top of page
Photo du rédacteurTimoléon

Découvrez ce que DORA et NIS 2 pensent de la sensibilisation !

Dernière mise à jour : 24 sept. 2024


Titre de l'article


Évidemment je ne vous apprends rien sur le fait que 2 textes européens majeurs bouleversent ou vont bouleverser les équipes de beaucoup d'entreprises en France et en Europe pour les prochains mois :

 

J'ai voulu me plonger dans ces deux textes DORA et NIS2 pour chercher le mot "sensibilisation" et voir un peu ce qu'ils pouvaient y raconter.

 

Résultat :

  • 6 fois utilisé dans NIS2

  • 13 fois utilisé dans DORA

C'est mieux que le RGPD qui l'utilise 5 fois !

 

Maintenant voyons un peu ce qu'on peut en tirer

 

1er constat : Pour DORA et NIS2, la sensibilisation ce n'est pas la priorité

 

Évidemment je m'y attendais, la sensibilisation n'est pas le premier sujet abordé. Ca je ne peux pas leur en vouloir... ça a toujours été comme ça.

 

Par contre, c'est le dernier point dans NIS2 ! Dans le chapitre décrivant ce que doit comprendre "La stratégie nationale en matière de cybersécurité" :

 

"h) un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité."

 

alors que coté DORA, c'est un peu mieux.

On tombe dans le tableau des relégables mais nous ne sommes pas lanterne rouge !

 

2ème constat : Avec DORA, vous pouvez réclamer du budget !

 

Cela fait bien partie des taches de l'organe de direction de l'entité financière d'allouer un budget pour la sensibilisation des TIC. Bon en espérant que ça ne soit pas au dépend du budget pour la sensibilisation des collaborateurs de l'entité :-(

 

Le règlement précise que l'"organe de direction" :

"alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l’article 13, paragraphe 6, et les compétences en matière de TIC pour l’ensemble du personnel;"

 

3ème constat : On ne parle pas de mesure ou de résultats... mais juste de "pertinence"

 

Les exigences sont bien évidemment évasives mais dans les 2 textes, la seule chose qui est exigée est de sensibiliser. Mais rien ne précise que cela doit être fait de manière efficace. Encore une fois, ceux qui prennent la sensibilisation comme un sujet peu important, voire "ce n'est pas de la sécu", pourront toujours cocher leur case de compliance en mettant un test de phishing et un elearning général à tout le monde.

 

Par contre DORA amène un nouveau terme, celui de "pertinence". Alors j'ai cherché mais je n'ai pas trouvé de définition dans le texte. Mais au moins avec ce terme, je pense que cela va obliger les équipes à poser le sujet et réfléchir à quels sont les vrais messages à faire passer aux bonnes personnes et bannir les sensibilisations génériques et ses "12 règles d'or".👍

 

4ème constat : DORA amène la notion de formation obligatoire

 

Et ça c'est nouveau !

"6. Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i). "

 

Alors que le RGPD "encourage la sensibilisation", DORA impose la sensibilisation avec des modules obligatoires. Cela devient un super argument pour vous, responsables de la sensibilisation : "on n'a pas le choix !"

 

Par contre, en retour, vous récupérez une nouvelle population qui était parfois mise de côté : vos prestataires et vos sous-traitants. Cela va vous générer un peu plus de travail, choisir de nouveaux messages (ou recycler) mais également un coût supplémentaire en terme de licences d'outils qu'il va falloir prévoir.

 

Et évidemment prévoir tout le cycle d'onboarding/offboarding des prestataires et sous-traitants

 

Conclusion

 

Comme avec l'arrivée de tout nouveau texte, il y a 2 options possibles

  1. La mise en conformité sera un projet géré dans le rush et la sensibilisation, à l'image de sa place dans les textes, sera traitée par le responsable du projet comme non prioritaire... voire pas du tout traitée.

  2. Vous vous dîtes que c'est une formidable opportunité de donner un coup de pied dans la fourmilière et vous en profitez pour asseoir votre position auprès de la direction pour obtenir les moyens qu'il vous faut pour sensibiliser.

 

Dans tous les cas, je pense que ces textes vont dans le bon sens. Ils vont obliger encore plus d'entreprises à se consacrer au sujet de la cybersécurité. Cela va être compliqué, cela va prendre du temps et cela va coûter beaucoup d'argent.

Mais au final, on peut espérer que le niveau de sécurité et de sensibilisation augmente et que le nombre d'entreprises piégé diminue... ou du moins arrête d'exploser comme c'est le cas en France actuellement.


💡C'est en s'inspirant des uns qu'on inspire les autres

49 vues0 commentaire

Commentaires


bottom of page