NIS2 & PME #5 : quelles différences entre cybersécurité et informatique ?
« La cybersécurité ? C’est mon informaticien qui gère. ». Nous l’entendons dans presque toutes nos premières discussions avec des dirigeants de PME. L’intuition se comprend. L’attaque passe par les ordinateurs, la défense semblerait donc une affaire d’ordinateurs. Et l’informaticien est indispensable, car c’est lui qui déploie les défenses techniques.
Mais NIS2 nous montre que lui faire porter seul la responsabilité de la sécurité est une erreur de gouvernance. Et nous pensons que la démonstration ne se résume pas au slogan « la cybersécurité est une affaire de direction (ou gouvernance ou pilotage) », répété partout sans jamais être clairement expliqué.
Le texte est plus précis. En le lisant dans sa totalité, nous avons relevé que l’expression « gestion des risques en matière de cybersécurité » y revient plus de 50 fois. Faire de la cybersécurité, au sens de NIS2, c’est donc gérer des risques.
Dans cet article, nous allons répondre à la question « Quelles différences entre cybersécurité et informatique » en nous appuyant sur la directive NIS2 qui fixe les nouvelles normes en matière de cybersécurité dans l’UE.
Que vous soyez directement soumis à la directive NIS2, fournisseur d’une entité assujettie, ou hors périmètre NIS2, cet article vous donne les clés pour comprendre et anticiper les nouvelles normes de cybersécurité dans l’Union européenne.
Cet article fait partie de notre série “NIS2 & PME“. Pour clarifier votre statut ou comprendre les exigences de la directive, vous pouvez vous référer à l’article #1 : NIS2, quoi, quand, qui, comment ?
La cybersécurité commence par l’analyse des risques
NIS2 place l’analyse des risques de cybersécurité en tête de ses dix mesures minimales obligatoires (article 21.2.a) : « les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ».
Le mot n’est pas choisi au hasard par le législateur. NIS2 n’impose pas « des outils de sécurité », mais des « mesures de gestion des risques ». La nuance pour nous est limpide.
Partout où elle est pratiquée sérieusement, la gestion des risques commence par l’analyse des risques. Cela consiste à identifier les actifs vitaux pour l’activité, repérer les menaces qui pèsent sur eux, évaluer leur probabilité et leur impact, puis prioriser les solutions pour réduire le risque.
Cette première étape relève d’un choix stratégique. Car avant de savoir comment sécuriser techniquement, le dirigeant doit décider ce qui doit être protégé en priorité. Elle suppose de connaître son entreprise, ses clients et ses fournisseurs, et de savoir ce qui la mettrait à l’arrêt.
Un dirigeant qui achète des solutions avant d’avoir analysé ses risques protège peut-être le mauvais actif.
NIS2 consacre et impose les principes de la gestion des risques
Si la cybersécurité est de la gestion des risques, alors elle obéit à des principes bien connus et éprouvés pour être efficace.
C’est ici que la lecture de NIS2 devient éclairante, car la directive s’appuie sur deux d’entre eux, presque mot pour mot. De plus, elle les rend obligatoires pour la cybersécurité.
1. La séparation des rôles
En gestion des risques, elle est formalisée par la logique des trois lignes de défense, pour combattre les conflits d’intérêts. Elle est largement adoptée dans le secteur financier, par exemple, où les risques sont multiples, nombreux et complexes.
Cela signifie que celui qui implémente (1ère ligne) n’est ni celui qui l’approuve et la supervise (2ème ligne), ni celui qui en contrôle l’efficacité de façon indépendante (3ème ligne). Car on ne peut pas être à la fois juge et partie : personne ne sait s’auto-évaluer avec lucidité.
Si le texte de la directive n’utilise pas textuellement l’expression “séparation des rôles”, il en ordonne les contours logiques.
- L’approbation et la supervision des mesures reviennent à l’organe de direction (article 20).
- Et l’évaluation de leur efficacité fait l’objet de procédures dédiées (article 21.2.f), ce qui appelle, en bonne gestion, un regard distinct de celui qui les a mises en œuvre.
Cette architecture textuelle pousse implicitement à distinguer les fonctions. Autrement dit, l’exécution des mesures est attribuée aux équipes (ex. l’informatique pour l’installation des solutions techniques ou la DRH pour la gestion des accès).
Pour en savoir plus sur la responsabilité des dirigeants dans le cadre de NIS2, lire notre article “NIS2 & PME#2 : les 4 obligations cyber des dirigeants”
2. L’approche « tous risques »
NIS2 la nomme littéralement (article 21.2) : « Les mesures visées […] sont fondées sur une approche « tous risques » ».
