Les entreprises peuvent ressentir une certaine contrainte à leur développement, sous le poids de ce flot réglementaire, mais cet opinion n’est pas conseillé à adopter. Face à l’importance qu’a pris la résilience, négliger les réglementations peut faire perdre du temps aux entreprises. En revanche, celles qui choisissent une approche positive bénéficieront d’avantages qui vont au-delà d’une amende à éviter.
Quand les réglementations créent des frustrations
Impossible de contourner les nombreuses réglementations relatives à la cybersécurité et à la résilience qui ont vu le jour ces dernières années, depuis l’entrée en vigueur du RGPD il y a sept ans, initiant la prise de conscience de la part des entreprises de leur façon de gérer les données. sNIS2 et DORA, nouveaux cadres réglementaires en date, imposent des responsabilités en matière de gestion du risque numérique et du reporting des incidents aux secteurs d’activités considérés comme « essentiels » ou « importants » (dans le cas de NIS2) et les prestataires de services financiers (dont le principal cadre est fourni par DORA, mais également couvert par NIS2).Les RSSI ne sont plus les seuls concernés par ces responsabilités, c’est aussi le cas de l’ensemble des cadres dirigeants, qui peuvent être jugés personnellement responsables de la conformité réglementaire, risquant potentiellement un licenciement, l’exclusion de postes à haute responsabilité et même des poursuites judiciaires en cas de négligence.
Les entreprises peuvent être intimidées par cet impératif de mise en conformité, d’autant plus qu’elles sont nombreuses à ne pas s’être encore attaquées à cette mission. Mais avec l’imminence de l’entrée en vigueur de l’EU Cyber Resilience Act, de plus en plus d’entreprises devront intégrer les nouvelles réglementations portant sur leur résilience numérique.
Les nombreux avantages de la résilience
Les décideurs IT et autres dirigeants d’entreprises ont d’autres préoccupations toutes aussi importantes que les réglementations et la conformité, et peuvent penser que les nouvelles réglementations de ce type constituent plutôt un frein à leur activité. Un dirigeant IT européen sur cinq travaillant pour des prestataires de services financiers, et interrogé lors d’une récente étude menée après l’entrée en vigueur du règlement DORA, voit les réglementations toujours plus nombreuses comme un obstacle à l’innovation et à la compétitivité.Un point de vue compréhensible, tant qu’il ne mène pas les entreprises à penser que la mise en conformité n’est qu’une façon d’éviter les amendes, et bien au contraire une voie à prendre. Car les réglementations sont mises en place pour des raisons précises, notamment le risque de cyberattaque qui ne s’affaiblit pas, les derniers exemples en date étant les cas de Jaguar Land Rover et Marks&Spencer.
Les menaces que ces réglementations visent à contenir demeureraient tout aussi présentes, même si ces dernières venaient à disparaître. La cyberrésilience doit donc faire l’objet d’une vigilance constante et d’investissements soutenus, indépendamment du cadre réglementaire en vigueur. Ces règles ne devraient être perçues que comme un seuil minimal de protection : lorsqu’elles évoluent ou se transforment, cela traduit simplement un renforcement des exigences fondamentales. Une entreprise qui, à l’arrivée d’une nouvelle réglementation, se voit contrainte de mettre en place de nouveaux processus ou de nouvelles procédures, montre ainsi qu’elle a déjà pris du retard. Idéalement, ces dispositifs auraient dû être instaurés en amont — comme c’est probablement déjà le cas chez ses concurrents.
Mais mise en conformité ne rime pas toujours avec sécurité. Les entreprises ne devraient pas hésiter à aller au-delà des niveaux plancher que proposent NIS2 et DORA. En raison du rythme soutenu auquel les cybermenaces évoluent, de nouvelles directives sont régulièrement édictées par les autorités. Les normes du secteur, quant à elles, ne constituent qu’une représentation ponctuelle de la situation à un moment précis. En somme, il est préférable que la conformité à la réglementation découle d’une véritable maturité et résilience numériques, plutôt que d’espérer atteindre cette résilience uniquement par l’application formelle des règles.
Par ailleurs, la résilience ne se résume pas à prévenir les sanctions ou les effets d’une attaque par ransomware. Les réglementations, tout comme la menace des cyberattaques, sont parfois perçues comme un bâton qu’il faut éviter. Pourtant, ce que beaucoup d’entreprises ignorent, c’est que le renforcement de la résilience des données représente en réalité une véritable opportunité à saisir. Un niveau élevé de maturité en matière de résilience permet aux organisations les plus performantes non seulement d’éviter les interruptions ou les ralentissements d’activité et les pertes de données, mais aussi d’afficher un chiffre d’affaires moyen supérieur d’environ 10 %, selon une étude récente menée par McKinsey. Les raisons d’un tel écart méritent donc une attention particulière.
