NIS2 au comité exécutif : quelles actions essentielles pour mieux gérer le risque fournisseur ?

Nos chroniqueurs invités, Sander Zeijlemaker et Laura Georg Schaffner reviennent sur la mise à jour de la directive européenne sur la sécurité des réseaux et de l’information (NIS2) et son impact. Ils détaillent en particulier l’intérêt que le sujet a pour les comités exécutifs.

Les innovations technologiques comme le cloud computing, l’intelligence artificielle, l’apprentissage automatique, l’internet des objets, l’automatisation des processus robotiques et les jumeaux numériques sont de plus en plus intégrées dans les entreprises et les organisations. En parallèle, des concepts comme les « villes intelligentes », « l’industrie 5.0 », la santé numérique, les réseaux intelligents, et les quatrième et cinquième révolutions industrielles jouent un rôle de plus en plus prédominant dans notre vie quotidienne et notre société.

Cependant, cette transformation numérique sociétale a aussi des inconvénients : l’inévitabilité des limitations du comportement humain, les imperfections des technologies de sécurité, ou encore les dépendances croissantes à de multiples fournisseurs… garantissent que toutes les organisations seront régulièrement confrontées à des menaces cyber.

Actuellement, les grandes organisations ont une probabilité de 25 % de subir une cyberattaque, avec un coût moyen de remédiation de 4,8 millions de dollars[1]. Ces attaques réussissent pour 53% d’entre elles du fait de défaillances du système de défense cyber, tandis que les 47% restants viennent de défauts de contrôle non-intentionnels[2].

Cependant, c’est l’impact sociétal plus large de ces cyberattaques qui est le plus préoccupant. Cet impact, via les chaînes d’approvisionnement, peut être jusqu’à 400 fois supérieur au coût subi par une organisation unitaire[3]. Or, malheureusement, seules 27 % des chaînes d’approvisionnement sont régulièrement surveillées et évaluées par leurs clients[4].

Cette situation souligne l’importance de bien gouverner et superviser une stratégie de gestion des risques cyber, en particulier du point de vue de la chaîne d’approvisionnement ; ce qui devient une condition préalable pour réussir la stratégie numérique dans toutes les organisations[5].

Avec NIS2, la gestion des risques cyber fait son entrée dans les comités exécutifs

Cette importance des risques cyber a incité les gouvernements à trouver les moyens de faire monter la gouvernance des risques cyber jusque dans les comités exécutifs. La nouvelle directive de l’Union européenne sur la sécurité des réseaux et de l’information (NIS2) se concentre en ce sens sur la protection des infrastructures critiques, tout en adoptant une perspective spécifique sur les chaînes d’approvisionnement. Les organisations, classées comme infrastructures critiques ou essentielles, sont donc obligées d’assurer la sécurité de leurs opérations. Avec le focus sur la chaîne d’approvisionnement de la directive, leurs fournisseurs peuvent dorénavant également être concernés. Le non-respect de NIS2 peut entraîner des conséquences significatives pour les organisations, comprenant des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, mais peut également engager la responsabilité personnelle des membres du comité exécutif, voire des interdictions temporaires de gérer l’entreprise[6]. Ainsi, avec NIS2, la sécurité n’est plus une option mais une nécessité.

En résumé, les principes fondamentaux de NIS2 sont les suivant :

  • Devoir de diligence : Il s’agit d’une approche basée sur les risques pour sécuriser les processus et systèmes critiques, couplée à des plans et procédures établis pour atténuer les effets des menaces cyber qui se matérialisent. Ces plans incluent la réponse aux incidents, la reprise après sinistre, la planification de la continuité des activités et la gestion des crises.
  • Rapport d’incident : Il s’agit de signalements obligatoires dans les 24 et/ou 72 heures aux CERT nationaux, par exemple, le CERT-FR, des événements cyber qui perturbent la livraison de produits ou de services critiques ou essentiels.
  • Supervision : La conformité des organisations critiques peut être auditée avant et après qu’une menace cyber se soit matérialisée, tandis que les organisations essentielles peuvent être auditées dans leur cas, après une telle violation.

La mise en œuvre de la directive NIS2 se fait à un moment opportun. On estime que les attaques sur les chaînes d’approvisionnement devraient tripler d’ici 2025 par rapport à 2021, avec des dommages annuels globaux associés qui devraient atteindre 138 milliards de dollars d’ici 2031[7].

