La conformité à la norme NIS2 n’échouera pas sur le plan technologique. Elle échouera sur les personnes.

Le NIS2 a placé la barre plus haut en matière de cybersécurité dans toute l’Europe, et ce pour de bonnes raisons. Les menaces sont plus persistantes, plus sophistiquées et plus perturbatrices que jamais, et les régulateurs réagissent en exigeant des contrôles de sécurité plus stricts, une responsabilité plus claire et une meilleure visibilité sur la manière dont les organisations gèrent les risques.

En réponse, de nombreuses organisations ont pris des mesures familières et sensées. Elles ont investi dans de nouveaux outils de sécurité, renforcé leurs défenses techniques, affiné leurs politiques et augmenté le nombre de rapports sur les risques à l’intention des dirigeants. Tous ces éléments jouent un rôle important dans l’amélioration de la posture de sécurité. Pourtant, l’histoire montre que ces mesures ne suffiront pas à elles seules.

Lorsque des violations se produisent, elles commencent rarement par une défaillance technologique. Elles commencent par une décision humaine, souvent prise rapidement, sous pression, ou sans suffisamment de contexte pour reconnaître le risque à ce moment précis. C’est là que le succès ou l’échec de NIS2 sera finalement déterminé.

Le NIS2 met l’accent sur les personnes

L’une des idées fausses les plus répandues concernant le NIS2 est qu’il s’agit principalement d’un règlement technique ou informatique. Bien qu’il comprenne des exigences relatives aux systèmes, à la surveillance, à la notification des incidents et à la sécurité de la chaîne d’approvisionnement, son champ d’application est beaucoup plus large.

Le NIS2 met clairement l’accent sur la gestion des risques, la gouvernance et la résilience organisationnelle. Il attend des organisations qu’elles comprennent où se situent leurs risques réels, comment ces risques évoluent dans le temps et si les contrôles en place sont réellement efficaces pour les réduire. Cette efficacité ne se mesure pas au nombre d’outils déployés ou à l’exhaustivité d’une bibliothèque de politiques sur le papier, mais à la gestion des risques dans la pratique.

La responsabilité est également fermement poussée vers le haut. Les cadres supérieurs sont censés approuver les mesures de gestion des risques et superviser leur efficacité. Dans ce contexte, il devient impossible d’ignorer le comportement humain. Les décisions concernant l’accès, le traitement des informations d’identification, le partage des données et les réactions sous pression influencent directement la résistance des contrôles lorsqu’ils sont testés.

Le NIS2 ne considère pas cette question comme secondaire ou sans importance. Il traite le comportement humain comme une composante essentielle du risque organisationnel.

La plupart des violations commencent toujours par des décisions quotidiennes

Malgré des années de progrès dans la technologie de la cybersécurité, les voies d’accès les plus courantes restent remarquablement cohérentes. Selon le dernier rapport d’enquête sur les violations de données, environ 60 % des violations impliquent un élément humain, notamment le phishing, la compromission d’informations d’identification et les erreurs de routine, ce qui montre à quel point le comportement humain continue d’influer sur les risques.

Dans ce même rapport, les informations d’identification volées ou utilisées à mauvais escient ont été le principal vecteur d’accès initial dans environ 22 % des cas, l’hameçonnage contribuant à hauteur de 15 % environ. Ces chiffres soulignent que de nombreux incidents ne sont pas dus à une faille dans les outils de sécurité, mais à des décisions quotidiennes prises par des personnes occupées, distraites ou sous pression.

Ces situations ne sont pas dues à la négligence ou à la malveillance des employés. Elles surviennent parce que les gens essaient de faire leur travail dans des environnements en évolution rapide où la commodité, l’urgence et les priorités concurrentes déterminent souvent le comportement. Les attaquants comprennent très bien cette dynamique, et c’est pourquoi l’ingénierie sociale continue d’être une tactique aussi efficace.

Selon le Verizon Data Breach Investigations Report (DBIR), les techniques d’ingénierie sociale sont impliquées dans près de trois quarts des violations, ce qui en fait l’un des moyens les plus efficaces pour les attaquants d’obtenir un accès initial en exploitant la prise de décision humaine plutôt que des failles techniques.

La technologie est conçue autour de processus définis et d’intrants prévisibles, mais elle suppose souvent que les gens se comportent de manière cohérente, même lorsqu’ils sont fatigués, sous pression ou qu’ils travaillent avec des informations incomplètes. Du point de vue du NIS2, cette lacune est importante. Les régulateurs ne s’intéressent pas seulement à l’existence des contrôles, mais aussi à leur capacité à résister aux conditions du monde réel.

Si un contrôle dépend d’un comportement parfait dans des circonstances imparfaites, il représente un risque qui doit être compris et géré.

