Cybersécurité : les administrateurs et conseils d’administration belges sont-ils prêts ? Participez à la concrétisation du rêve : « Ça vient de Belgique, donc ça doit être sûr ».

Alex, bienvenue. Pouvez-vous vous présenter ?

Oui, Chris, et merci pour l'invitation. Mon activité principale est CEO de Toreon, un consultant belge qui souhaite accélérer la transition vers des organisations et des produits dignes de confiance en matière de cybersécurité. La branche conseil de Toreon exerce deux activités. Premièrement, nous aidons les organisations à maîtriser leurs cyberdéfis d’une manière économiquement responsable. Nous le faisons principalement en Belgique, avec des clients allant des start-ups et scale-ups SaaS aux entreprises industrielles et énergétiques et à une grande partie du gouvernement fédéral. Deuxièmement, nous aidons les équipes de développement de logiciels à s’organiser de manière à créer presque automatiquement des logiciels ou des produits numériques sécurisés, sans faire exploser les coûts de développement ni ralentir les délais de mise sur le marché. Nous avons acquis une réputation mondiale dans cette activité et travaillons pour des leaders internationaux tels que J&J Medtech à Boston, Costco à Seattle, Accenture US, une grande banque au Royaume-Uni, et même pour les services secrets d'un de nos pays voisins.

Nous sommes également actifs dans la formation, sous la marque DPI. Nous avons déjà formé plus de 3000 DPO et RSSI. Nous contribuons ainsi à la lutte contre la pénurie de talents. En outre, nous formons également des groupes cibles plus restreints (tels que les administrateurs), que nous familiarisons avec le contexte de la directive NIS-2.

Chez Toreon, nous sommes également assez actifs dans la communauté au sens large. J'ai en effet moi-même fondé le Sounding Board Committee Cybersecurity de GUBERNA, avec lequel nous nous efforçons de mieux outiller les administrateurs en matière de cybersécurité. Je dirige le comité directeur de Cyber Made in Belgium au sein d'Agoria. Cette cellule représente les intérêts de la cyberindustrie en Belgique. Plusieurs de mes collègues animent des groupes de travail dans d'autres organisations, en Belgique, par exemple, au sein de la Cyber Security Coalition, et dans le monde, par exemple, auprès de l'OWASP, l'organisation qui veut éliminer les logiciels dangereux.

Pourquoi avez-vous créé un Sounding Board Committee sur la cybersécurité composé de la communauté des directeurs de GUBERNA ? Quelle est la mission ?

Parce que la cybersécurité devient de plus en plus importante pour les administrateurs. Les conseils d'administration doivent s'assurer que l'organisation continue de fonctionner dans la zone de « durabilité ». C'est une intersection de trois prismes :

• « législation » : que faire ?
• « éthique » : que devrait-on faire, quelle est la bonne chose à faire ?
• « économie » : comment puis-je garantir que les choses ont également un sens économique et sont durables ?

La cybersécurité exerce aujourd'hui une pression sur chacun de ces trois prismes : la régulation à travers le prisme de la « législation », par exemple la NIS2, avec un effet sur les organisations et les responsabilités des administrateurs. La pression sociale sur « l'éthique » parce que, par exemple, les gens n'acceptent plus simplement que leurs données en tant que client deviennent publiques ou que la prestation de services ne soit plus disponible si un logiciel ou un fournisseur ne fonctionne plus correctement. Et d’un point de vue économique, le coût d’une violation peut être énorme. Prenons par exemple la cyberattaque NotPetya chez Maersk, qui a fait qu’ils ne savaient plus où se trouvaient leurs conteneurs dans le monde. Cela leur a coûté environ 400 millions d'euros. Le cas de TNT est également connu, avec un préjudice d'environ 300 millions d'euros, et celui de la ville d'Anvers avec - selon des informations de presse - un préjudice de 100 millions d'euros. Plus importante encore que le coût d'une violation est la pression exercée par les clients pour garantir que les fournisseurs sont suffisamment sûrs. Ils peuvent en effet être à l’origine d’une cyberattaque, comme cela s’est déjà produit avec un programme de comptabilité. On ne s'y attend pas à première vue.

La sensibilisation des administrateurs est en effet importante. Ils doivent s’informer suffisamment et acquérir des connaissances sur la cybersécurité. Comment votre comité aborde-t-il cette question ?