Toutefois, cette mise en œuvre pose également des défis pour les organisations, car la gestion des risques cyber est très complexe. Elle implique de prioriser, de budgétiser et de maintenir les efforts en matière de gestion des risques cyber, dans un environnement en constante évolution. En effet, les tactiques et les compétences des attaquants évoluent, les priorités organisationnelles changent, et les organisations sont toujours en mutation – en termes de personnes, de processus, de technologie et de fournisseurs –, alors qu’elles font face à des événements de sécurité émergents… La gouvernance et la supervision des risques cyber très difficiles, nécessitent donc une attention suffisante du board ; une condition préalable pour vraiment pouvoir sécuriser les organisations.

La mise en œuvre de NIS2 obligera les organisations à fournir plus d’efforts pour améliorer leurs capacités défensives. Cependant, elles feront également face à des défis en la matière dus à une pénurie de ressources en sécurité qualifiées. A titre d’exemple, les États-Unis ont actuellement environ 750 000 postes vacants dans ce domaine. L’Europe est probablement dans une situation similaire. Par conséquent, il devient essentiel pour toutes les organisations de parvenir à une réduction effective de la charge de travail associée la défense cyber. L’automatisation et la réalisation d’économies d’échelle deviennent cruciales pour établir une architecture de sécurité qui restera pertinente à l’avenir.

NIS2 : trois étapes essentielles pour gérer vos fournisseurs

Face à ces multiples défis, quelles actions les organisations peuvent-elles concrètement entreprendre ?

  1. Avoir une compréhension commerciale, opérationnelle et financière des menaces cyber induites par les fournisseurs, qui impactent la livraison de vos services et produits. Cela nécessite une compréhension claire de la façon dont votre stratégie commerciale dépend des solutions technologiques, y compris à l’avenir, ainsi qu’une compréhension claire de votre stratégie d’approvisionnement. Quelles solutions dépendent des fournisseurs et lesquelles sont gérées en interne ? Il vous faut également mieux comprendre la vulnérabilité de ces technologies face aux menaces cyber en constante évolution. Alors que les organisations luttent avec des budgets et des ressources limités, il est crucial de traduire les impacts de ces menaces sur les métiers, les opérations et les finances. Les outils de quantification des risques cyber peuvent permettre de comparer les efforts de mitigation des menaces à d’autres options d’investissement stratégique.
  2. Augmenter la capacité d’évaluation et de surveillance du paysage fournisseur. Une approche courante pour évaluer et surveiller les fournisseurs consiste à utiliser des questionnaires pour évaluer leur état de sécurité et le comparer aux propres politiques et stratégies de sécurité de l’entreprise. Cela est complété par des réunions mensuelles avec le fournisseur pour aborder les lacunes en matière de sécurité et surveiller les risques cyber par le biais de déclarations de garantie (semi) annuelles (par exemple, ISAE 3402 ou SAS 70). Malheureusement, cette approche est laborieuse et de nature réactive… Elle ne répond pas aux défis mentionnés précédemment.
    L’évolution technologique permet actuellement aux organisations de scanner Internet à la recherche de la présence de leurs fournisseurs et de fournir une vision « quasi temps réel » de leur état de sécurité grâce à des solutions SaaS. Cette vue est limitée car elle représente une perspective externe, mais elle facilite tout de même les processus de gestion des fournisseurs. A l’ère de l’intelligence artificielle et de l’apprentissage automatique, des techniques assistées par simulation permettront demain de transformer cette vision « quasi temps réel » en analyses prédictives et prospectives, fournissant des informations sur l’état futur de la sécurité des fournisseurs[8]. Ces nouvelles technologies pour surveiller le paysage fournisseur doivent permettre de réduire l’effort nécessaire et de faciliter des interventions plus opportunes grâce à une plus grande transparence.

  3. Intégrer la résilience dans l’écosystème. Intégrer la résilience dans l’écosystème aide les organisations à minimiser l’impact des événements cyber et à maintenir la livraison des produits et services même dans des circonstances difficiles. Cependant, cela nécessite une approche de « système de systèmes » et une collaboration à la fois au niveau opérationnel/tactique et stratégique entre les différentes organisations[9].
    Au niveau stratégique, les organisations devraient donc participer à des partenariats public-privé qui favorisent la résilience, créer un réseau solide d’organisations pouvant s’aider mutuellement (pendant les menaces cyber, les concurrents peuvent devenir des collègues) et partager les meilleures pratiques en matière de gouvernance des risques cyber et de gestion des fournisseurs. Des initiatives nationales et internationales comme le Campus Cyber en France ont permis de créer un tel forum pour les échanges formels et informels.
    Au niveau opérationnel/tactique, les organisations devraient partager des informations, telles que des renseignements sur les menaces, des mises à jour d’incidents et des rapports post-mortem. Elles devraient également fournir un soutien et une coopération aux moments critiques, harmoniser les procédures de réponse et de communication grâce à des exercices communs et des tests en « Red Team », et explorer des moyens alternatifs pour continuer à fournir des services et des produits en cas de crise. Intégrer la résilience implique également de réimaginer la relation fournisseur-client sur l’ensemble de la chaîne de valeur.

