NIS2 & PME #5 : quelles différences entre cybersécurité et informatique ?

« La cyber­sécu­rité ? C’est mon infor­mati­cien qui gère. ». Nous l’en­ten­dons dans presque toutes nos pre­mières dis­cus­sions avec des dirigeants de PME. L’in­tu­ition se com­prend. L’at­taque passe par les ordi­na­teurs, la défense sem­blerait donc une affaire d’or­di­na­teurs. Et l’in­for­mati­cien est indis­pens­able, car c’est lui qui déploie les défens­es tech­niques.

Mais NIS2 nous mon­tre que lui faire porter seul la respon­s­abil­ité de la sécu­rité est une erreur de gou­ver­nance. Et nous pen­sons que la démon­stra­tion ne se résume pas au slo­gan « la cyber­sécu­rité est une affaire de direc­tion (ou gou­ver­nance ou pilotage) », répété partout sans jamais être claire­ment expliqué.

Le texte est plus pré­cis. En le lisant dans sa total­ité, nous avons relevé que l’ex­pres­sion « ges­tion des risques en matière de cyber­sécu­rité » y revient plus de 50 fois. Faire de la cyber­sécu­rité, au sens de NIS2, c’est donc gér­er des risques. 

Dans cet arti­cle, nous allons répon­dre à la ques­tion « Quelles dif­férences entre cyber­sécu­rité et infor­ma­tique » en nous appuyant sur la direc­tive NIS2 qui fixe les nou­velles normes en matière de cyber­sécu­rité dans l’UE.

Que vous soyez directe­ment soumis à la direc­tive NIS2, four­nisseur d’une entité assu­jet­tie, ou hors périmètre NIS2, cet arti­cle vous donne les clés pour com­pren­dre et anticiper les nou­velles normes de cyber­sécu­rité dans l’U­nion européenne.
Cet arti­cle fait par­tie de notre série “NIS2 & PME“. Pour clar­i­fi­er votre statut ou com­pren­dre les exi­gences de la direc­tive, vous pou­vez vous référ­er à l’article #1 : NIS2, quoi, quand, qui, com­ment ?

La cybersécurité commence par l’analyse des risques

NIS2 place l’analyse des risques de cyber­sécu­rité en tête de ses dix mesures min­i­males oblig­a­toires (arti­cle 21.2.a) : « les poli­tiques rel­a­tives à l’analyse des risques et à la sécu­rité des sys­tèmes d’information ».

Le mot n’est pas choisi au hasard par le lég­is­la­teur. NIS2 n’im­pose pas « des out­ils de sécu­rité », mais des « mesures de ges­tion des risques ». La nuance pour nous est limpi­de.

Partout où elle est pra­tiquée sérieuse­ment, la ges­tion des risques com­mence par l’analyse des risques. Cela con­siste à iden­ti­fi­er les act­ifs vitaux pour l’ac­tiv­ité, repér­er les men­aces qui pèsent sur eux, éval­uer leur prob­a­bil­ité et leur impact, puis pri­oris­er les solu­tions pour réduire le risque. 

Cette pre­mière étape relève d’un choix stratégique. Car avant de savoir com­ment sécuris­er tech­nique­ment, le dirigeant doit décider ce qui doit être pro­tégé en pri­or­ité. Elle sup­pose de con­naître son entre­prise, ses clients et ses four­nisseurs, et de savoir ce qui la met­trait à l’ar­rêt.

Un dirigeant qui achète des solu­tions avant d’avoir analysé ses risques pro­tège peut-être le mau­vais act­if.

NIS2 consacre et impose les principes de la gestion des risques

Si la cyber­sécu­rité est de la ges­tion des risques, alors elle obéit à des principes bien con­nus et éprou­vés pour être effi­cace.

C’est ici que la lec­ture de NIS2 devient éclairante, car la direc­tive s’appuie sur deux d’entre eux, presque mot pour mot. De plus, elle les rend oblig­a­toires pour la cyber­sécu­rité.

1. La séparation des rôles

En ges­tion des risques, elle est for­mal­isée par la logique des trois lignes de défense, pour com­bat­tre les con­flits d’intérêts. Elle est large­ment adop­tée dans le secteur financier, par exem­ple, où les risques sont mul­ti­ples, nom­breux et com­plex­es.

