Cybersécurité et protection des données : unir les forces pour respecter la directive NIS2

Par Lionel Capel et Djeffrey Pierre 

Directive NIS2 : de nouvelles exigences en matière de cybersécurité

Adoptée fin 2022, la directive européenne NIS2 vise à élever significativement le niveau de cybersécurité au sein des États membres. En France, on estime que le nombre d’organisations régulées passera à près de 10 000, afin d’élargir le spectre de la directive NIS1 qui concernait seulement des entités spécifiques.

Depuis son adoption dans l’Hexagone, de nouvelles exigences réglementaires s’imposent aux directions des entreprises. Certaines d’entre elles faisaient notamment déjà partie du cadre de la norme ISO 27001. Dorénavant, les dirigeants et membres des conseils d’administration devront s’impliquer activement dans la gestion des risques numériques, à travers des indicateurs de suivi et leur participation à des formations dédiées. En cas de non-conformité grave, leur responsabilité personnelle est engagée et peut, dans certains cas, les exposer à la suspension de leurs fonctions. 

Quand RSSI et DPO forment un duo stratégique

Historiquement, les fonctions de RSSI (Responsable de la Sécurité des Systèmes d’Information) et de DPO (Délégué à la Protection des Données) avaient des périmètres distincts. Désormais, avec la directive NIS2, la frontière entre cybersécurité et protection des données s’estompe, et leur collaboration étroite s’impose comme un atout incontournable pour prévenir tous les types de risques numériques. Ce duo indissociable permet en effet aux entreprises de répondre conjointement à la double exigence de la réglementation RGPD et de la directive NIS2.

En pratique, ces deux acteurs doivent alors se coordonner et harmoniser leurs procédures : gestion des incidents de sécurité et des violations de données personnelles, audit des fournisseurs, analyse des risques d’un nouveau projet ou traitement de données, ou encore gestion d’une attaque informatique incluant des données personnelles. Au-delà de son rôle central dans la sensibilisation des dirigeants, le DPO se doit aussi d’être intégré au dispositif de gestion de crise cyber aux côtés du RSSI, afin de garantir l’alignement des discours en cas de violation majeure de données.

Comment mettre en place une collaboration efficace ?

Créer un comité de gouvernance commun « Cybersécurité & Protection des données » peut permettre d’aligner les décisions et d’unifier les reportings. Pour ce faire, utiliser un tableau de bord intégrant parallèlement les rapports de cybersécurité et les rapports de conformité RGPD garantit effectivement la couverture de l’ensemble des risques numériques. Organiser des exercices de crise « mixtes » incluant un volet cyber et un volet protection des données est un moyen efficace d’apprendre aux parties prenantes à travailler ensemble, mais aussi de révéler les points de friction éventuels entre procédures IT et procédures RGPD. Il est également intéressant d’identifier les scénarios dans lesquels les risques liés à l’IT et ceux liés à la conformité se rejoignent. De cette façon, en cas d’attaque par rançongiciel (ransomware), le RSSI et le DPO pourront mettre en place une cellule de crise conjointe afin d’identifier ensemble les impacts techniques et réglementaires existants. Il sera ensuite plus simple de contacter les autorités compétentes (ANSSI [1], CNIL [2]) et les parties prenantes de façon coordonnée. En répondant efficacement aux exigences du RGPD et de la directive NIS2, les entreprises qui adoptent cette approche réduisent significativement le risque de conséquences opérationnelles et de sanctions légales.

De leur côté, fournisseurs et sous-traitants doivent faire l’objet d’une évaluation de conformité tenant à la fois compte des critères de sécurité et des critères de protection des données : politiques de sécurité, certifications obtenues, localisation des données, clauses contractuelles RGPD, etc. Enfin, les programmes de formation et de sensibilisation adressés à l’ensemble des collaborateurs ou aux membres du comité de direction se doivent de mentionner les bonnes pratiques en matière de cybersécurité mais aussi les réflexes assurant la protection des données personnelles. Intégrer un module sur les responsabilités RGPD à destination des dirigeants leur offre notamment une vision globale des enjeux numériques existants au sein de leur organisation.

Pour préparer au mieux l’entrée en vigueur de la directive NIS2, la dimension organisationnelle est tout aussi importante que la dimension technique ou de conformité. Alignements des rôles, nouveaux comités et circuits de reporting repensés sont autant d’atouts différenciants pour atteindre une conformité réellement efficace et pérenne. En alliant leurs expertises, le RSSI et le DPO protègent les entreprises sur tous les fronts numériques et leur apportent ainsi une réelle valeur ajoutée.

[1] Agence nationale de la sécurité des systèmes d'information

[2] Commission nationale de l'informatique et des libertés