Grégorio Matias, CEO de MCG (Matias Consulting Group, installé à Louvain-la-Neuve dans le Brabant wallon) et expert senior en cybersécurité a participé avec The Pod et Agoria à la conférence NIS2 et la cybersécurité ce lundi 12 juin.
Indéniablement, énormément de questions et d’interrogations (si pas de l’angoisse) de la part du public présent et un tsunami de travail pédagogique à mettre en place auprès des entrepreneurs lorsque la directive sera effective (en Belgique, comptez octobre 2024 … mais afin de tout préparer et la mise en place des travaux, c’est demain…).
Retour sur un panel riche en échanges et débats, et en lames de fond inlassablement - quel sera l’impact pour nos clients, les entrepreneurs, les dirigeants d’entreprise, les experts IT ?
Car nous sommes, vous êtes, tous concerné.e.s. Et ça pourrait faire mal.
La bonne nouvelle, vous n’êtes pas seul.e.s.
NIS2 était nécessaire, notre survie cyber et même au-delà en dépend.
Certes la cybersécurité n’a pas attendu les lois et les directives pour exister, mais les réglementations ont au moins l’utilité de formaliser tout cela et de renforcer le bouclier en cybersécurité européen. Néanmoins, c’est souvent kafkaïen et indigeste …
Ce bouclier de cybersécurité européen, on le voit, on le sait, on le sent, doit être renforcé et est plus que nécessaire face aux menaces mondiales venant de toutes parts. Les relations géopolitiques sont instables et très mouvantes. Les technologies venant de Russie ou de Chine par exemple n’ont de cesse de mettre en danger nos assets et nos richesses (monétaires, intellectuelles, nos données, etc.). On ne peut PLUS être vulnérables de la sorte.
La nouvelle directive NIS2 est donc un mal nécessaire.
Mais vous n’avez pas encore dégusté son goût amer…
Pour rappel, NIS2 c’est tout d’abord une directive européenne, digne héritière de NIS1 (et en complément de tout ce qui concerne le RGPD), en très gros: plus stricte, concernant plus de monde, plus complexe et plus intransigeante encore. Vous avez compris le tableau.
La directive européenne NIS2 va donc bientôt commencer son parcours législatif belge et va être discutée afin d’être coulée dans une loi en Belgique. Les choses se corsent ici, chaque pays a une certaine latitude d’arbitrage sur certains points à mettre en place et rien n’est simple en Belgique : déjà tout était compliqué avec NIS 1, la réglementation RGPD, ici le niveau devient stratosphérique ! Il faudra voir quelles mesures et décisions politiques vont être prises en fonction de cette directive...
Globalement, il est clair que les PMEs ne sont pas encore prêtes à faire face aux nouvelles obligations de NIS2, il faudra énormément de pédagogie et de conscientisation. Il faudra aussi beaucoup de main-d'œuvre pour travailler avec ces entreprises, et là encore malheureusement en Belgique, nous ne sommes pas prêts, il faudra former, former, et former.
Mais aurons-nous les capacités et les moyens suffisants ?
Certes c’est un beau panel d’experts qui s’est rassemblé ce lundi 12 juin à l’Aula Magna à Louvain-la-Neuve pour une conférence-formation sur la thématique de NIS2 (deuxième génération de Network & information Security): avocats, experts, professeurs en cybersécurité, politiques, etc.
Mais ce qui est surtout ressorti de la soirée, c’est ÉNORMÉMENT de questions et d’interrogations de la part du public présent: serais-je concerné ou pas ? Quels seront les impacts ? Suis-je en danger ? Dans quelle catégorie je me retrouve ? C’est véritablement un raz de marée qui a déferlé sur les intervenants présents, et l’angoisse est palpable.
Alors que NIS1 touchait environ 250 entités, NIS2 en touchera dix fois plus. L’effet de ruissellement sera beaucoup plus fort, et selon que vous serez essentiel ou important (accrochez-vous, car le “map” qui définit si vous l’êtes ou l’êtes moins est complexe), et même ayant une petite entreprise qui est sous-traitant d'une grande entreprise concernée, vous serez également dans le collimateur…
… et renforcer le bouclier cyber européen. L'esprit de la loi de NIS2 est donc très clair en réalité: tous ces problèmes en cybersécurité commencent à coûter très cher pour l'économie et donc il faut faire quelque chose. Le problème est que les entreprises ne sont pas prêtes, et qu’elles ne perçoivent pas le risque qui augmente, et les menaces qui deviennent de plus en plus évoluées et techniques. L’équation est complexe.