Cela sig­ni­fie que celui qui implé­mente (1ère ligne) n’est ni celui qui l’ap­prou­ve et la super­vise (2ème ligne), ni celui qui en con­trôle l’ef­fi­cac­ité de façon indépen­dante (3ème ligne). Car on ne peut pas être à la fois juge et par­tie : per­son­ne ne sait s’auto-évaluer avec lucid­ité.

Si le texte de la direc­tive n’u­tilise pas textuelle­ment l’ex­pres­sion “sépa­ra­tion des rôles”, il en ordonne les con­tours logiques. 

  • L’ap­pro­ba­tion et la super­vi­sion des mesures revi­en­nent à l’organe de direc­tion (arti­cle 20).
  • Et l’éval­u­a­tion de leur effi­cac­ité fait l’ob­jet de procé­dures dédiées (arti­cle 21.2.f), ce qui appelle, en bonne ges­tion, un regard dis­tinct de celui qui les a mis­es en œuvre.

Cette archi­tec­ture textuelle pousse implicite­ment à dis­tinguer les fonc­tions. Autrement dit, l’exé­cu­tion des mesures est attribuée aux équipes (ex. l’in­for­ma­tique pour l’installation des solu­tions tech­niques ou la DRH pour la ges­tion des accès).

Pour en savoir plus sur la respon­s­abil­ité des dirigeants dans le cadre de NIS2, lire notre arti­cle “NIS2 & PME#2 : les 4 oblig­a­tions cyber des dirigeants”

2. L’approche « tous risques »

NIS2 la nomme lit­térale­ment (arti­cle 21.2) : « Les mesures visées […] sont fondées sur une approche « tous risques » ».

Cela veut dire en clair qu’une ges­tion des risques cyber effi­cace doit dépass­er le périmètre infor­ma­tique. Elle doit cou­vrir aus­si l’hu­main, l’or­gan­i­sa­tion, la sécu­rité physique et les four­nisseurs. Le risque cyber y est donc traité comme n’im­porte quel risque majeur de l’entreprise, dans sa glob­al­ité et de manière trans­ver­sale.

Ces principes ne sont pas une inven­tion de Brux­elles. Ils vien­nent des principes de ges­tion du risque, for­mal­isés depuis des décen­nies par des référen­tiels comme COSO ERM* ou l’ISO 31000.

(*) COSO ERM : Référen­tiel inter­na­tion­al de ges­tion des risques pro­fes­sion­nels, util­isé par les direc­tions générales pour pilot­er l’ensem­ble des risques d’une organ­i­sa­tion.

7 mesures minimales sur 10 relèvent d’une exécution non-technique

L’article 21 fixe dix exi­gences min­i­males de sécu­rité.

Or, notre analyse mon­tre que la mise en œuvre de ces oblig­a­tions ne se résume pas à de l’in­for­ma­tique.

Au con­traire, trois mesures seule­ment relèvent d’une exé­cu­tion pure­ment tech­nique (le chiffre­ment, l’authentification mul­ti­fac­teur et la sécu­rité du développe­ment).

L’exécution des sept autres mesures est soit pure­ment organ­i­sa­tion­nelle, soit hybride. Elles deman­dent de déploy­er des proces­sus d’en­tre­prise, des plans de for­ma­tion ou des révi­sions con­tractuelles bien avant de touch­er à l’in­fra­struc­ture réseau.

Le tableau ci-dessous résume l’analyse de LINARIS sur la nature de l’exé­cu­tion de chaque mesure. Nous nous appuyons sur les textes de la direc­tive NIS2, du règle­ment DORA, du règle­ment d’exécution (NIS2) 2024/2690 ain­si que sur notre expéri­ence ter­rain.

