Zone EMEA : réglementation (NIS2/ DORA) et résilience pour lutter contre les cyberattaques en 2024 ?
2024 sera l'année du renforcement réglementaire. La deuxième directive sur la NIS2 (2025) et DORA (Digital Operational Resilience Act) créeront un environnement plus résilient et plus complexe.
1. En 2024, de nombreuses entreprises, même celles qui s'y attendent le moins, vont être surprises de constater qu'elles sont soumises à la directive NIS2. Cette réglementation prend de l'ampleur et promet pour beaucoup un réveil brutal
La directive NIS2 s'applique aux entreprises répondant à la définition d'entités critiques et importantes, ainsi qu'aux entreprises d'une certaine taille. Selon le plafond défini en termes de taille, toutes les entités qui ne relèvent pas de la classification PME (petites et moyennes entreprises) sont soumises à cette réglementation. La directive NIS2 touche notamment des secteurs traditionnellement fortement réglementés, tels que les fabricants de dispositifs médicaux ou les constructeurs de missiles balistiques intercontinentaux (ICBM). Mais elle fait également référence à la révision 2 de la nomenclature NACE d'Eurostat et inclut de ce fait des activités assez inattendues, telles que les fabricants de guirlandes lumineuses, d'appareils électriques domestiques, de machines à traire, et d'autres industries de ce type.
Prenons l’exemple très concret du secteur de la restauration. Imaginons une organisation comptant 141 chefs gérant 27 cuisines, aidés par 75 cuisiniers, avec des serveurs et 70 bornes interactives et pouvant servir jusqu'à 70 000 personnes, livrant 7 000 repas en seulement 3 heures dans 24 restaurants et 4 bars... Il s'agit d'une activité dont l'importance dépasse les critères applicables aux PME. Dans ce cas, Manchester United, un jour de match, est désormais considéré comme une entreprise alimentaire réglementée par la directive NIS2.
Toutes ces entreprises se retrouvent donc soumises à la nouvelle réglementation, avec un réel risque d'amendes lorsque la directive NIS2 entrera en vigueur en 2025. L'onde de choc de cette directive obligera les organisations à transformer leur gestion des risques. Les organisations doivent identifier, prioriser et corriger les vulnérabilités, élaborer des plans d'intervention en cas d'incident et assurer la conformité avec les exigences très strictes de la directive en matière de cybersécurité. Si votre organisation est concernée, il est conseillé d'évaluer l'impact de la nouvelle directive sur votre activité et de planifier une augmentation de 22% des dépenses de cybersécurité !
2. Pour les fintechs, l'année 2024 sera marquée par l'incertitude à mesure qu'elles seront confrontées aux implications de la loi DORA (Digital Operational Resilience Act).
L'Europe compte plus de 9 000 organisations fintech, avec des milliards d'euros en circulation, mais, tout comme pour la directive NIS2, un grand nombre d’entre elles ne sont pas préparées aux réglementations à venir. La loi DORA va entraîner des changements radicaux dans le secteur des services financiers. Elle aura un impact non seulement sur les banques traditionnelles, mais aussi sur toutes les organisations de services financiers, depuis les établissements de crédit et de prêt jusqu'aux établissements de paiement et de monnaie électronique, en passant par les sociétés d'investissement, les compagnies d'assurance et de réassurance et les prestataires de services tiers. Les ressources des grandes banques vont leur permettre de faire face plus facilement à toutes ces exigences. Les acteurs innovants, mais plus modestes, vont quant à eux être confrontés à un véritable casse-tête.
Ces établissements devront mettre en place la technologie, les processus et le personnel nécessaires pour répondre aux nouvelles exigences.
3. En 2024, nous prévoyons une augmentation sans précédent des litiges déposés auprès des assurances en raison de la cyberguerre. La transformation résultante du paysage des menaces va amener les entreprises à renforcer leurs mesures de sécurité afin de protéger leurs intérêts.
La Lloyds (banque britannique) a notamment pris une position audacieuse en exemptant les attaques des États-nations de la couverture de cyber-assurance, les qualifiant d’« actes de guerre ». Mais qu'est-ce qu’un acte de guerre dans le domaine de la cyberguerre ? La question de savoir si une violation peut être qualifiée d'acte de guerre soulève de profondes incertitudes.
Dans un paysage en pleine mutation, l'assurance cybernétique va adopter une approche stricte, exigeant des organisations qu'elles maintiennent des contrôles de sécurité robustes et réellement appropriés. Pour plus de sécurité, nous recommandons aux organisations de commencer à renforcer et à évaluer en continu leur posture de sécurité. Je leur recommande aussi de prioriser les vulnérabilités en fonction des risques qu’elles présentent pour l'entreprise.
4. En 2024, les centres d'opérations de sécurité (SOC) dédiés à la technologie opérationnelle (OT) vont atteindre leur maturité. Les investissements en cybersécurité OT ont augmenté, rendant nos actifs et systèmes critiques plus sûrs.
Exaspérés par l'afflux massif d'indicateurs de compromission (IOC) non pertinents (19 millions par jour en moyenne), les spécialistes de la sécurité OT s'éloignent désormais des directives sans discernement des départements IT. Cette évolution transforme radicalement les centres opérationnels de sécurité (SOC) dédiés aux technologies opérationnelles (OT), avec une augmentation conséquente des investissements consentis par les organisations. Les professionnels de la sécurité et de la gestion doivent tenir compte de ces évolutions et allouer des ressources suffisantes pour garantir la sécurité et la fiabilité de leurs systèmes OT. Face à l'escalade des cybermenaces, les SOC OT vont jouer un rôle vital dans la détection, la réponse et l'atténuation des risques.
5. L'année prochaine, l'intelligence artificielle (IA) fera l'objet de toutes les attentions. Les professionnels de la sécurité vont cependant se rendre compte assez vite que pour exploiter pleinement le potentiel de ces innovations, il conviendra de s'attaquer à certains problèmes.
De nombreuses technologies de sécurité, conçues il y a une dizaine d'années, ne sont pas équipées pour gérer les ensembles massifs de données d’aujourd’hui et leurs exigences de traitement. Il ne suffit pas d’ajouter l'IA à un ensemble de données trop restreint ou obsolète pour qu'elle gère efficacement les risques. La clé réside dans l'application de la technologie à un lac de données (Data Lake) de taille appropriée, permettant de prioriser les expositions, tout en optimisant les activités assurées par des ressources humaines limitées.
Au cours de l'année à venir, certaines organisations auront probablement quelques surprises en ce qui concerne la conformité réglementaire, ce qui les poussera à acquérir une compréhension plus rigoureuse de leur exposition au risque cybernétique. Des secteurs tels que l'industrie manufacturière et la fintech vont devoir faire face à des situations complexes, mais en sortiront plus résilientes. On peut s’attendre à une augmentation des investissements en cybersécurité. Face à une surface d'attaque en expansion continue, les innovations vont aider les organisations à renforcer leurs défenses tout assurant leur conformité avec les nouvelles règlementations