Savoir anticiper l’évolution du cadre
Bien souvent, la réglementation adopte une approche tactique, en ciblant les symptômes plutôt que les causes profondes, et en imposant aux entreprises la mise en place de mesures précises destinées à atténuer les risques ou à réagir face aux incidents.Si cette démarche contribue progressivement à relever le niveau d’exigence du secteur et à améliorer ses pratiques, elle demeure fragmentée et ne permet pas aux organisations de véritablement prendre de l’avance. Pour atteindre une maturité réelle en matière de résilience des données, il est nécessaire que les entreprises dépassent le cadre strict de la conformité réglementaire et s’engagent dans une stratégie de long terme, orientée vers le traitement des causes fondamentales du risque numérique plutôt que vers la simple réparation des dégâts une fois ceux-ci survenus.
La combinaison habituellement plébiscitée et s’appuyant à la fois sur les personnes, les processus et les technologies, reste possible mais doit désormais être complétée par un quatrième pilier : celui de la stratégie. Face à l’évolution constante des cyberattaques, au renforcement des exigences réglementaires et à la complexification croissante des écosystèmes de données, il devient indispensable d’intégrer les objectifs commerciaux dès la phase de planification de la résilience. Lorsqu’une approche unifiée est adoptée, associant l’informatique, la cybersécurité et la conformité, les équipes transverses sont en mesure de bâtir une stratégie cohérente, qui ne se limite pas à la simple anticipation des menaces mais qui favorise une gouvernance efficace et permet à l’entreprise de conserver une avance durable sur le cadre réglementaire.
En intégrant la dimension stratégique, la résilience cesse d’être perçue comme un simple exercice de conformité ou une succession de cases à cocher. Elle devient alors une démarche globale offrant une vision d’ensemble de l’organisation. C’est cette couche stratégique qui transforme la résilience : d’une contrainte réglementaire, elle se mue en un véritable levier de performance, préparant l’entreprise à affronter toute éventualité. Ainsi, les organisations les plus avancées dans leur maturité en matière de résilience des données affichent une rentabilité globalement supérieure. L’intégration de la stratégie ne se contente pas de renforcer la protection de l’entreprise : elle contribue également à supprimer les inefficacités opérationnelles et à briser les silos, permettant ainsi un fonctionnement plus agile et un développement plus libre.
Les entreprises qui cherchent à franchir ce cap, afin de ne plus subir la conformité réglementaire mais d’en devenir le moteur, ont tendance à multiplier les correctifs isolés, s’exposant souvent à un enchevêtrement technique complexe qu’il devient essentiel de démêler pour assurer la résilience de leurs données. Pour les accompagner dans cette transition, des solutions existent heureusement pour les accompagner. Les modèles de maturité, conçus pour évaluer le niveau de résilience des données, sont désormais plus accessibles et offrent des cadres méthodologiques clairs, qui permettent aux entreprises non seulement de mesurer leur degré de maturité actuel, mais aussi d’identifier leurs vulnérabilités et de définir des plans d’action précis pour progresser. Ainsi, la résilience des données cesse d’être un simple ensemble de contraintes réglementaires : elle se transforme en un processus d’amélioration continue, source à la fois de conformité durable et de performance économique.
S’appuyer sur ce type de modèles et adopter une telle démarche permet aux entreprises concernées de ne plus percevoir la conformité réglementaire comme une contrainte ou comme un exercice administratif banal. Les données ne constituent plus alors un point de faiblesse, mais deviennent au contraire un véritable levier de croissance. En se mettant en conformité avec les nouvelles législations telles que le Data Act ou le futur Cyber Resilience Act, une part importante du travail est déjà accomplie. Cette approche leur offre la possibilité de considérer la réglementation non plus comme une fin en soi, mais comme un outil d’évaluation de leur résilience et de valorisation de leur agilité, leur permettant ainsi de conserver une avance stratégique. En définitive, c’est l’intégration de la dimension stratégique qui transforme la résilience : d’une contrainte légale, elle devient un avantage concurrentiel tangible pour l’entreprise.
Edwin Weijdema, Field CTO pour la zone EMEA, Veeam