Tableau d’analyse LINARIS : Répar­ti­tion de l’exé­cu­tion des 10 mesures min­i­males NIS2
Les 10 mesures arti­cle 21.2 Tech
selon LINARIS
Non-tech
selon LINARIS
a. Analyse des risques et poli­tiques de sécu­rité  
b. Ges­tion des inci­dents
c. Con­ti­nu­ité d’ac­tiv­ité et ges­tion de crise
d. Sécu­rité de la chaîne d’ap­pro­vi­sion­nement  
e. Sécu­rité du développe­ment et de la main­te­nance  
f. Éval­u­a­tion de l’ef­fi­cac­ité des mesures  
g. Cyber­hy­giène et for­ma­tion
h. Cryp­togra­phie et chiffre­ment  
i. Sécu­rité RH, con­trôle d’ac­cès et ges­tion des act­ifs
j. Authen­tifi­ca­tion mul­ti­fac­teur et com­mu­ni­ca­tions sécurisées  

Sources : Direc­tive UE 2022/2555, LINARIS

Les trois exem­ples ci-dessous, en plus de la ges­tion des risques cyber déjà vue dans la sec­tion précé­dente, per­me­t­tent de mieux com­pren­dre la com­posante non-tech­nique.

1. La sécurité de la chaîne d’approvisionnement

C’est l’ob­jet de l’ar­ti­cle 21.2.d. Selon nous, l’exé­cu­tion de cette mesure est prin­ci­pale­ment juridique et com­mer­ciale. Il s’agit d’évaluer et gér­er le risque cyber que vos four­nisseurs font peser sur vous. Cela sup­pose de con­naître vos dépen­dances d’achat et de sous-trai­tance pour pou­voir inté­gr­er des exi­gences de cyber­sécu­rité pré­cis­es dans les con­trats d’achat. L’in­for­ma­tique n’in­ter­vient pas, ou alors à la marge pour valid­er un out­il tiers le cas échéant.

Pour en savoir plus sur les con­séquences de l’ex­i­gence de sécu­rité de la chaîne d’ap­pro­vi­sion­nement, lire notre arti­cle “NIS2 & PME #3 : l’ef­fet domi­no du risque four­nisseur”.

2. La sécurité des ressources humaines

C’est l’ob­jet de l’ar­ti­cle 21.2.i. Notre analyse mon­tre que l’exé­cu­tion de cette mesure est d’abord man­agéri­ale et RH. C’est gér­er les mou­ve­ments de per­son­nel sous l’angle cyber : déter­min­er qui a accès à quoi, for­mer les équipes de manière effi­cace, insuf­fler une cul­ture de vig­i­lance. C’est le rôle de la direc­tion, épaulée par la DRH, d’an­ticiper et maîtris­er les vul­néra­bil­ités liées au fac­teur humain. L’in­for­ma­tique exé­cute l’au­toma­ti­sa­tion de l’in­ven­taire tech­nique et le paramé­trage des accès logiques.

3. La continuité des activités et la gestion de crise

L’article 21.2.c en par­le. D’après notre analyse, l’exé­cu­tion est d’abord stratégique et logis­tique. Avant de con­fig­ur­er des serveurs de sec­ours, le chantier non-tech­nique con­siste à définir l’or­gan­i­sa­tion de la cel­lule de crise et l’or­dre de pri­or­ité de redé­mar­rage des métiers. L’exé­cu­tion tech­nique, très impor­tante et com­plexe, vient matéri­alis­er ces choix organ­i­sa­tion­nels.

Aucune de ces trois mesures ne s’in­stalle en téléchargeant un logi­ciel. Elles com­men­cent tou­jours par des déci­sions de ges­tion et d’or­gan­i­sa­tion.

Pour en savoir plus sur les 10 mesures min­i­males de NIS2, lire notre arti­cle “NIS2 & PME #1 : quoi, quand, qui, com­ment ?”

Par où commencer : les 3 premiers pas LINARIS

La direc­tive a prévu le cas des struc­tures de taille plus mod­este. Son arti­cle 21.2 impose des mesures « appro­priées et pro­por­tion­nées » à la taille de l’en­tité, à son degré d’ex­po­si­tion au risque et à la prob­a­bil­ité des inci­dents.

Une entité peut ain­si com­penser des moyens tech­niques plus lim­ités par une impli­ca­tion plus forte de sa direc­tion sur l’or­gan­i­sa­tion et la gou­ver­nance. En s’emparant de ces sujets non-tech­niques, le dirigeant peut combler l’é­cart et attein­dre le niveau de sécu­rité atten­du.

Par con­séquent, trans­pos­er la logique des 3 lignes de défense au sein de toute struc­ture sans alour­dir l’or­gan­i­sa­tion est tout à fait pos­si­ble à notre avis. Il ne s’ag­it pas de créer des départe­ments entiers, mais de sépar­er les rôles et d’ap­porter de la clarté. 