Le hacker se professionnalise, entre extorsions et ransomwares, les hackers analysent énormément de paramètres avant d’opérer: analyse des bilans, du chiffre d’affaires et de votre “ability” à payer ou pas les rançons. Rien n’est laissé au hasard… et ils sont patients !
Mais comment être concret et efficace afin de résister et mieux - anticiper et prendre de l’avance ? Tout l’enjeu est là.
Les chefs d’entreprise d’aujourd’hui font face à un nombre impressionnant de responsabilités et de contraintes, et la cybersécurité n’est pas leur priorité. Ils ne perçoivent pas le danger, pour eux, mais également pour leur supply chain. Or, un accident cyber et tout peut basculer !
Il faudra faire énormément d’efforts pour ne plus être aveugle et faire face à la réalité … et donc énormément de pédagogie et un besoin important en consultants et experts. D’où le renforcement d’une formation pertinente.
Axel Legay, professeur à l'UCLouvain et expert en sécurité est plutôt optimiste et insiste bien sur ce point: “tout est une question de mentalité, outre-Atlantique, d’un problème comme celui-là on en fait une opportunité, et on crée du business, on ne se lamente pas…”.
La clé de la réussite est probablement quelque part par là: oui c’est une directive complexe et indigeste, mais elle est pleine d'opportunités pour se réinventer, créer de nouveaux emplois, et réinventer notre modèle de sécurité européen.
Il ne faut surtout pas avoir peur, ne pas craindre ces changements, car ils sont nécessaires et vitaux. Mais, il faut en faire une force et en faire un cercle vertueux d’ambition et d’expertise.
Il faudra coupler toute cette problématique NIS2 avec la problématique du recrutement cyber et IT (et sa qualité) en Belgique et ne pas travailler en silos, mais bien de manière décloisonnée afin de former et recruter les meilleurs experts. Tout le monde doit être impliqué: mondes académique, politique, de la formation continue, les entreprises … car chacun de son côté, cela ne fonctionnera pas !
Mathieu Michel, Secrétaire d’État à la digitalisation ne dit pas autre chose: “Il se passe quelque chose dans le monde, nous sommes à un moment charnière dans le domaine de la cybersécurité et toute cette constellation de directives doit être cohérente et cela doit servir à renforcer la maturité digitale européenne et le bouclier cyber-européen…”
Tout le monde sera d’accord sur le fait que nous, Européens, nous devons, enfin, sortir de notre naïveté et faire face sereinement, mais fermement aux menaces mondiales.
Il faut travailler dans le respect et l’organisation, avec un cap franc et défini, en évitant toute désorganisation et surenchère inefficace et ne pas avancer en ordre dispersé.
Nous allons être très clairs, s’il était encore éventuellement possible de se décharger de ses responsabilités et obligations sous NIS1, ce ne sera pas le même calibre avec NIS2.
C’est une évidence: vous ne pourrez pas échapper aux contraintes de NIS2.
Alors il y a aussi de bonnes nouvelles. Nous avons de très bons experts et consultants en Belgique. En dehors du cadre théorique, nous, experts, travaillerons main dans la main avec nos clients afin de les sensibiliser, les informer et les former.
Nous devons être optimistes, agiles et prêts. Les opérateurs concernés et le monde académique devront former des talents, en trouver, les recruter, les former. Nous, experts et dirigeants d'entreprises en IT et cybersécurité, nous devrons proposer de l’accompagnement à nos équipes et à nos clients.
Enfin, le monde politique devra nous soutenir et proposer un cap clair et défini, ambitieux.
C’est certain il va y avoir du boulot ! Mais nous allons devoir tous former le cercle vertueux qui pérennisera notre sécurité et cybersécurité européenne. Faire de tout cela un catalyseur d’opportunités et de chances pour toutes et tous.
Notre priorité, et certainement chez MCG, sera d’aider et soutenir nos clients et futurs clients au mieux. Les entreprises seront de plus en plus vulnérables malheureusement, ce sera un vrai challenge pour trouver les solutions les plus adaptées et les plus efficientes.
Ce sera passionnant, mais la montagne NIS2 ne sera pas évidente à gravir. Mais nous sommes équipés et talentueux et nous avons des ressources !
MCG, son équipe et ses experts seront là pour vous aider et y voir plus clair: loin du bruit, du charlatanisme, de la facilité, et du petit bricolage … franchir NIS2 vaut bien mieux que ça.
Contactez nos experts en Cybersécurité pour vérifier la sécurité digitale de votre business !