NIS2, CRA et IA – les nouvelles règles de la cybersécurité
Introduction
Alexander Sommer, PDG de SecureSafe (DSwiss AG), a récemment été interviewé par IT Business (it-business.de), l'une des principales publications allemandes pour les décideurs informatiques. Dans cette interview, menée par le rédacteur en chef Dr. Stefan Riedl, Sommer partage son point de vue sur ce qu'il faut pour naviguer face aux pressions convergentes actuelles de la réglementation et des cybermenaces basées sur l'IA, et ce que les organisations doivent faire dès maintenant pour garder une longueur d'avance.
Key Takeaways
- Arrêtez d'acheter des outils. Retrouvez de la clarté sur ce que vous exploitez réellement et où se trouvent les vrais risques.
- Trois priorités : un inventaire des actifs propre, une hygiène des identités et des permissions, une réponse aux incidents testée.
- Les régulateurs sanctionnent les bonnes documentations accompagnées d'une exécution déficiente. Ce qui compte, c'est la preuve opérationnelle.
- L'IA rend les attaques existantes plus rapides et moins chères, pas fondamentalement nouvelles. Les deepfakes, le spear phishing et le vol de session sont les menaces actuelles.
- Renforcez d'abord l'identité. L'AMF résistante au phishing et des droits d'administrateur minimaux bloquent les chemins d'attaque les plus faciles.
- La souveraineté numérique signifie savoir où se trouvent vos données et être capable de les déplacer ou de les isoler rapidement.
- Utilisez la pression de la conformité pour simplifier l'architecture, et non pas seulement pour cocher des cases.
- Attribuez la responsabilité décisionnelle, et non la simple propriété des politiques. Le commandement des incidents doit être pratiqué avant qu'une crise ne survienne.
Clarté et contrôle sur les nouveaux outils
Avec NIS2 et le Cyber Resilience Act (CRA) désormais fermement à l'ordre du jour, Sommer soutient que 2026 devrait moins être axée sur l'achat de nouveaux outils et davantage sur le rétablissement de la clarté et du contrôle. La plupart des paysages informatiques ont évolué de manière organique au fil du temps – accumulant des services cloud, des exceptions et des comptes administrateur fantômes – laissant des systèmes optimisés pour la vitesse, mais fragiles sous la contrainte. Son point de départ : un inventaire honnête de ce que vous exploitez réellement, de ce qui est vraiment critique et de l'endroit où se trouvent les vrais risques.
Trois priorités concrètes pour 2026
À partir de là, Sommer décrit trois domaines d'intervention immédiats : un inventaire des actifs et des données à jour et réaliste ; un nettoyage des identités et des permissions pour réduire les chemins d'attaque les plus couramment exploités ; et une capacité de préparation aux incidents qui fonctionne en pratique, avec une journalisation utilisable, des chemins d'escalade clairs et des procédures de récupération testées. Son message est clair : les régulateurs pénalisent de plus en plus les bonnes documentations associées à une exécution faible. Ce qui compte, ce sont les capacités opérationnelles démontrables.
L'IA, un facteur de changement dans la cybersécurité
Sommer accorde une attention particulière au rôle de l'IA dans le paysage des menaces. L'IA ne crée pas de catégories de cybercriminalité entièrement nouvelles, mais elle rend les attaques existantes plus rapides, moins chères et bien plus convaincantes. Les schémas actuels les plus dangereux incluent la fraude assistée par deepfake, le spear phishing généré par l'IA combiné à la fatigue de l'AMF, et le vol de jetons ou de sessions qui contourne la détection traditionnelle des logiciels malveillants. La contre-mesure la plus efficace, selon lui, est de se concentrer sur ce que l'IA amplifie le plus : l'identité, la confiance et les privilèges. Le renforcement des identités grâce à une AMF résistante au phishing, à des règles d'accès conditionnel strictes et à des droits d'administrateur permanents minimaux élimine la voie la plus facile pour que les attaques basées sur l'IA prennent de l'ampleur.
La souveraineté numérique comme discipline opérationnelle
Un thème récurrent tout au long de l'entretien est la souveraineté numérique, que Sommer définit non pas comme une préférence pour les fournisseurs locaux, mais comme la capacité de décider et de se rétablir lorsque cela compte. Pouvez-vous répondre, avec confiance, où se trouvent vos données sensibles, qui y a accès, et à quelle vitesse vous pouvez les déplacer ou les isoler ? Si ce n'est pas le cas, la dépendance a discrètement remplacé le contrôle. Sommer considère le moment actuel de conformité comme une opportunité : utiliser la pression réglementaire comme un levier pour simplifier les architectures, standardiser les interfaces et concevoir des systèmes avec des composants remplaçables, transformant ainsi la conformité d'un centre de coûts en un atout stratégique.
Gouvernance : de la responsabilité politique à la responsabilité décisionnelle
Enfin, Sommer souligne la nécessité d'un changement dans la gouvernance de la sécurité : s'éloigner de la propriété des politiques pour aller vers une responsabilité décisionnelle claire. Qui décide ? Qui est responsable ? Qui communique ? Qui agit ? Ces questions doivent être abordées tant au niveau du conseil d'administration que dans les opérations quotidiennes. La préparation aux incidents, par exemple, ne peut pas être conçue en pleine crise. Elle exige des critères de classification prédéfinis, un chemin d'escalade fonctionnel en quelques heures, et une structure de commandement d'incident éprouvée qui rassemble l'informatique, la sécurité, le juridique et les communications.
👉 Lire l'article complet sur IT Business:
https://www.it-business.de/nis2-und-cra-in-zeiten-von-ki-es-wird-ernst-a-0656f50b91e229cc71487436f25e45b2/
Publié sur: it-business.de
Auteur: Dr. Stefan Riedl
Conclusion
Les règles de la cybersécurité ne changent pas fondamentalement, mais le coût de l'erreur, lui, augmente. Ce que NIS2, le CRA et les menaces basées sur l'IA exigent collectivement, c'est une discipline opérationnelle : savoir ce que l'on gère, contrôler qui y a accès et être prêt à agir avant qu'une crise ne vous y force. La conformité est un minimum, pas un objectif ultime. Les organisations qui considèrent ce moment comme une incitation à simplifier et à renforcer en sortiront gagnantes. Celles qui le traitent comme un simple exercice de documentation échoueront.
