Campagne de sensibilisation menée en France par le dispositif national Cybermalveillance.gouv.fr, Cybermoi/s 2024 a l’ambition de permettre de mieux comprendre les menaces cybers et leurs impacts. En dépit d’une actualité géopolitique pour le moins vive, les nombreuses manifestations menées par des acteurs publics, privés, associatifs sont parvenues à alerter sur l’importance de la protection des personnes, des entreprises et des infrastructures dites critiques (hôpitaux, ministères, mairies, industries...).
Lors du Conseil des ministres du 15 octobre dernier, le ministre de l’Économie, des Finances et de l’Industrie, le ministre de l’Enseignement supérieur et de la Recherche, et la secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, ont présenté un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Ce projet de loi intervient dans un contexte géopolitique et sécuritaire qui a montré l’impact des conséquences des cyberattaques pour l’intégrité des personnes, la stabilité de l’économie et la protection des infrastructures vitales du pays et des pays de l’Union. La France, par ce projet, transpose trois directives européennes majeures nécessaires au renforcement des dispositifs de protection nationaux :
La directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (dite directive « REC »), qui vise à améliorer la fourniture, dans le marché intérieur européen, de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales ;
La directive (UE) 2022/2555 (dite directive « NIS2 ») du Parlement européen et du Conseil du 14 décembre 2022, qui vise à assurer un niveau commun de cybersécurité dans l’ensemble de l’Union européenne pour certaines entités qualifiées comme essentielles ou importantes ;
La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, accompagnant le règlement DORA (Digital Operational Resilience Act), qui vise à améliorer les exigences liées à l’encadrement des risques induits par l’emploi des technologies de l’information et de la communication (TIC) dans le secteur financier.
Les initiatives européennes en matière de cybersécurité, notamment NIS2 et DORA, fixent des objectifs ambitieux pour réduire les risques cyber, mais elles ne suffisent pas à traiter les changements culturels, de gouvernance et financiers dont les organisations ont besoin pour réussir. NIS2, par exemple, vise à réduire les pertes annuelles dues à la cybercriminalité de 11,3 milliards d’euros. Mais pour atteindre ces objectifs, il faudrait augmenter le budget de la cybersécurité de 22 % pour les organisations nouvellement sélectionnées et de 12 % pour celles qui étaient auparavant concernées par la directive NIS actuelle.
DORA, dont la mise en œuvre est prévue dans toute l’UE en janvier 2025, entend permettre aux entités financières d’atteindre la résilience opérationnelle. Les organisations devront par exemple se préparer à gérer les incidents cyber sans créer de rupture dans la fourniture ou la qualité de service. Ceci implique non seulement de disposer des technologies adéquates, mais aussi d’une gouvernance permettant à tous les métiers et à tous les fournisseurs d’avoir une vision holistique du risque. Or, nous le savons, les métiers sont pour la majorité cloisonnés ou ne parlent pas le même langage en matière de cybersécurité.
Au-delà des annonces de conformité, de véritables progrès en cybersécurité impliquent de relever ces défis organisationnels et financiers. Des initiatives comme le Mois européen de la cybersécurité doivent encourage les entreprises à mener des efforts continus. Mais, plutôt que de supporter le coût d’une mise en conformité, la solution pourrait être à trouver auprès d’un fournisseur tiers... Ce dernier devra être en mesure de déployer des solutions avancées, offrant une intelligence des actifs en temps réel, une analyse des vulnérabilités, une détection des menaces et une remédiation alimentée par l’IA ; ainsi que des informations contextuelles sur les incidents afin que les équipes de sécurité puissent prendre des décisions éclairées en matière de gestion des risques. Cette approche pourrait non seulement permettre de préserver les actifs critiques, mais aussi d’assurer la pérennité des organisations.