Pourquoi la politique et la formation annuelle ne suffisent pas

La plupart des organisations peuvent démontrer qu’elles ont mis en place des politiques de sécurité et que leurs employés suivent régulièrement des formations de sensibilisation. Pendant longtemps, ces éléments ont été considérés comme des preuves raisonnables de diligence.

Avec le NIS2, cette hypothèse devient plus difficile à défendre.

Les politiques décrivent comment les choses doivent fonctionner et les formations annuelles expliquent en théorie le comportement attendu. Ce qu’elles ne montrent pas, c’est comment les gens réagissent réellement lorsqu’ils sont confrontés à des scénarios réalistes qui reflètent les pressions de leur rôle quotidien.

D’un point de vue réglementaire, cela crée un manque de visibilité. Les taux d’achèvement et les reconnaissances de politiques démontrent l’activité, mais pas l’efficacité.

Le NIS2 favorisant une approche de la conformité davantage axée sur les risques et les résultats, les organisations devront démontrer que leurs programmes de sensibilisation influencent le comportement de manière mesurable.

Les preuves de comportement comptent plus que l’assiduité

L’un des changements les plus importants introduits par le NIS2 est l’accent mis sur la gestion continue des risques plutôt que sur la conformité ponctuelle.

En ce qui concerne le risque humain, cela signifie qu’il faut pouvoir répondre à des questions pratiques :

• Où les employés rencontrent-ils le plus de difficultés ?
• Quels sont les comportements qui présentent les niveaux de risque les plus élevés ?
• Comment ce risque varie-t-il en fonction des rôles, des équipes ou des lieux ?
• Quels sont les éléments qui prouvent que les interventions en matière d’apprentissage ont un impact réel ?

Les données comportementales permettent de répondre à ces questions. Les données relatives à l’engagement, les réponses à des scénarios réalistes et les modèles de prise de décision fournissent tous des informations précieuses sur la manière dont les gens se comportent lorsqu’ils sont confrontés à des situations importantes.

Les mesures d’assiduité et d’achèvement ne peuvent à elles seules fournir ce niveau d’assurance.

L’engagement n’est pas un luxe

L’engagement dans la sensibilisation à la sécurité est souvent abordé en termes de participation ou d’achèvement, plutôt qu’en termes d’impact sur la façon dont les gens pensent et agissent lorsqu’ils sont confrontés à un risque.

Si les employés sont désengagés, ils sont beaucoup moins susceptibles d’assimiler les conseils, de reconnaître les signes d’alerte ou d’appliquer l’apprentissage lorsque c’est le plus important. Du point de vue du NIS2, il ne s’agit pas d’un problème de conception de l’apprentissage, mais d’un problème de gestion des risques.

Le contenu interactif, basé sur des scénarios, joue un rôle important à cet égard, car il reflète la manière dont les gens apprennent le mieux.

Cette approche est étroitement liée aux attentes réglementaires en matière d’efficacité et d’amélioration continue.

La technologie favorise la résilience, l’homme la détermine

Des contrôles techniques solides restent essentiels. Les pare-feu, les outils de surveillance, les systèmes d’identité et les capacités de détection jouent tous un rôle essentiel.

Le NIS2 exige également une compréhension claire de la manière dont ces contrôles interagissent avec le comportement humain.

Les organisations qui abordent le NIS2 uniquement comme un projet technologique risquent de passer à côté de cet aspect.

Construire un alignement NIS2 défendable

À l’approche de la mise en œuvre du NIS2, les organisations seront de plus en plus invitées à démontrer comment elles gèrent les risques dans la pratique.

L’alignement défendable est fondé sur des preuves.

Car en fin de compte, la conformité à la norme NIS2 n’échouera pas parce qu’il manque un outil. Elle échouera lorsque le comportement humain sera traité comme une réflexion après coup plutôt que comme un élément essentiel de la gestion des risques.

Travailler avec MetaCompliance

Pour répondre aux attentes du NIS2, il ne suffit pas de démontrer que la formation a été dispensée.

MetaCompliance aide les organisations à adopter une approche pratique et défendable de la gestion des risques humains.

Nous avons identifié des contenus d’apprentissage pertinents qui peuvent être utilisés pour répondre aux besoins de formation du NIS2.

Combiné à l’approche d’apprentissage basée sur le risque de MetaCompliance, les organisations obtiennent une visibilité sur la façon dont les gens se comportent réellement.

Le NIS2 entraînant une responsabilisation et un contrôle accrus, les organisations qui peuvent clairement montrer comment elles préparent les gens seront les mieux placées pour répondre aux attentes réglementaires et aux menaces du monde réel.

Contactez-nous dès aujourd’hui pour découvrir comment MetaCompliance peut soutenir votre stratégie de formation NIS2.