Pouvez-vous nous rappeler ce qu’est le CESIN ?
Le CESIN est une association regroupant les RSSI francophones avec des objectifs de professionnalisation, de promotion et de partage autour de la cybersécurité. Elle est composée de plus d’un millier de membres issus de nombreux secteurs d’activités, du privé comme du public, de l’ETI au CAC40 mais aussi des PME surtout dans le domaine de la tech. Elle organise chaque année une trentaine d’événements et d’activités pour favoriser l’entraide entre ses membres. De plus, un programme de mentorat permet aux membres expérimentés de transmettre leurs bonnes pratiques aux nouveaux entrants dans la profession. Le Cesin publie régulièrement des études comme son Baromètre annuel de la cybersécurité des entreprises. Une prochaine publication sur la gouvernance ou sur les modèles d’organisation cyber des entreprises avec un baromètre des salaires des RSSI est prévue pour la rentrée.
2024 marque l’entrée en vigueur de plusieurs grandes réglementations, en particulier Dora, NIS2, et CRA. Quels sont les enjeux pour les entreprises et organisations ?
Les implications varient selon les textes et les types d’entreprises. Par exemple, Dora s’appliquera principalement aux institutions financières (banques, assurances), déjà soumises à une surveillance étroite par des organismes de régulation tels l’AMF. Cette nouvelle réglementation ajoutera une couche de sécurité supplémentaire, notamment pour sécuriser la chaîne d’approvisionnement. C’est un enjeu majeur, car les cyberattaques ciblent de plus en plus les fournisseurs des grandes entreprises, comme l’ont montré les récentes attaques contre France Travail et Malakoff Mederic. Dora met également l’accent sur la continuité et la résilience des systèmes d’information, exigeant des plans robustes de reconstitution des données en cas de crise prolongée. Toujours est-il qu’elle ne bouleversera pas l’environnement des institutions financières, déjà bien équipées en matière de sécurité. Elle nécessitera toutefois des investissements supplémentaires pour garantir leur conformité.
Environ 15.000 à 20.000 organismes sont impactés par la directive NIS2. Parmi eux, les 290 grandes entreprises et les 5.000 à 6.000 ETI concernées ne devraient pas rencontrer de difficultés particulières pour la mise en conformité avec ces nouvelles règles. Elles ont en effet les moyens et l’expérience nécessaires pour s’adapter. En revanche, cela risque d’être plus compliqué pour les plus petites entreprises, moins avancées en matière de gouvernance de la cybersécurité. De fait, NIS2 impose une série de bonnes pratiques quant à la mise en place d’une organisation, d’un outillage minimum et d’une supervision de sécurité. Elle inclut des obligations concernant les incidents, notamment leur déclaration, en l’occurrence à l’ANSSI pour la France. L’objectif est d’améliorer les pratiques des entreprises sans organisation ni approche en cybersécurité, et, pour celles qui en ont, de les inciter à mieux documenter leurs actions. Cet objectif va dans le bon sens. On sait que les cyberattaques mettent en péril, voire menace l’existence même des entreprises les moins bien préparées. Aussi est-il nécessaire de faire un pas en avant pour obliger les dirigeants à assurer la sécurité de leur système d’information. Il existe un certain nombre de normes, concernant la sécurité des locaux par exemple, mais aucune n’imposait jusqu’à présent des mesures minimales de sécurité du patrimoine informationnel. À l’ère de la digitalisation accélérée, rendre certaines règles applicables à toutes les entreprises n’a donc rien de choquant. NIS2 pourrait d’ailleurs n’être qu’une étape intermédiaire avant la mise en place d’autres directives allant dans ce sens.
Quant au règlement sur la cyber-résilience (CRA), le sujet a été central pour le CESIN. Nous avons été ravis de voir un texte aborder les vulnérabilités logicielles et matérielles, un problème qui affecte l’ensemble de nos membres. Aujourd’hui, les failles se multiplient, obligeant les RSSI à consacrer leur temps à patcher et réparer des logiciels dont les fournisseurs négligent la sécurité. La gestion des failles incombe entièrement aux clients ! Le CRA vise à inverser cette tendance en imposant aux éditeurs de prendre la question au sérieux lors du développement de leurs logiciels, à l’instar de nos membres lorsqu’ils développent des applications métiers. Je pense en particulier aux petits éditeurs, car de plus en plus d’entreprises achètent des applications sur étagère, plutôt que de les développer en interne. Le CESIN a contribué au CRA en transmettant une demi-douzaine de recommandations à la Commission européenne. Quatre d’entre elles ont été retenues, ce qui est un vrai motif de satisfaction.
