Sonia Cissé - Avocate : « NIS 2 implique de revoir les documents contractuels pour obtenir des garanties de conformité »
Avocate spécialiste TMT au sein du cabinet Linklaters Paris, Sonia Cissé dresse pour Silicon la liste des exigences juridiques pour les entreprises concernées par la directive NIS 2 dont la transposition en droit français attend le vote des parlementaires français. Elle aborde notamment l'article 21 du texte, présenté en conseil des ministres, qui liste l'ensemble des mesures techniques et organisationnelles à mettre en place.

Présenté en conseil des ministres le 15 octobre, le projet de loi transposant la directive européenne NIS 2 (Network and information security) attend toujours d'être voté. L'exécutif ayant engagé la procédure accélérée pour ce projet de loi : l'examen parlementaire sera limité à une lecture par chambre. Cependant, depuis le 12 novembre, une commission spéciale du Sénat a été créée pour examiner le texte.
Si l'ANSSI, le gendarme français de la cyber française, a déjà indiqué qu'elle laisserait trois ans aux 15000 entités publiques et privées concernées par NIS 2 pour s'y conformer, Sonia Cissé insiste sur la nécessité de commencer la mise en oeuvre de son déploiement assez rapidement compte tenu de l'étendu des actions à mettre en oeuvre.
Pour les entreprises concernées par NIS 2, notamment les PME et les collectivités locales, qu'est-ce que cela implique d'être dans ce périmètre de contrainte ?
Sonia Cissé - Premier point important, NIS 2 étend le champ des entreprises concernées. Nous distinguons maintenant les entreprises dites "essentielles" - comme les fournisseurs de communication électronique et les infrastructures télécom - et les entreprises dites "importantes" dans les secteurs de la santé, du transport, de l'énergie. Les collectivités territoriales et les administrations publiques sont également concernées. NIS 2 impose des obligations de gestion des risques : l'identification et évaluation des risques, la formation des équipes et les tests de mise en situation. Il faut aussi mettre en place des mesures techniques et organisationnelles pour prévenir et gérer les risques. Un changement majeur est l'obligation de communication et de partage volontaire des événements cyber : les entreprises doivent communiquer sur leurs contraintes cyber, leurs vulnérabilités, et leur gestion des incidents.
Lire aussi : Benoit Fuzeau, président du Clusif - « Notre responsabilité de RSSI est d'expliquer clairement les enjeux de NIS 2 »
Concrètement, pour les 18 secteurs d'activités concernés, cela signifie-t-il qu'il faut avoir un plan formel, tel un plan d'évacuation des locaux ?
Sonia Cissé - Absolument. Il faut être prêt à prévenir le risque avec des politiques de sécurité, d'accès et d'authentification. Les équipes doivent être formées pour réagir aux incidents. Il faut auditer son système d'information et en avoir une cartographie. Pour la réaction post-incident, une documentation doit être mise en place pour savoir comment notifier, qui contacter dans sa chaîne d'approvisionnement et comment remonter l'information rapidement aux autorités compétentes, c'est à dire l'ANSSI en France et l'ENISA en Europe.
Cela évoque un Plan de Reprise d'Activité (PRA). NIS 2 impose-t-il finalement un PRA à toutes les entreprises concernées ?
Sonia Cissé - C'est exactement l'objectif de NIS 2 : vous obliger à gérer vos risques, à les évaluer, à les déterminer et de savoir répondre aux incidents tout en permettant à d'autres d'y répondre. C'est le coeur même de la directive.
Qu'est-ce que cela implique pour les relations avec les fournisseurs et partenaires ?
Sonia Cissé - Les prestataires informatiques ou de télécommunication doivent vous permettre de respecter NIS2. Cela implique de revoir les documents contractuels, leurs mesures de sécurité, faire des audits, et obtenir des garanties de conformité à NIS2.
Quel délai avons-nous pour mettre tout cela en place ?
Sonia Cissé - C'est un travail conséquent qui nécessite de produire beaucoup de documentation : cartographie du système d'information, politiques d'accès, d'authentification, de sécurité, de gestion des violations de données. Il faut mobiliser l'entreprise et les acteurs de la supply chain. Les sanctions peuvent aller jusqu'à 2% du chiffre d'affaires mondial ou 10 millions d'euros.
Qui doit prendre le leadership d'un projet NIS2 ? Comment l'organiser ?
Sonia Cissé - Plus il y a de monde impliqué, mieux c'est. Il faut une multiplicité de compétences : la DSI doit être moteur avec la compliance pour traduire le texte en pratique IT, le juridique pour le cadre réglementaire, la communication pour gérer la communication en cas d'incident, le DPO pour la cohérence avec le RGPD.
Lire aussi : NIS 2 : les nouveaux défis de la conformité cyber
L'ANSSI donne 3 ans à partir d'octobre 2024 pour se mettre en conformité. Est-ce suffisant ?
Sonia Cissé - Ces trois ans sont pour atteindre une conformité complète, mais il faut montrer des étapes d'avancement importantes durant cette période. La cybersécurité s'ajoute aux activités quotidiennes, donc plus tôt on commence, moins on pressurise les ressources. Il faut permettre à chacun de s'acculturer car il y a un changement d'état d'esprit à avoir. Le faire dans la précipitation ne permettra pas cette harmonie nécessaire pour bien résister à un cyberincident.
Avoir déjà travaillé sur des certifications ISO facilite-t-il la transition vers NIS2 ?
Sonia Cissé - Oui, NIS2 n'est pas le premier texte sur la cybersécurité. Les entreprises ne partent pas de zéro si elles ont déjà des certifications. Il faut faire une analyse d'écart entre les pratiques actuelles et les exigences NIS2 pour identifier les marches à franchir pour atteindre une conformité pleine et entière dans les trois ans.
Retrouvez dans cette vidéo l'intégralité du l'interview de Sonia Cissé interrogée dans le cadre de la MasterClass Silicon Cybersécurité le 7 novembre 2024.
Photo : compte LinkedIn
Sur le même thème
Voir tous les articles Cybersécurité