18 mois plus tard, les tensions géopolitiques mondiales se sont accélérées, accentuant la pression sur la sécurité numérique sur le territoire européen. Découvrez, dans cet article, comment les organisations européennes peuvent faire preuve de résilience en ne subissant pas ces différents dispositifs législatifs, mais plutôt en les transformant en facteurs
clés de succès.
En matière de cybersécurité et face à l’explosion des menaces numériques, l’Europe muscle sa défense : outre le dispositif lié au réseau CyCLONE permettant de préparer les États membres de l’Union à toutes crises ou cyberattaques, l’arsenal législatif s’est considérablement étoffé avec de nombreux règlements, directives, et normes. Pour les entreprises, cela ressemble parfois aussi bien à une course contre la montre qu’à un casse-tête chinois. Et pourtant, il serait dommage de ne voir dans cette pression réglementaire qu’une superposition de contraintes. Car derrière les acronymes — NIS2, DORA, Cyber Resilience Act — se cache aussi une autre réalité : celle d’un puissant levier
de transformation.
Un tournant réglementaire décisif
Il a d’abord été promulgué NIS 1. Cette première directive, adoptée en 2016, visait à assurer un niveau élevé de sécurité en élevant la maturité des Etats membresen la matière.
Mais depuis l’entrée en vigueur de la directive NIS 2 fin 2024, l’échiquier européen a changé. La NIS 1 s'adressait aux opérateurs de services essentiels. En 2023, NIS 1 a évolué vers NIS 2. Désormais, plus de 160 000 entités sont concernées dans l’UE, contre environ 15 000 sous NIS1. Et ce n’est qu’un début. Dans le viseur : les opérateurs de santé, d’énergie, de transport, mais aussi — et cela est une nouveauté — les PME technologiques, les sociétés de services numériques ou encore les fabricants
d’objets connectés.
À cela s’ajoutent DORA, qui vise la résilience opérationnelle de 21 types d’acteurs financiers (institutions financières, gestionnaires de portefeuille, entreprises d’investissement, etc.), et l’European Cyber Resilience Act (CRA), imposant des obligations dès la conception de produits numériques et tout au long de leur cycle de vie afin de s’assurer d’un haut niveau de cybersécurité, ou encore la Directive sur la Résilience des Entités Critiques qui ne concerne que les organisations de services essentiels (transport, santé, infrastructures numériques, administration, gestion de l’eau, etc.) adressant également un certain nombre d’obligations face à des risques d’origine humaine, environnementale ou encore numérique.
Résultat : un cadre de conformité dense, souvent perçu comme anxiogène. De nombreux professionnels ont d’ailleurs émis des réserves. Citons Gabriele Columbro, directeur de la Linux Foundation Europe, qui a déclaré à propos du CRA que celui-ci pouvait faire peser une contrainte sur les plus petits acteurs, notamment ceux positionnés sur l’Open Source : “Je pense surtout à ces petites entreprises qui n'ont tout simplement pas la capacité, tant sur le plan monétaire, que des ressources, pour assurer la conformité.” Autre exemple, Jan Wendenburg, PDG de ONEKEY GmbH a réagi en affirmant que “Cette loi sera une épreuve pour l'industrie. [...] Le délai de mise sur le marché des nouveaux produits et équipements souffrira énormément de l'ensemble des règles.”
Pourtant, à bien y regarder, ce nouveau cadre législatif peut aussi ouvrir la voie à des changements profonds.
Vague réglementaire : du mur à la rampe de lancement
A présent, les organisations européennes doivent donc non seulement sécuriser leurs produits et leurs infrastructures, mais aussi apporter la preuve qu'elles le font en continu. Cela transforme la cybersécurité en un enjeu stratégique majeur, nécessitant plus de moyens, de formation et de reporting. Et les exemples, dans tous les domaines, peuvent être nombreux.Prenons le cas d’une PME du secteur des logiciels industriels. Jusqu’alors à l’écart des radars réglementaires, elle se voit désormais contrainte de désigner un responsable de la sécurité, d’anticiper et de gérer les incidents cyber, et de remonter certains événements en moins de 24 heures. Cela l’oblige à remettre à plat une gouvernance historiquement floue.
