Une recherche particulière ?

Tapez vos mots-clés ci-dessous pour effectuer votre recherche.

Accueil. Territoires intelligents et durables Cybersécurité Damien Michallet : “La directive NIS2 montre l’importance d’une souveraineté européenne en matière de cybersécurité”
Partagez cet article
Sommaire de l’article
    Cybersécurité Les entretiens

    Damien Michallet : “La directive NIS2 montre l’importance d’une souveraineté européenne en matière de cybersécurité”

    Top départ d’un nouveau chantier dans le champ de la cybersécurité ! Le 17 octobre 2024, la directive européenne NIS2 est entrée officiellement  en vigueur le 17 octobre dernier. Pas moins de 15 000 entités sont concernées et doivent se mettre en conformité avant le 1er janvier 2028. Face à un nombre important de questions qui remontent du terrain, la Commission supérieure du numérique et des postes (CSNP) préconise de clarifier au plus vite les obligations des collectivités…

    Paroles d’élus : La directive NIS2 s’est invitée progressivement dans les programmes des différents colloques d’associations d’élus  Pouvez-vous nous expliquer de quoi il s’agit ?

    Damien Michallet : NIS2, à l’instar de NIS1 déjà en place, est une directive européenne sur les enjeux cyber. Le nombre d’entités concernées est plus important puisqu’il s’étendra à 15 000 entités et couvrira désormais 35 secteurs. L’idée est de protéger toutes ces entités contre les cyberattaques. Elles sont considérées comme essentielles pour l’économie française, pour le quotidien de chacun et pour les services publics. Cette extension a donc du sens. 

    Paroles d’élus : Quelle est la position de la CSNP sur la transposition de cette directive ?

    Damien Michallet : La Commission Supérieure du Numérique et des Postes soutient cette directive. Cependant, elle introduit un vrai changement de paradigme, une rupture, et nécessite une réelle sensibilisation à la cybersécurité. La philosophie de NIS2 est bonne. L’objectif est bon. En revanche, il faut veiller à son déploiement sans déséquilibrer ce qui fonctionne déjà bien aujourd’hui. C’est notre rôle au sein de la CSNP car comme je le résume parfois, le numérique, c’est politique ! L’extension vise à sécuriser nos activités importantes et essentielles. Or, rares sont les secteurs dans lesquels le numérique n’intervient pas. Il y a donc une vraie volonté et un besoin d’élargir le champ.

    Paroles d’élus : Dans les recommandations de la CSNP, deux recommandations concernant les coûts d’applications de NIS2.Pouvez-vous nous en dire plus ?

    Damien Michallet : Effectivement, l’une des recommandations demande une étude d’impact. C’est à nos yeux fondamental. Elle permettrait de savoir où l’on se situe, où l’on doit aller, et combien cela pourrait coûter. Mais le véritable sujet n’est pas tant de savoir ce que peut coûter une cyberattaque, car une cyberattaque peut coûter une fortune, tant sur le plan financier que humain. Cela peut démobiliser les acteurs de vos processus et casser la confiance de vos partenaires. L’étude d’impact met en lumière non seulement le coût de la mise en conformité, mais aussi ce que cela pourrait coûter de ne rien faire.

    Paroles d’élus : Justement, en parlant de coûts, comment éviter d’étouffer les collectivités locales et les entreprises privées avec cette directive ?

    Damien Michallet : Ill ne faut surtout pas surtransposer la directive. C’est un point clé pour nous à la CSNP. Nous prônons une transposition stricte, sans en rajouter. La surtransposition, bien qu’animée de bonnes intentions, crée toujours des complexités opérationnelles, des risques financiers et, surtout, des risques de non-adhésion. Les entreprises, déjà impactées par d’autres réglementations comme la CRD ou le RGPD, ne doivent pas voir NIS2 comme une nouvelle contrainte, mais comme une opportunité.

    Paroles d’élus : NIS2 concerne également les collectivités de plus de 30 000 habitants. Comment cela va-t-il s’opérer, notamment en matière de maturité numérique ?

    Damien Michallet : C’est un vrai sujet. Beaucoup de collectivités ne sont pas encore organisées en termes de processus ou de compétences, comme avec un DSI (Directeur des Systèmes d’Information) ou un RSSI (Responsable de la Sécurité des Systèmes d’Information). Le recrutement de compétences techniques en informatique est un véritable défi, car le marché est en tension. Dans certaines régions, on parle même de plein emploi dans ce secteur. De plus, les collectivités sont en concurrence avec le privé sur les salaires, ce qui complique encore le recrutement.

    Paroles d’élus : Comment les collectivités peuvent-elles être accompagnées dans ce cadre ?

    Damien Michallet : La mutualisation des ressources sera essentielle. Toutes les collectivités n’auront pas besoin d’un expert dédié à 100 %. Il faudra aussi que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) joue un rôle important dans cet accompagnement, et que l’on mette en place des plans raisonnables avec un calendrier tenable. À noter également que certaines petites communes pourraient être classées comme essentielles selon leurs compétences spécifiques en matière de gestion de l’eau ou de leur appartenance à des intercommunalités de plus de 30 000 habitants par exemple. Il faudra donc faire preuve de souplesse et éviter tout schéma punitif.

    Paroles d’élus :  Il est également mentionné de “clarifier le rôle des CSIRT”. Qu’entendez-vous par là ?

    Damien Michallet : Les CSIRT jouent un rôle clé, mais il faut bien définir leur mission. Certains sont très efficaces, d’autres doivent être mieux orientés, notamment vers les petites collectivités. Il faut également qu’ils ne fonctionnent pas en silo, mais qu’ils soient bien intégrés avec des outils comme cybermalveillance.gouv.fr, qui fait un travail fantastique. Les CSIRT et cette plateforme peuvent être complémentaires dans la prévention et la résolution des incidents.

    Paroles d’élus : La dissolution de l’Assemblée nationale a-t-elle eu des impacts ?

    Damien Michallet : La dissolution a effectivement interrompu certaines dynamiques. Nous avions une commission spéciale au Sénat, mais il faudra la remettre en place. J’ai des craintes que cela ne passe pas par les chambres parlementaires et que tout se fasse au niveau ministériel, ce qui conduirait à des arrêtés. Nous préconisons de passer par une transposition stricte, sans surtransposition, pour que cela ne devienne pas trop complexe.

    Paroles d’élus : Quel est votre sentiment sur l’état actuel de la cybersécurité en France et la mise en place de NIS2 ?

    Damien Michallet : La cybersécurité, ce n’est plus un sujet national, mais européen. La France seule n’y arriverait pas. La directive NIS2 montre l’importance d’une souveraineté européenne en matière de cybersécurité. Cela crée des opportunités pour les entreprises et les secteurs publics. Nous avons donc des raisons d’être optimistes, même si le défi reste de taille. Nous devons accompagner cette transition sans asphyxier les acteurs concernés, qu’ils soient publics ou privés.

    Pour accéder directement à l’avis de la CSNP, c’est par ici ! 

     

    Découvrez les articles associés

    Les derniers articles publiés

    20 novembre 2024

    [Entretien exclusif] Marc Ferracci : "L'État est au rendez-vous pour accompagner la fin du cuivre."

    16 novembre 2024

    À Territoria, la Colle-sur-Loup décroche l'Or

    12 novembre 2024

    Avec Navi Radjou dans..."À Val de Garonne Agglomération, demain se décide aujourd'hui"