La directive européenne NIS 2 doit être transposée dans le droit national d’ici octobre. Au-delà des aspects techniques et de mise en conformité, les experts cybersécurité estiment que les entreprises ont là l’occasion de repenser la sécurité numérique collective de leurs écosystèmes.
Le Forum InCyber, qui s’est tenu à Lille à la fin du mois de mars, est l’occasion pour tout un écosystème d’étudier les progrès réalisés en matière de cybersécurité en Europe : d’un point de vue technologique, alors que les spécialistes dévoilent leurs nouveautés, mais aussi et surtout au niveau réglementaire. A ce titre, l’échéance NIS 2 n’a pas manqué d’être scrutée ces dernières années. La directive européenne Network and Information Security, devra être en effet transposée dans le droit français d’ici octobre 2024. Par rapport à sa prédécesseuse NIS1, transposée en 2018, la nouvelle directive élargit fortement les entreprises concernées en termes de secteurs et de taille d’organisation. Avec pour effet mécanique d’avoir un impact sur toutes les chaines d’approvisionnements. De quoi remettre au goût du jour les échanges sur la construction d’une cybersécurité plus collective, embarquant les PME qui sont des maillons essentiels, mais fragiles, de ces chaines.
Lors d’une table-ronde animée par Alliancy à l’occasion de l’édition 2024 du Forum InCyber, Anthony Goncalves, chief information security officer de l’entreprise Nutrition et Santé (connue pour des marques comme Gerblé), et Pierre-Marie Lore, directeur cybersécurité de Framatome Cybersecurity, sont ainsi revenus sur la façon dont leur travail sur NIS 2 a impliqué des remises en question pour mieux accompagner les prestataires de leur entreprise respective.
Un état de fait qui a également été analysé par Mourad Elmalki, responsable de la sécurité des systèmes d’information d’Intercloud, interrogé sur l’impact du point de vue de la « digital supply chain ». Deux autres experts ont par ailleurs apporté un prisme international aux échanges : David Mudd, global head digital trust assurance du spécialiste de la normalisation et certification, British Standards Institution (BSI), et Sander Zeijlemaker, directeur du Disem Institute, une entreprise néerlandaise spécialisée dans la gouvernance des risques cyber.
Ces cinq experts ont pris le temps de répondre à nos questions. A quel point l’adaptation à NIS 2 est-elle un défi dans les organisations ? Quelle doit être la priorité d’un CISO en termes de messages à passer en interne ? Comment s’assurer de la qualité du dialogue et de l’engagement d’un tiers, notamment de plus petite taille ? Et comment viser une sécurité et une intégrité effective de la chaîne d’approvisionnement ?