Que nous dit DORA ? L’article 5 intitulé « Gouvernance et organisation » est sans appel qui parle d’une « responsabilité ultime » des dirigeants.
« L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.
Aux fins du premier alinéa, l’organe de direction:
a) assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière (…) »
La notion de « responsabilité ultime » signifie que l’organe de direction porte la responsabilité finale et complète de la gestion du risque lié aux TIC. Autrement dit il ne peut pas se reposer sur les autres,
même son DSI ou son RSSI. Il sera 100% responsable de la définition de la politique de sécurité, la supervision et il sera responsable en cas de manquement.
DORA impose même aux dirigeants de suivre une formation spéciale. L’article 5 précise ceci
Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré.
Que nous dit NIS2 ? Même si la directive n’a pas encore été transposée NIS2 prévoit là aussi que les organes de direction soient en première ligne. L’article 20 intitulé « gouvernance » précise que :
Vers une généralisation de la responsabilité des dirigeants…
On pourrait croire que DORA et NIS2 qui sont des réglementations sectorielles sont limitées dans leur portée aux seules entités qui y sont soumises (banque, assurance finance pour DORA) et entreprises importantes ou essentielles (NIS2) mais la réalité est tout et il y a 3 bonnes raisons que cette nouvelle donne s’impose à tous les dirigeants de toutes les entreprises :
Raison 1 – Ces règlementations s’appliquent au-delà des entreprises soumises à tous leurs prestataires et partenaires. Le ratio entre les entreprises soumises directement et leurs prestataires serait de 1 pour 10 sinon plus.
Raison 2 – Les règles éditées aussi bien dans DORA que NIS2 dressent en pratique un catalogue de mesures que l’on peut considérer comme des bonnes pratiques. Elles pourraient donc servir de référentiel en cas d’attaque informatique pour apprécier le niveau de responsabilité des responsables de l’entreprise en cas de contentieux ou en cas de contrôle d’une autorité compétente.
Raison 3 – Ces règlementations donnent le LA d’une nouvelle série de règlementation affectant le monde de l’IT.
Au regard des dernières évolutions juridiques, il apparaît clairement que la responsabilité des dirigeants d’entreprises sera recherchée et engagée en cas de cyber attaque
Les dirigeants d’entreprise doivent sans tarder s’intéresser à la sécurité de leur système d’information. Pour ce faire ils doivent par priorité :
- Se former à la cyber sécurité, sans pour autant devenir des experts ; ils doivent mesurer les concepts et les risques afin de comprendre les conseils et solutions qui leur sont proposés par des personnes en interne (DSI / RSSI) ou des prestataires extérieurs ;
- Réaliser une analyse de risque. L’analyse de risque consiste à identifier les actifs critiques, les menaces ou vulnérabilités, leur impact possible et la probabilité que cela arrive. Cette analyse est préalable à l’audit de sécurité ;
- Réaliser un audit de sécurité. Une fois que le dirigeant est capable de mesurer son risque, il peut alors engager un audit de sécurité. Là encore il y a 1001 audits de sécurité qu’il s’agisse du SI de l’entreprise (pentest, audit de vulnérabilité, scan de patch management, simulation phishing, audit de code, …) ou d’auditer les solutions des prestataires qui fournissent l’entreprise, si la majorité des services sont rendus en mode SaaS. Là aussi il faut faire le bon choix.
Une fois ces trois étapes préalables réalisées il est alors possible de mettre en œuvre une politique de sécurité des systèmes d’information dignes de ce nom c’est à dire en adéquation avec la réalité propre à chaque entreprise.
Equipe IP IT & Data - Racine Avocat