Cela veut dire en clair qu’une gestion des risques cyber efficace doit dépasser le périmètre informatique. Elle doit couvrir aussi l’humain, l’organisation, la sécurité physique et les fournisseurs. Le risque cyber y est donc traité comme n’importe quel risque majeur de l’entreprise, dans sa globalité et de manière transversale.
Ces principes ne sont pas une invention de Bruxelles. Ils viennent des principes de gestion du risque, formalisés depuis des décennies par des référentiels comme COSO ERM* ou l’ISO 31000.
(*) COSO ERM : Référentiel international de gestion des risques professionnels, utilisé par les directions générales pour piloter l’ensemble des risques d’une organisation.
7 mesures minimales sur 10 relèvent d’une exécution non-technique
L’article 21 fixe dix exigences minimales de sécurité.
Or, notre analyse montre que la mise en œuvre de ces obligations ne se résume pas à de l’informatique.
Au contraire, trois mesures seulement relèvent d’une exécution purement technique (le chiffrement, l’authentification multifacteur et la sécurité du développement).
L’exécution des sept autres mesures est soit purement organisationnelle, soit hybride. Elles demandent de déployer des processus d’entreprise, des plans de formation ou des révisions contractuelles bien avant de toucher à l’infrastructure réseau.
Le tableau ci-dessous résume l’analyse de LINARIS sur la nature de l’exécution de chaque mesure. Nous nous appuyons sur les textes de la directive NIS2, du règlement DORA, du règlement d’exécution (NIS2) 2024/2690 ainsi que sur notre expérience terrain.
| Tableau d’analyse LINARIS : Répartition de l’exécution des 10 mesures minimales NIS2 | ||
|---|---|---|
| Les 10 mesures article 21.2 | Tech selon LINARIS |
Non-tech selon LINARIS |
| a. Analyse des risques et politiques de sécurité | ✔ | |
| b. Gestion des incidents | ✔ | ✔ |
| c. Continuité d’activité et gestion de crise | ✔ | ✔ |
| d. Sécurité de la chaîne d’approvisionnement | ✔ | |
| e. Sécurité du développement et de la maintenance | ✔ | |
| f. Évaluation de l’efficacité des mesures | ✔ | |
| g. Cyberhygiène et formation | ✔ | ✔ |
| h. Cryptographie et chiffrement | ✔ | |
| i. Sécurité RH, contrôle d’accès et gestion des actifs | ✔ | ✔ |
| j. Authentification multifacteur et communications sécurisées | ✔ | |
Sources : Directive UE 2022/2555, LINARIS
Les trois exemples ci-dessous, en plus de la gestion des risques cyber déjà vue dans la section précédente, permettent de mieux comprendre la composante non-technique.
1. La sécurité de la chaîne d’approvisionnement
C’est l’objet de l’article 21.2.d. Selon nous, l’exécution de cette mesure est principalement juridique et commerciale. Il s’agit d’évaluer et gérer le risque cyber que vos fournisseurs font peser sur vous. Cela suppose de connaître vos dépendances d’achat et de sous-traitance pour pouvoir intégrer des exigences de cybersécurité précises dans les contrats d’achat. L’informatique n’intervient pas, ou alors à la marge pour valider un outil tiers le cas échéant.
Pour en savoir plus sur les conséquences de l’exigence de sécurité de la chaîne d’approvisionnement, lire notre article “NIS2 & PME #3 : l’effet domino du risque fournisseur”.
2. La sécurité des ressources humaines
C’est l’objet de l’article 21.2.i. Notre analyse montre que l’exécution de cette mesure est d’abord managériale et RH. C’est gérer les mouvements de personnel sous l’angle cyber : déterminer qui a accès à quoi, former les équipes de manière efficace, insuffler une culture de vigilance. C’est le rôle de la direction, épaulée par la DRH, d’anticiper et maîtriser les vulnérabilités liées au facteur humain. L’informatique exécute l’automatisation de l’inventaire technique et le paramétrage des accès logiques.
3. La continuité des activités et la gestion de crise
L’article 21.2.c en parle. D’après notre analyse, l’exécution est d’abord stratégique et logistique. Avant de configurer des serveurs de secours, le chantier non-technique consiste à définir l’organisation de la cellule de crise et l’ordre de priorité de redémarrage des métiers. L’exécution technique, très importante et complexe, vient matérialiser ces choix organisationnels.