Quelle implication pour le comité exécutif ?

Au niveau du comité exécutif, cette transformation doit être surveillée et soutenue en posant des questions bien structurées sur l’avancement stratégique et opérationnel de la mise en œuvre de la directive. Idéalement, des outils devraient aider le comité exécutif à être tenu au courant en temps réel de la situation des risques, afin d’ajuster en conséquence « l’appétit pour le risque » de l’organisation. Cela nécessite une évaluation holistique de la valeur des informations existantes au sein de l’organisation, de manière à guider la sélection des mesures de gestion des risques et de la sécurité.

La valeur de la propriété intellectuelle, par exemple, réside dans la confidentialité. Tout risque sur le cœur de la propriété intellectuelle devrait être évité ou atténué. Un mécanisme approprié pour assurer la confidentialité des données pourrait être un mécanisme de chiffrement fort, aligné avec l’architecture globale de l’entreprise. Le comité exécutif doit être informé de la valeur qui est réellement à risque, des conséquences financières, donc de l’impact sur les affaires en cas de problème cyber, mais également de la maturité des mesures d’atténuation correspondantes. En particulier, en ce qui concerne les risques liés à des tiers, ceux-ci ne sont pas toujours évidents à bien saisir et doivent donc être évalués dans une catégorie à part.

Outre les mesures contractuelles, les entreprises ont la possibilité d’auditer ainsi que de s’assurer contre ces risques, encore une fois en fonction de leur capacité à quantifier les pertes qu’une interruption des affaires ou une perte de données signifierait pour l’organisation.

L’intention de NIS2 est de créer de la résilience pour l’ensemble de l’économie européenne. Mais plus encore, l’objectif de co-exercer des réponses aux attaques trans-sectorielles et au-delà des frontières nationales, permet d’établir une fondation pour améliorer la confiance de tous les acteurs du marché et pour soutenir ainsi la numérisation et l’efficacité de toutes les activités.

Le Dr. Sander Zeijlemaker est le directeur général de Disem Institute. Il est chercheur affilié au sein du MIT CAMS, contributeur à l’agenda du Forum Économique Mondial, membre du groupe de travail ad-hoc des centres de sécurité opérationnelle de l’ENISA, et président du groupe d’intérêt spécial sur la sécurité, la stabilité et la résilience de la System Dynamics Society.

Le Dr. Laura Georg Schaffner est la responsable de la stratégie et de la sensibilisation à la sécurité chez AXA. Elle est professeure associée à l’EM Strasbourg Business School, experte pour le groupe Horizon Europe de la Commission européenne, et chercheuse non-résidente au Center for Long-term Cybersecurity de l’UC Berkeley.

 

 

[1] Cynthia Institute (2021). Information Risk Insights Study: A Clearer Vision for Assessing the Risk of Cyber Incidents

[2] IBM Security (2022). Cost of a Data Breach Report 2022

[3] Welburn, J. W., & Strong, A. M. (2022). Systemic cyber risk and aggregate impacts. Risk Analysis, 42(8), 1606–1622

[4] BlyeVoyant (2024). The State of Supply Chain Defense: Annual Global Insights Report 2023, BlueVoyant.com

[5] Pour aller plus loin :

  • Zeijlemaker, S., Siegel, M., Khan, S., Goldsmith, S. (2022, August 4). How to align cyber risk management with business needs. World Economic Forum, Cyber Security Working Group.
  • Pearlson, K., & Hetner, C. (2022, November 11). Is Your Board Prepared for New Cybersecurity Regulations? IT Security Management, Harvard Business Review.
  • Hepher, M. & Powell, C.T. (2020). Make Cybersecurity a Strategic Asset, special collection “reboot your strategy,” MIT sloan management review, Fall 2020, MITSMR-Cloudera-Reboot-Your-Strategy-0920.pdf (sodipress.com).

[6] European Union (2022). Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022

[7] Glosserman, B. (2024, April 4). The world narrowly escapes a supply chain doomsday scenario, The Japanese Times

[8] Zeijlemaker, S. & Von Kutzschenbach, M. (2022). Threat actors’ perspective on organizations: Why shouldn’t we do the same to manage cyber risk in the supply chain? 40th International System Dynamics Conference in Frankfurt and virtually July 18-22, 2022.

[9] Falco, G. J., & Rosenbach, E. (2022). Confronting Cyber Risk: An Embedded Endurance Strategy for Cybersecurity. Oxford University Press.