, surtout pour les PME. Suivi par la protection des données sensibles et la capacité à assurer une continuité d’activité. « Aujourd’hui les entreprises connaissent le risque cyber, elles investissent en ce sens mais il ne faut pas lésiner sur le plan B. Qui appelle-t-on le dimanche soir à 23h lors d’un incident ? Il faut savoir qui a les compétences au sein de l’entreprise, définir justement un plan tracé des compétences, c’est pourquoi l’anticipation est primordiale. » alerte Éric Beaudet. S’ajoute à cela les enjeux de sensibilisation, « Il ne faut pas hésiter à former, mettre en place des jeux de rôles, de créer des faux hameçonnages par la DSI pour sensibiliser, car l’erreur humaine est l’une des premières causes. »
TABLE RONDE SUR LES DÉFIS CYBER
« Comment répondre aux exigences réglementaires, financières et technologiques du défi cyber ».
Animée par Emilie Carmagnac, Directrice Marketing chez Naitways et avec, Maïa Spy, Avocate Associée, Nicolas Aftimos, Directeur chez Andera Acto et Thomas Maret, RSSI chez Naitways.
Maïa est avocate spécialisée dans le droit européen et réglementaire. Elle nous en apprend davantage sur NIS2. Mais avant NIS2, il y a tout d’abord eu NIS 1. Cette directive avait déjà pour but de renforcer la cybersécurité en Europe avec un cadre législatif commun pour les opérateurs de services essentiels et les fournisseurs de services numériques. Pour mieux répondre aux enjeux actuels, l’Union Européenne a jugé nécessaire de mettre à jour cette directive. « La menace évoluait et ce n’était pas suffisant », ajoute Maïa Spy.
Aujourd’hui, il est important que les enjeux de sécurité soient pris en compte par les PME car les cibles ont changé.
De son côté, la règlementation DORA est encore plus contraignante et les publics concernés, comme les banques par exemple, n’ont pas attendu pour investir sur ce point « car si on touche nos banques, on touche directement les organismes reliés à ces banques. » explique Maïa Spy.
Le RGPD a été le premier règlement qui a changé la donne dans la gestion des données européennes et NIS2 est en train de révolutionner les codes à son tour. NIS2 va étendre ses périmètres dans les secteurs hautement critiques mais aussi les moins critiques. Par-là même, vont être désignés des entités essentielles et importantes, qui vont se différencier en fonction du secteur visé ou de leur taille. « Une grande entreprise qui agit dans un autre secteur critique sera considéré comme une entité importante » précise Maïa Spy, « On distingue essentielle et importante pour ne pas faire peser la même obligation, il y a une sorte de gradation, appelé en droit : le principe de proportionnalité ». Pour comprendre, si l’on fait appel à un prestataire informatique d’une entité importante, on va se voir appliquer par ricochet les obligations NIS2.
Un simulateur est présent sur le site de l’ANSSI pour savoir qui est concerné :
https://monespacenis2.cyber.gouv.fr/simulateur
Il existe des sanctions pour les entreprises ne se pliant pas à ces niveaux d’exigences, sanctions qui peuvent monter à 2% du CA ou 10 millions d’euros pour les entités essentielles et 1,4% du CA ou 7 millions d’euros pour les entités importantes.
Le projet de loi a été présenté le 16 octobre en Conseil des ministres. Il va donc être bientôt soumis aux parlementaires pour discussion.
Il est donc enfin disponible officiellement via le lien suivant : https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000050349138/
L’ANSSI a déjà annoncé qu’elle allait donner des délais pour la mise en conformité des entreprises. « Une fois que tout cela sera transposé, il faudra savoir si vous êtes concernés et ensuite décider des mesures techniques à mettre en place. » informe Maïa Spy.
Dans le cadre de NIS2, les incidents de cybersécurité vont être notifiés et devront être réglés dans les 24h, ce qui est assez court dans la vie d’une entreprise. Il faut donc anticiper au niveau humain et anticiper en interne qui fait quoi.
Tout anticiper, c’est l’un des avantages de NIS2 car c’est une bonne trame pour commencer à réfléchir sur ce que vous devez faire côté cyber, « Documentez-vous, et que vous soyez une entité essentielle ou importante, justifiez-le auprès de vos clients en leur démontrant que vous avez mis en place des actions en ce sens. » conclut Maïa Spy.
Thomas Maret, RSSI chez Naitways, prend la parole afin de spécifier les actions que les DSI doivent mettre en œuvre pour respecter les prérequis technologiques imposés par NIS2.