Autre illustration d’un point de vue de la supply chain d’actifs IT : une entreprise fabriquant des caméras connectées devra, avec le Cyber Resilience Act, intégrer des mécanismes de mise à jour sécurisée dès l’étape de prototypage. Un effort supplémentaire, certes. Mais qui, à terme, renforce la confiance des utilisateurs et réduit drastiquement les vulnérabilités à grande échelle.
Dans le secteur de la santé, les hôpitaux, qui sont soumis à la directive NIS2, peuvent lancer de vastes plans de restructuration numériques : ouvrir les réseaux à l’extérieur permettant ainsi un confort pour les patients et pour le personnel, tout en garantissant qu’il n’y ait pas de faille permettant d’ouvrir la voie à une cyberattaque.
Dans l’industrie des fintechs, une startup, pour se conformer à la réglementation DORA, peut bâtir en quelques mois une architecture résiliente capable de résister à une attaque par déni de service distribué (DDos attack), c’est-à-dire qui vise à rendre un service ou un site web inaccessible en l’inondant de trafic, ou détecter tout signe avant-coureur de tentative d’intrusion pouvant conduire à des fuites de données sensibles. Cette démonstration de moyens peut ainsi lui favoriser des partenariats avec les grandes institutions financières, qui seraient intéressées par son sérieux opérationnel.
Un référentiel commun à toutes les organisations européennes : la perspective d’une ouverture de marché à plus grande échelle
Au fond, ces obligations peuvent être perçues comme un standard partagé entre les États membres, mais aussi entre les organisations européennes. Et cela change tout. Car dans un monde où la cybersécurité devient une condition sine qua non, parler le même langage en matière de conformité devient un argument de crédibilité, voire de compétitivité qui va au-delà de ses frontières nationales.Et les organisations en sont bien conscientes. Dans son rapport "Cybersecurity: the New Source of Competitive Advantage", Capgemini Research Institute révèle que pour 69 % la cybersécurité est un facteur clé pour gagner la confiance des clients et se différencier sur le marché ; et pour 48 % des organisations, la posture en matière de cybersécurité a un impact direct sur leur capacité à remporter de nouveaux contrats.
De plus en plus d’appels d’offres exigent en effet que les entreprises y répondant respectent ces normes de cybersécurité. C’est notamment le cas dans le transport (SNCF Réseau en France, DB Netz en Allemagne, etc.) ou pour de nombreuses entreprises technologiques dans le choix de sous-traitants nationaux et internationaux. La capacité de l’organisation répondante à satisfaire tous les critères en matière de cybersécurité peut faire la différence.
SNCF Réseau avait ainsi choisi l’entreprise autrichienne Frequentis pour le développement d'un système de communication voix et données par voie radio, mais aussi la mise en place de solutions hautement sécurisées pour prévenir toute cyberattaque sur les canaux de communication sensibles. En résumé, la cybersécurité devient un passeport.
Un tremplin à saisir pour s’ouvrir à un nouveau champ des possibles en matière de souveraineté numérique européenne.
Certes, la réglementation est exigeante. Certes, elle bouscule, et remet en cause l’excès de confiance dans le numérique de certains acteurs économiques. Mais elle pousse aussi à remettre à plat les processus, à clarifier les responsabilités, à se doter d’outils robustes et, in fine, faire preuve de résilience, et de capacité de réponse. En d’autres termes, elle invite à mieux faire — et parfois même à mieux être.La cybersécurité réglementée n’est pas une fin en soi. Bien au contraire, elle est un point de départ et permet de fixer un cadre commun, d'accélérer la demande pour des solutions européennes souveraines, les entreprises préférant travailler avec des partenaires offrant des garanties de conformité aux règlements européens.
À chacun donc de décider s’il veut s’y conformer à reculons… ou embrasser ce grand changement !
Par Vincent Lomba, Responsable de la cybersécurité des produits chez Alcatel-Lucent Enterprise