N’y-a-t’il pas un risque pour les RSSI de faire plus de conformité que de cybersécurité ?
Conformité ne signifie pas nécessairement sécurité, et sécurité n’équivaut pas systématiquement à conformité ! Cela dit, mieux vaut être sécurisé sans être conforme que l’inverse. Et ce, d’autant plus que certains RSSI se plaignent de passer leur temps à faire de la sécurité « check-the-box », à cocher les cases des questionnaires de conformité, au lieu de se préoccuper des véritables risques pesant sur leur organisation. D’une certaine manière, trop de réglementation peut tuer la cybersécurité des entreprises. De l’autre, elle pousse certaines entreprises à agir, qui autrement n’auraient pas pris les mesures nécessaires. En outre, la conformité oblige parfois à aller au-delà des simples solutions de sécurité habituelles, en intégrant les aspects globaux du risque couvert. Rappelons toutefois que la réglementation ne peut pas être parfaitement ajustée à l’ensemble des entreprises. Il est donc crucial de reconnaître et de traiter aussi les lacunes en dehors du cadre réglementaire.
Vous avez alerté sur la domination croissante du fonds américain Thoma Bravo dans la cybersécurité. Quel regard portez-vous sur l’écosystème français ? Comment articuler souveraineté et sécurité ?
La France peut se féliciter de la grande diversité des solutions cyber disponibles. Les RSSI ont encore le choix entre différentes options lorsqu’ils souhaitent s’équiper d’un EDR, d’un système de bastion ou d’un système de gestion des identités. Ce n’est pas le cas des DSI pour lesquels le choix parmi les solutions collaboratives ou les solutions de gestion de la relation client se limitent à quelques grands acteurs américains.
Si la France dispose encore d’une diversité précieuse en matière de sécurité, c’est grâce à la grande richesse de son écosystème de start-up. La dernière étude de Wavestone recense pas moins de 165 start-up cyber françaises. Certes, toutes ne deviendront pas des licornes, mais l’innovation est clairement au cœur du réacteur cyber. Sans innovation, on ne survit pas. C’est pour cette raison que la stratégie de Thoma Bravo nous interpelle. Les craintes sont de plusieurs ordres. Financier d’abord : ce type de fonds cherche à maximiser la rentabilité de l’investissement, souvent en augmentant les prix pour obtenir une plus-value maximale lors de la revente. Quelle place pour l’innovation dans cette stratégie ? Il y a aussi le risque de concentration : à cause de ces rachats successifs, qui couvrent un large spectre des panoplies cyber nécessaires à la protection des entreprises, une entreprise peut se retrouver malgré elle à dépendre d’un seul fournisseur, à mettre tous ses œufs dans un même panier réduisant ainsi ses capacités de résilience.
Pour en revenir à la France, le marché de la cybersécurité est très diversifié, ce qui est une bonne chose. Mais il est aussi très morcelé. Il manque un ou deux leaders capables de dynamiser le secteur. Des acteurs comme Thales, Airbus, Orange Cyberdéfense ou encore Capgemini, bien présents en cybersécurité, pourraient jouer ce rôle, mais aucun ne l’assume pleinement. Thales, par exemple, agit de manière timide dans sa stratégie d’achats.
En conséquence, il y a peu d’offres françaises complètes en cybersécurité. Un leader capable de regrouper des marques prometteuses, mais trop petites pour être véritablement compétitives, comme Wallix, Gatewatcher, Tethris et Yeswehack, permettrait de réduire notre dépendance aux solutions tout-en-un des grands leaders du marché, essentiellement israélo-américain. Ces solutions sont efficaces, mais elles récupèrent des données extrêmement sensibles, ce qui soulève des questions de dépendance et nous expose de ce fait à d’éventuelles décisions politiques imprévisibles.