Aucune de ces trois mesures ne s’installe en téléchargeant un logiciel. Elles commencent toujours par des décisions de gestion et d’organisation.
Pour en savoir plus sur les 10 mesures minimales de NIS2, lire notre article “NIS2 & PME #1 : quoi, quand, qui, comment ?”
Par où commencer : les 3 premiers pas LINARIS
La directive a prévu le cas des structures de taille plus modeste. Son article 21.2 impose des mesures « appropriées et proportionnées » à la taille de l’entité, à son degré d’exposition au risque et à la probabilité des incidents.
Une entité peut ainsi compenser des moyens techniques plus limités par une implication plus forte de sa direction sur l’organisation et la gouvernance. En s’emparant de ces sujets non-techniques, le dirigeant peut combler l’écart et atteindre le niveau de sécurité attendu.
Par conséquent, transposer la logique des 3 lignes de défense au sein de toute structure sans alourdir l’organisation est tout à fait possible à notre avis. Il ne s’agit pas de créer des départements entiers, mais de séparer les rôles et d’apporter de la clarté.
Voici nos trois premiers pas vers une cybersécurité alignée sur NIS2, qui ne nécessitent aucune expertise technique.
1. Faire un état des lieux
Lister toutes les responsabilités confiées à votre responsable ou prestataire informatique, et repérer celles qui relèvent du contrôle et de la cybersécurité.
2. Nommer un référent cyber
Qu’il soit interne ou externe, choisissez un profil distinct de l’informatique, capable d’analyser les risques et d’en rendre compte à la direction avec un langage cyber non tech.
3. Sortir la cybersécurité de la ligne budgétaire « informatique »
La traiter comme un risque d’entreprise à part entière. C’est cohérent avec les deux premiers pas et vous y verrez beaucoup plus clair.
En résumé
Là où l’informatique a pour mission de faire fonctionner vos outils au quotidien, la cybersécurité a pour mission de s’assurer que l’entreprise survivra si ces outils sont attaqués (résilience).
La cybersécurité décrite par NIS2 est avant tout une fonction de gestion des risques. Elle exige des compétences spécifiques et une gouvernance solide pour être pleinement efficace. L’informatique intervient ensuite, tel un bras armé technique. Dès lors, la cybersécurité ne s’y substitue pas. Elle collabore avec l’informatique comme avec toutes les autres fonctions de l’entreprise, pour traiter un sujet devenu profondément transversal.
En somme, une gestion des risques cyber bien menée est, tout simplement, une bonne gestion d’entreprise. Elle ne doit plus être perçue comme un centre de coût informatique, mais comme un investissement stratégique qui protège votre activité, rassure vos clients et sécurise votre croissance, donc votre valeur.
Et si la valeur d’une organisation dépend désormais de sa résilience cyber, dans quelle mesure ce critère va-t-il redéfinir la confiance commerciale et le choix de nos futurs partenaires stratégiques ?
Auteur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs E‑commerce, Industrie
Contributeur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteurs Services Financiers
La cybersécurité est un métier à part entière
LINARIS est un cabinet spécialisé dans la cybersécurité des PME. Il accompagne les dirigeants vers une cybersécurité pragmatique et créatrice de valeur, alignée sur les derniers standards.
Prendre un rendez-vous avec un conseiller LINARIS
Note d’édition : Pour alléger la lecture, le masculin est employé dans cet article comme genre neutre. Ce contenu a une vocation purement pédagogique et pragmatique ; nous ne faisons aucune interprétation juridique ou anticipation de la transposition française (voir notre mention complète ci-dessous).
Disclaimer
Cet article est fourni à titre informatif uniquement et reflète l’opinion de son auteur à sa date de publication. Il ne constitue pas un avis juridique ou réglementaire et ne saurait engager la responsabilité de l’éditeur quant à l’exhaustivité des informations fournies. Les menaces cyber et les niveaux de risque évoluant constamment dans le temps, toute décision prise sur la base de cette lecture relève de la seule responsabilité du lecteur.
Note spécifique à la directive NIS2 : Comme indiqué en introduction, les éléments partagés dans cet article découlent directement du texte européen (Directive (UE) 2022/2555) et restent soumis aux décrets de la transposition française. Ce contenu a une vocation purement pédagogique et pragmatique. Il ne constitue pas un avis juridique et ne saurait en aucun cas remplacer une analyse juridique personnalisée au cas par cas pour votre entreprise.