Tout d’abord, Thomas revient sur le fait que le caractère législatif admet toujours une latence par rapport aux faits de société. C’est leur observation qui permet de définir la règle et donc la cybersécurité n’échappe pas à cette règle : NIS2 est le fruit d’une réflexion sur les dangers numériques impactant des entreprises, des états, …
Si NIS2 apparaît dans un contexte géopolitique compliqué (guerre Ukraine / Russie, tensions au Moyen Orient …), c’est pour accentuer cette nécessité d’extrapoler les mesures de NIS 1 qui se limitaient uniquement à un nombre restreint d’organisations (OSE principalement).
« Pour préparer NIS2, la première étape est d’avoir une sécurité au fait de l’actualité. » énonce Thomas Maret. L’objectif est d’instaurer une gouvernance sur l’ensemble des composantes d’une organisation et considérer la sécurité comme indispensable, admettant une pluralité de dimensions. Elle s’applique au SI d’un point de vue technique mais aussi aux ressources humaines, financières et organisationnelles.
En tant que DSI, il est important de se rappeler les critères fondamentaux de la sécurité et de son appréciation « À chaque ressource, il est nécessaire de se poser la question des risques sur les ressources et/ou processus instaurés par le biais du fameux DICT ou son pendant désigné communément par l’acronyme CIA. » conseille Thomas Maret.
En effet, il est nécessaire d’apprécier avec les critères de disponibilité, d’intégrité, de confidentialité et de traçabilité (DICT) sur l’ensemble des opérations et services de son SI. Cela transparaîtra clairement dans NIS2 et démontrera l’importance pour les entreprises de cartographier leur SI et d’y accoler une analyse de risque pour chacune des composantes. « Pour attribuer des notions de risques et criticités, il est nécessaire de connaître son périmètre. Chaque DSI devra dès lors documenter son SI, réaliser des interviews pour les processus actifs ou non présents dans son SI, comprendre les besoins et enjeux métiers pour y faire correspondre des mesures de sécurité. » avance Thomas Maret.
Une autre considération à prendre en compte est la vision qu’un SI entretient avec des relations internes mais aussi externes. Il faut être en mesure d’identifier chaque prestataire et fournisseur de service qui entretient des relations avec le SI et de prôner une approche par le risque.
Dans le cadre de NIS2, il est nécessaire de mettre l’accent sur la notification des incidents de sécurité et développer un processus de gestion de crise : savoir qui réalisera quelles actions (communication interne/externe, traitement opérationnel…).
Les crises cyber sont un fait indéniable et toute organisation doit l’intégrer « C’est uniquement une question de temps, il faut savoir comment on viendra à gérer sa mitigation, ses impacts… C’est pourquoi il faut mettre en place des politiques de gouvernances et des procédures comme la gestion d’incidents, de crise et opter pour des PCA/PRA. » prévient Thomas Maret.
Une bonne façon d’appréhender la cybersécurité dans sa globalité est de se pencher sur des « frameworks » comme la norme ISO 27001. Elle permettra de définir l’ensemble des grands critères pour manager les ressources et les processus de son SI avec une approche cyber.
Au travers des crises et grâce à une analyse de risques, il sera nécessaire de projeter, l’ensemble des impacts sur les dimensions humaines, organisationnelles, internes et externes, en vue de confiner au maximum les effets de bords.
« Une crise Cyber peut mettre en péril toute l’organisation et par ailleurs peut admettre de très lourds impacts financiers. » conclut Thomas Maret.
Nicolas Aftimos, Directeur chez Andera Acto, était notamment présent pour nous parler des risques d’un point de vue financier ainsi que des impacts sur la valorisation des entreprises. « En qualité d’investisseur, nous sommes souvent confrontés aux cyberattaques dans les entreprises qu’on accompagne, l’impact financier est multiple et réel. » avance Nicolas Aftimos. En effet, la perte de CA et d’activité va directement impacter l’entreprise dans sa valorisation. C’est un impact irréversible qui entraîne la perte de confiance des clients ainsi que sur les investissements. « Une société qui va être avancée en matière de cyber va être mieux valorisée. On a d’ailleurs instauré un audit cyber systématique dans la phase de décision et le processus d’investissement. » précise Nicolas Aftimos.
L’audit cyber va être réalisé par des experts indépendants, « on va regarder la conformité réglementaire, que la société n’ait pas eu sanctions, s’assurer que l’infrastructure IT soit robuste, la posture de l’entreprise face aux risques cyber et comment les anciens risques ont été gérés. » ajoute Nicolas Aftimos.
Andera porte une attention particulière à la protection de ses portefeuilles. L’audit cyber à lui seul ne suffit pas, il faut une continuité dans la surveillance cyber, la pérennité et les indicateurs de performance en place. Tout en sachant que les PME sont plus vulnérables que les grands groupes et les chiffres ne cessent d’être révélateurs.
« Investir dans la cybersécurité, c’est un véritable coût d’opportunité. » conclut Nicolas Aftimos.