Cybersécurité

Ordre du jour. Entrée en vigueur du NIS2. Cybersécurité - Les dirigeants en première ligne avec NIS 2. Par Johnny Maroun


Jacqueline Sala
Mercredi 11 Septembre 2024


Avec l’entrée en vigueur de la directive NIS 2 en octobre 2024, les dirigeants doivent prendre conscience que la gestion des cyber-risques n’est plus seulement une question technique. Elle devient une responsabilité stratégique.




Cybersécurité - Les dirigeants en première ligne avec NIS 2 : une responsabilité stratégique.

L'attaque par rançongiciel qui a visé le groupe de presse Bayard dimanche dernier, paralysant des publications telles que La Croix, montre l’ampleur des cybermenaces. Cet incident a mis une nouvelle fois en lumière l'importance de la sécurité numérique pour toutes les entreprises, quel que soit leur secteur. Avec l’entrée en vigueur de la directive NIS 2 en octobre 2024, les dirigeants doivent prendre conscience que la gestion des cyber-risques n’est plus seulement une question technique.
Elle devient une responsabilité stratégique.
 

Pourquoi NIS 2 représente un changement majeur ?

La directive NIS 2 renforce et étend le cadre de protection introduit par NIS 1 en 2016, qui ciblait des secteurs critiques limités.

Désormais, le périmètre couvre un plus grand nombre de secteurs d’activité, touchant des milliers d’entités, y compris des PME, des collectivités locales et des acteurs de la chaîne d’approvisionnement numérique. Ce changement de paradigme répond à la sophistication croissante des cyberattaques, comme celle ayant touché le groupe Bayard, qui n’épargne plus aucun secteur.

La NIS 2 place les dirigeants au centre des mesures de protection. Désormais, les échelons décisionnaires, et non seulement les équipes techniques, sont directement responsables de la mise en œuvre des stratégies de sécurité numérique.
 

3 clés du changement avec NIS 2

1. Responsabilité renforcée :
Avec NIS 2, la responsabilité des dirigeants est directement engagée en cas de non-conformité aux obligations de cybersécurité. En cas de défaillance, les sanctions financières pourront être proportionnelles au chiffre d'affaires global, ce qui rappelle les principes du RGPD. Cette approche vise à garantir que les décideurs s’impliquent activement dans la sécurité de leurs systèmes.
2. Une approche stratégique nécessaire :
La cybersécurité n’est plus uniquement un enjeu technologique, c’est désormais un sujet de gouvernance. Les comités de direction doivent intégrer la cybersécurité dans leurs décisions stratégiques. La sécurité numérique devient une priorité au même titre que la gestion des risques financiers ou opérationnels. Il s'agit de garantir non seulement la continuité des activités, mais aussi de protéger la réputation de l'entreprise.
3. Une préparation immédiate :
L’ANSSI propose des outils pratiques pour aider les entreprises à se conformer à la directive. La mise en œuvre de mesures proactives est indispensable. Il s'agit notamment de renforcer les capacités de défense, de sensibiliser l'ensemble des équipes, et d’établir un cadre clair de réaction en cas de crise. L'anticipation devient un facteur clé de succès pour se protéger des attaques.

L’opportunité d’une résilience renforcée

En adoptant la NIS 2, les entreprises peuvent transformer une obligation réglementaire en un avantage concurrentiel. En renforçant leur cybersécurité, elles ne se contentent pas de se conformer à la loi, mais augmentent leur résilience face aux attaques, minimisant ainsi les interruptions d’activité, comme celles récemment subies par La Croix.

Cette directive favorise également une coopération accrue entre les acteurs privés et les autorités publiques, avec l’objectif commun de créer un écosystème numérique plus sûr. Pour les dirigeants, il est temps d’envisager la cybersécurité non plus comme une contrainte, mais comme une opportunité stratégique pour se protéger et innover en toute confiance.

L'attaque contre le groupe Bayard est une piqûre de rappel sur les vulnérabilités numériques. Avec la directive NIS 2, les dirigeants sont mis au premier plan pour garantir la sécurité numérique de leur organisation. Cette réglementation, qui responsabilise les échelons décisionnaires, doit être vue comme un levier pour instaurer une culture de sécurité au sein de l’entreprise, anticiper les menaces, et bâtir un avenir numérique plus robuste.
 

Merci Johnny Maroun pour votre analyse.

Consultant senior en communication sensible et gestion de crise.
Veillemag Le Magazine des Professionnels de l'information stratégiUE
element - Management de l'incertitude, crise et enjeux sensibles, Management in times of uncertainty, crisis and issues