Après-midi de la cybersécurité : ce que dirigeants et experts changent dans leur approche cyber avec NIS2 et DORA

Avec NIS2 et DORA, la cybersécurité change d'échelle : elle ne relève plus seulement de la technique mais devient un enjeu stratégique pour toute l'entreprise. L'objectif des CISO est désormais de redéfinir la gouvernance cyber aux côtés de la direction générale. C'était le fil rouge de L'Après-midi de la cybersécurité organisé par AntemetA.

« Celui qui domine est celui qui maîtrise la data ». Le vice-amiral d’escadre Arnaud Coustillère pose l’enjeu d’emblée. En ouverture de L’Après-midi de la cybersécurité, organisé par AntemetA le 10 février à l’Orangerie d’Auteuil sur le thème « La cyber-résilience au service de DORA/NIS2 », l’ex-commandant de la cyberdéfense rappelle que la cybersécurité est aussi une question de contrôle et de gouvernance.

Cet enjeu a été abordé dès la première table ronde consacrée à la souveraineté. Les directives cyber ne relèvent pas d’une simple série d’exigences techniques : elles changent la manière de piloter la cybersécurité. Sidy Juste, avocat au barreau de Paris et ex-directeur juridique d’AntemetA, précise : « NIS2 et DORA ne sont pas des outils de souveraineté en tant que tels, mais des cadres pour aider les décideurs à arbitrer […] Il faut les voir sous l’angle de la gouvernance ».

« Les acteurs émergents attendent un sursaut en matière d'achats »

NIS2 et DORA ouvrent une fenêtre d’opportunité pour repenser sa cybersécurité, dans tous ses aspects. Une redéfinition qui doit se faire au plus haut niveau pour aligner toutes les parties prenantes. La question de la souveraineté en est une bonne illustration avec pour premier jalon la politique d’achat. Les directives cyber poussant les entreprises à revoir leurs choix technologiques.

Jean-Noël de Galzain, PDG de Wallix et président d’Hexatrust, réclame une « préférence européenne » pour favoriser les fournisseurs du continent. « Il y a plusieurs pays dont nous n’avons pas envie de dépendre », complète-t-il. Le chef d’entreprise invite les organisations françaises à repenser leur doctrine en matière de fournisseurs : « Ce qui manque, c’est le marché, pas le savoir-faire […] Les acteurs émergents attendent un sursaut dans les stratégies d’achats ».

Il reste aux DSI et CISO à embarquer les directions achats et métiers. Cette question montre que la cybersécurité doit impliquer toute l’organisation.

« Le CISO doit savoir communiquer »

Car la cybersécurité représente un vrai enjeu global pour l’entreprise. C’est ce qu’ont détaillé les intervenants de la deuxième table ronde dédiée à la maîtrise des risques. Rémi Enjolras, Head of France Data & Cybersecurity de Splunk, signale que « la cyber-résilience ne se résume pas aux outils techniques : elle touche à la continuité d’activité, au business et à la confiance des clients et investisseurs ».

Guillaume Lévy, directeur des opérations d’AntemetA, estime que les CISO doivent adopter un langage orienté business : « quand on s’adresse aux directions, il faut partir des fonctions vitales de l’entreprise, pas seulement des infrastructures à protéger. Pour lui, les CISO sont « obligés d'inclure les métiers pour savoir où mettre le curseur ». Rémi Enjolras renchérit : les CISO doivent « regarder ce qui est important pour l’entreprise » pour orienter leurs décisions. Pas seulement les infrastructures mais aussi les brevets, l’empreinte numérique ou la réputation.

Le Head of France Data & Cybersecurity de Splunk insiste sur cette nécessité d’aligner les objectifs cyber avec les objectifs globaux de l’organisation. Pour obtenir des budgets auprès du Comex, les CISO doivent « trouver les bons arguments, en cherchant ceux qui tiennent éveillé le PDG ». Un point clé, alors que NIS2 et DORA renforcent la responsabilité des décideurs en matière de risque cyber.

