Cybersécurité : gare à la surrèglementation – Tribune de notre associée Sylvie Jonas pour Lex Daily News

Lex Daily News, 10 décembre 2024 – Tribune co-rédigée par notre associée Sylvie Jonas et par François Ehly, Manager gouvernance, risques & conformité d’Almond

Face à la montée des risques cyber, les réglementations NIS 2 et DORA constituent une réponse forte qui vient transformer les exigences de cybersécurité auxquelles devront se conformer des milliers d’organisations. Toutefois, l’excès de dispositifs de contrôle qui pourrait résulter de la mise en conformité avec ces réglementations ne doit pas détourner les organisations de leur objectif primordial de sécurité opérationnelle, et la conformité ne doit pas être envisagée au détriment de solutions pragmatiques.

 

[Extraits de la tribune]

 

” Deux règlementations qui se recouvrent

Effectif en janvier 2025, le règlement DORA apporte un cadre complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.

Les entités financières européennes ou opérant en Europe devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation de leurs systèmes d’information. DORA est en quelque sorte un texte spécial d’application de NIS2 pour le secteur financier, qui en théorie, n’aurait donc pas à appliquer NIS2.

Dans la réalité, les deux réglementations se recouvrent, et il n’est pas toujours simple de savoir si, comme fournisseur de services, on est une entreprise « essentielle » ou « importante » au titre de NIS2 et/ou concerné en même temps par DORA si l’on fournit ces services aussi à des entreprises du secteur financier. En fait, NIS2 et DORA ne sont pas en contradiction, mais expriment des différences dans la façon de penser les risques et dans les mécanismes de supervision.

Ces différences peuvent engendrer de possibles zones de friction et donc des coûts significatifs de mise en conformité pour les entreprises. En théorie, ce sont les régulateurs nationaux qui seront chargés de vérifier la conformité des entreprises :  l’ANSSI ou l’ACPR en France. Cependant, à court terme, la sanction pourrait provenir, du marché ou des juridictions civiles, ce qui n’est pas des plus simples à gérer pour l’entreprise.

Contrôle partout, sécurité nulle part ?

Ces réglementations entrent ou vont entrer en vigueur alors que les entreprises ont déjà mis en œuvre des procédures de protection et de résistance aux cyberattaques. Or, de façon assez contre intuitive, l’excès des dispositifs de contrôle que pourrait provoquer la mise en conformité avec NIS2 et DORA serait susceptible de nuire à la sécurité, du fait de contrôles très granulaires et donc très lourds, poussant leur logique jusqu’aux fournisseurs des fournisseurs, par exemple.

Consacrer d’importants moyens aux contrôles ne garantit pas une sécurité accrue, le risque étant de viser la conformité pour elle-même. La conformité est un levier, mais elle ne peut primer sur l’efficacité opérationnelle.

Appliquer le bon sens du modèle universel de cybersécurité est une excellente façon de se mettre en pré conformité ou en conformité. Une seule chose compte : que les procédures de sécurité puissent prévenir les incidents ou limiter leur impact.

Pour l’heure, dans l’incertitude où sont les entreprises quant aux contours et conditions d’applications de ces deux réglementations, il serait bon que les acteurs publics se concentrent sur les décrets d’application, les textes complémentaires et les bonnes pratiques, et suspendent de nouvelles législations.”

 

*            *

*

 

Pour consulter l’article sur le site de Lex Daily News : Cybersécurité : gare à la surréglementation

 

*            *

*

 

Le Pôle « IT, Data & Cyber » d’AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise en conformité de votre organisation à DORA et NIS 2, et plus largement en matière de cybercriminalité et de sécurité numérique.

 

 

Par AGIL’IT –  Pôle ITData & Sécurité

Sylvie JONAS, Avocate associée