Les PME qui sont des fournisseurs de grandes organisations devraient également être conformes au NIS2.
Les règlements NIS2 ont été créés pour accroître la cyber-résilience des grandes entreprises dans des secteurs clés. Dans le cadre de ces règlements, il y a plusieurs aspects à prendre en compte, dont la chaîne d’approvisionnement. C’est dans cette chaîne d’approvisionnement que les PME émergent et sont soudainement inondées de questions liées au NIS2 en tant que petites entreprises. Les PME sont-elles au courant des règlements et quelle est la complexité de la situation pour elles ?
ITdaily réunit cinq experts autour d’une table pour parler des défis de NIS2 pour les PME. Nous avons rencontré Alex Ongena, PDG et fondateur d’AXS Guard, Ron Nath Mukherjee, consultant en cybersécurité chez Eset, Driek Desmet, ingénieur système chez Easi, Koen Pauwelyn, responsable des services de cybersécurité industrielle chez Siemens et Yoran Dons, consultant en sécurité ICS chez SoterICS.
Chaîne d’approvisionnement
“Le NIS2 est également bien vivant parmi les PME”, explique M. Desmet. “De nombreuses petites entreprises viennent nous voir pour nous demander ce qu’est le NIS2 et quelles sont les mesures à prendre. Ongena renchérit : “Le NIS2 est bien vivant parmi les PME, car la sécurité de la chaîne d’approvisionnement est l’un des aspects du NIS2.”
En effet, les PME se trouvent au milieu de cette chaîne d’approvisionnement et reçoivent donc de longs questionnaires de la part de leurs clients. Elles essaient de remplir le questionnaire du mieux qu’elles peuvent, “mais souvent elles ne savent pas exactement ce qu’elles doivent indiquer”, affirme M. Ongena.
Uniformité
Les petites organisations qui approvisionnent une entité essentielle telle qu’un hôpital, par exemple, se retrouvent donc dans un champ d’application élevé du NIS2, même si elles sont très petites en termes d’échelle. M. Dons souligne l’importance d’une approche unifiée pour mieux guider les PME dans le labyrinthe du NIS2. “Par exemple, nous pourrions travailler avec les mêmes questionnaires, car les entreprises doivent satisfaire aux mêmes contrôles à un certain niveau”, explique M. Dons.
“De cette manière, vous pourriez aborder les PME de manière proactive avec une approche unifiée. “Par exemple, il existe des groupes de travail au sein d’Agoria qui reconnaissent ce problème et y travaillent également”, affirme-t-il. M. Ongena voit également des solutions pour les PME, à savoir qu’elles peuvent se faire certifier. “L’obtention d’un certificat ISO ou d’un label NIS 2 est également une bonne idée pour les petites entreprises. Lorsque vous pouvez présenter cela, cela peut permettre à une PME d’économiser beaucoup d’argent”, explique M. Ongena.
Pour les petites entreprises, l’obtention d’une certification ISO ou d’un label NIS 2 est également une bonne idée.
Alex Ongena, PDG et fondateur d’AXS Guard
De nombreuses PME sont confrontées au NIS2 par l’intermédiaire de leurs gros clients. En fait, la chaîne d’approvisionnement est pleine de petits maillons. “À un moment ou à un autre, presque tout le monde sera confronté à ce problème. La chaîne d’approvisionnement peut parfois être très longue”, ajoute Mme Pauwelyn.
Une partie de l’évolution
Mukherjee envisage différemment ces points de friction en termes de conformité au NIS2 pour les PME. Il considère que cela fait partie de l’évolution. “C’est précisément l’objectif de la réglementation : se confronter à la réalité.
Les points de friction concernant la conformité au NIS2 pour les PME font partie de l’évolution.
Ron Nath Mukherjee, consultant en cybersécurité chez Eset
En outre, il note que ses clients considèrent la cybersécurité moins comme un coût que comme un investissement. “La sensibilisation à la cybersécurité semble vraiment s’accroître avec cela”, a déclaré M. Mukherjee. M. Pauwelyn abonde dans le même sens : “Les entreprises doivent suivre le mouvement, sinon elles seront laissées pour compte.”
MDR dans les PME
Mukherjee se demande comment, en général, vous pouvez éliminer la complexité des petites organisations en termes de cybersécurité. “Par exemple, les PME ont un accès plus limité aux services degestion de la détection et de la réponse (MDR), tels que les SOC ou les SIEM, que les grandes entreprises.”
Les budgets plus faibles et les connaissances plus limitées jouent un rôle important. Ongena : “Cela n’a aucun sens d’installer différents outils et alarmes dans les PME si personne n’a le temps ou les connaissances nécessaires pour les utiliser.”
Beaucoup d’entreprises de sécurité intègrent des composants standard sur les sites de leurs clients, ce qui nécessite beaucoup de personnel pour les régler correctement. “Il faut procéder à l’inverse. Nous avons créé un produit avec suffisamment de fonctionnalités qui peuvent être appliquées de manière unique à chaque client. La rationalisation, les tableaux de bord et les processus SOC sont les mêmes pour tous les clients, ce qui permet de maintenir le prix à un niveau très bas. Ainsi, même les petites entreprises peuvent utiliser un SOC entièrement géré”, a déclaré M. Ongena.
lire aussi
Comme un lion en cage : comment les PME sont affectées par le NIS2
Desmet propose également une solution au problème du SOC dans les PME. “Nous avons un système MDR belge, Bluehorn, conçu spécifiquement pour les PME. Il offre aux petites entreprises une solution de sécurité complète qui connecte tous les points de terminaison”, explique M. Desmet.
Subventionner ?
Le NIS2 pose de nouveaux défis aux PME. En tant que petites entreprises, elles sont piégées dans la chaîne d’approvisionnement et sont donc obligées de se conformer au NIS2. Elles se retrouvent donc souvent en difficulté et à la recherche de solutions. Entre-temps, les implications pour les PME sont reconnues. Il existe plusieurs lignes d’assistance ou alternatives qui leur permettent de trouver le chemin de la conformité NIS2 en tant que petites entreprises.
lire aussi
La Belgique, pionnière en matière de réglementation NIS2 : pourquoi ?
Autour de la table, en outre, plusieurs alternatives MDR adaptées aux PME font écho, de sorte que même les petites entreprises peuvent installer un SOC géré complet pour accroître leur cyber-résilience.
Mukherjee a posé une dernière question passionnante à ces messieurs : “L’État devrait-il distribuer des subventions aux PME et aux villes pour qu’elles puissent elles aussi se mettre en conformité ?” Tous les participants ont approuvé cette proposition. “C’est une bonne idée. C’est en fait de l’argent que vous investissez dans votre propre économie”, conclut M. Dons.
Ceci est le troisième éditorial d’une série de trois sur le thème du NIS2. Cliquez sur notre page thématique pour voir tous les articles de la table ronde, la vidéo et nos partenaires.