Le rôle du CISO a donc changé. Il est plus transversal. Pour Rémi Enjolras, à l’heure de NIS2 et DORA, il doit devenir un « mouton à 5 pattes ». Il « doit comprendre la technique, la réglementation et savoir communiquer ». Jérôme Lépine, responsable opérationnel cybersécurité et RSSI d’AntemetA, le voit comme un « traducteur universel » faisant le lien avec les services techniques ou juridiques, comme le ferait « un chef d'orchestre ».

« L’autonomie totale de l’IA reste un fantasme »

Un chef d’orchestre qui doit avoir une partition mais aussi des musiciens. La question des talents est en cela fondamentale. Si l’IA peut apporter une aide, « elle ne remplace pas l’humain », note Stéphane Brovadan, Supervisor Sales Engineer French country de Bitdefender. « Nous n’avons pas encore de SOC autonome […]. L’IA spécialisée peut avoir un intérêt mais l’autonomie totale reste un fantasme », prévient Rémi Enjolras.

Jérôme Lépine tempère : « l’IA a un avantage : elle n’est jamais fatiguée ». C’est un « bon accélérateur qui va libérer du temps pour les analystes ». Guillaume Lévy rappelle de son côté qu’« au vu des volumes traités par les SOC, une gestion exclusivement humaine n’est plus envisageable ». Le directeur des opérations d’AntemetA ajoute quand même que l’IA est une « boîte noire » et qu’elle a besoin de « garde-fous ».

Si Jean-Noël de Galzain, dirigeant de Wallix, pense que « l’IA va apporter de la ressource », il juge qu’il faut rompre avec le « mythe de l’IA comme ingénieur universel ». L’IA ne va pas remplacer les collaborateurs mais augmenter leurs capacités. « Nos ingénieurs vont démultiplier leurs capacités de codage avec l'IA. Imaginez des ingénieurs très performants augmentés avec l'IA », prophétise-t-il.

« Il faut un long temps d’analyse pour comprendre l’attaque »

Une fois les décisions prises et les ressources mobilisées, reste un facteur clé pour assurer une bonne gouvernance : le temps. Il est particulièrement précieux en phase de récupération après incident, qui ne doit pas être précipitée. C’était le thème de la troisième table ronde.

Julien Mousqueton, Field Chief Information Security Officer for EMEA de Cohesity, explique qu’en cas de crise cyber, « les entreprises ont besoin d’un long temps d’analyse pour comprendre l’attaque ». Une séquence qui ne doit pas être prise à la légère malgré les « pressions du Comex » pour un rapide retour à la normale, martèle-t-il.

Après un incident, un processus complexe se met en place. Guillaume Cazenave, Avant-vente Zerto chez HPE, signale lui aussi que « le temps avant reprise doit être très allongé » après une attaque, et que le retour à la normale nécessite un « accord de toutes les personnes impliquées » dont le cyberassureur.

Au-delà des aspects techniques, la cyber-résilience a un objectif : que l’entreprise puisse se reconcentrer sur son cœur de métier. « Chaque contexte est unique mais la question est la même partout : quel est le minimum vital ? », détaille Matthias Trocmé, Expert & Business developer AntemetA x Cloudian.

« Le Comex doit s’impliquer »

Le temps compte après les incidents, mais aussi en amont pour anticiper les attaques. Pour Sébastien Ménard, Expert sauvegarde, continuité, reprise, Cleaning Room & Restart Room chez AntemetA, « le jour d’une attaque n’est pas le jour où se demander quoi faire ». « Le Comex doit s'impliquer » dans l’anticipation des risques, revendique-t-il.

La cyber-résilience relève autant de la gestion humaine que de la technique. Matthias Trocmé assène qu’il n’y a qu’un seul principe à connaître pour intégrer l’humain dans la résilience : « la préparation en amont ». Julien Mousqueton de Cohesity conclut : « La technique sans l’humain, ça ne fonctionne pas ».

Sur le même thème

Partenaires