Voici nos trois pre­miers pas vers une cyber­sécu­rité alignée sur NIS2, qui ne néces­si­tent aucune exper­tise tech­nique.

1. Faire un état des lieux

Lis­ter toutes les respon­s­abil­ités con­fiées à votre respon­s­able ou prestataire infor­ma­tique, et repér­er celles qui relèvent du con­trôle et de la cyber­sécu­rité.

2. Nommer un référent cyber

Qu’il soit interne ou externe, choi­sis­sez un pro­fil dis­tinct de l’informatique, capa­ble d’analyser les risques et d’en ren­dre compte à la direc­tion avec un lan­gage cyber non tech.

3. Sortir la cybersécurité de la ligne budgétaire « informatique »

La traiter comme un risque d’entreprise à part entière. C’est cohérent avec les deux pre­miers pas et vous y ver­rez beau­coup plus clair.

En résumé

Là où l’in­for­ma­tique a pour mis­sion de faire fonc­tion­ner vos out­ils au quo­ti­di­en, la cyber­sécu­rité a pour mis­sion de s’as­sur­er que l’en­tre­prise sur­vivra si ces out­ils sont attaqués (résilience).

La cyber­sécu­rité décrite par NIS2 est avant tout une fonc­tion de ges­tion des risques. Elle exige des com­pé­tences spé­ci­fiques et une gou­ver­nance solide pour être pleine­ment effi­cace. L’infor­ma­tique inter­vient ensuite, tel un bras armé tech­nique. Dès lors, la cyber­sécu­rité ne s’y sub­stitue pas. Elle col­la­bore avec l’in­for­ma­tique comme avec toutes les autres fonc­tions de l’en­tre­prise, pour traiter un sujet devenu pro­fondé­ment trans­ver­sal.

En somme, une ges­tion des risques cyber bien menée est, tout sim­ple­ment, une bonne ges­tion d’en­tre­prise. Elle ne doit plus être perçue comme un cen­tre de coût infor­ma­tique, mais comme un investisse­ment stratégique qui pro­tège votre activ­ité, ras­sure vos clients et sécurise votre crois­sance, donc votre valeur.

Et si la valeur d’une organ­i­sa­tion dépend désor­mais de sa résilience cyber, dans quelle mesure ce critère va-t-il redéfinir la con­fi­ance com­mer­ciale et le choix de nos futurs parte­naires stratégiques ?

Auteur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs E‑commerce, Indus­trie

Con­tribu­teur
Lai Ly
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteurs Ser­vices Financiers

La cybersécurité est un métier à part entière

LINARIS est un cab­i­net spé­cial­isé dans la cyber­sécu­rité des PME. Il accom­pa­gne les dirigeants vers une cyber­sécu­rité prag­ma­tique et créa­trice de valeur, alignée sur les derniers stan­dards.

Pren­dre un ren­dez-vous avec un con­seiller LINARIS

Note d’édi­tion : Pour alléger la lec­ture, le mas­culin est employé dans cet arti­cle comme genre neu­tre. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique ; nous ne faisons aucune inter­pré­ta­tion juridique ou antic­i­pa­tion de la trans­po­si­tion française (voir notre men­tion com­plète ci-dessous).

Disclaimer

Cet arti­cle est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à sa date de pub­li­ca­tion. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne saurait engager la respon­s­abil­ité de l’édi­teur quant à l’ex­haus­tiv­ité des infor­ma­tions fournies. Les men­aces cyber et les niveaux de risque évolu­ant con­stam­ment dans le temps, toute déci­sion prise sur la base de cette lec­ture relève de la seule respon­s­abil­ité du lecteur.
Note spé­ci­fique à la direc­tive NIS2 : Comme indiqué en intro­duc­tion, les élé­ments partagés dans cet arti­cle découlent directe­ment du texte européen (Direc­tive (UE) 2022/2555) et restent soumis aux décrets de la trans­po­si­tion française. Ce con­tenu a une voca­tion pure­ment péd­a­gogique et prag­ma­tique. Il ne con­stitue pas un avis juridique et ne saurait en aucun cas rem­plac­er une analyse juridique per­son­nal­isée au cas par cas pour votre entre­prise.

Publications similaires