La constitution du groupe a été plus facile que prévu. Les gens se rendent compte que le manque de cybersécurité n’affecte pas seulement les entreprises et les dirigeants, mais aussi la vitesse de la numérisation. Par conséquent, nous risquons de ne pas réaliser les gains de productivité nécessaires dans notre région. La cybercommunauté en est consciente. Je suis donc très heureux que nous ayons pu constituer une bonne équipe d'experts ayant une affinité pour la « board level governance » : Marc Vael de Veralto, Iwona Muchin d'Ageas, Jochen Maertens de ConXion, Dirk Schilders, ancien directeur des TIC au The Council of the European Union et jusqu'à récemment Olivier Braet de GUBERNA.

Avec eux, nous pouvons créer du contenu pour les administrateurs par des administrateurs. Nous avons commencé par une étude de sondage : quelle est la position des conseils d’administration et les administrateurs individuels se sentent-ils à l’aise en matière de cybersécurité ? A partir de là, nous souhaitons développer une voie permettant aux administrateurs de partager éventuellement les meilleures pratiques entre les conseils d'administration et les administrateurs individuels, et les administrateurs entre eux. Qui sait, il y aura peut-être des formations spécifiques chez GUBERNA pour apporter une expertise.

Les résultats de l’enquête se sont avérés un peu meilleurs que ce que nous constatons dans la pratique au quotidien. Il peut y avoir ici un biais de sélection, les personnes ayant des connaissances en cybersécurité se sentant plus obligées de répondre. On voit également émerger des groupements, dans quatre quadrants. Avec sur un axe, les industries réglementées qui maîtrisent sans doute les choses, jusqu'aux industries non réglementées, où cela varie quelque peu. Sur l'autre axe, c’est la mesure dans laquelle la cybersécurité est considérée comme un « must » ou qui est utilisée comme un élément différenciateur qui joue. Ce qui fait qu’on aborde les choses différemment. On pourrait comparer cela au thème de la durabilité dans la gouvernance. Cela crée l’opportunité de mettre en avant ce que les moins bons peuvent apprendre des meilleurs de la classe.

De cette façon, on peut par exemple vérifier dans quelle mesure l'approche cybersécurité est alignée avec la stratégie commerciale. La cybersécurité se met en place dans un cadre spécifique, pas seulement pour la cybersécurité. L'activité de l'organisation indique, entre autres, ce qu'il est important de protéger. Par exemple, pour un aéroport c'est la disponibilité, pour un secrétariat social la confidentialité, pour une banque l'intégrité.

Un autre élément qui joue un rôle est le cycle de vie d’une organisation. Par exemple, il n'y a initialement aucune pression pour qu'une start-up mette en place une cybersécurité, car le produit minimum viable doit d'abord être construit. Lorsqu’on rencontre le premier prospect d’entreprise, il se peut qu’il ait des exigences en matière de cybersécurité. Ensuite, on commence à travailler là-dessus et on peut progresser vers une certification. Au niveau d’une scale-up, on continue à travailler pour créer des logiciels sécurisés pendant le développement sans un délai de mise sur le marché plus long, mais toujours de manière sûre et économiquement responsable.

Un autre aspect important lors de l’alignement de votre cybersécurité sur votre stratégie commerciale est le suivant : utiliserez-vous la cybersécurité comme différenciateur sur le marché ? Par exemple, nous avons un acteur technologique dans la fabrication additive qui a connu une introduction en bourse sur le Nasdaq et sur le panneau d'affichage de Times Square à l'occasion de son introduction, il a choisi le slogan : « the most secure platform ». Pensez-y à l’avance au niveau de votre stratégie. Cela s’applique aussi à la gestion proactive des risques.

Une formation à ce sujet est très utile, également pour les administrateurs indépendants. Ils doivent pouvoir interpeller la direction à ce sujet. Cela a également un impact sur leurs responsabilités (« liabilities ») en tant qu'administrateurs. Il existe également des cadres applicables à diverses industries qui sont pertinents et sur lesquels on peut s’appuyer. Il est désormais clair que la cybersécurité ne doit pas être considérée comme quelque chose de complètement distinct des opérations commerciales, mais elle en fait partie intégrante et touche tous les membres de l’organisation. Ici aussi s’applique la règle du maillon le plus faible, ce qui détermine la vulnérabilité. Les rôles et responsabilités en cybersécurité doivent donc être bien définis. Intégrez cela à la culture de l’entreprise et à l’organisation de la bonne gouvernance. C'est l'un des résultats de la récente enquête du Sounding Board Committee.

Et peut-être la question la plus importante : qu’est-ce qui est prêt en termes de plan de rétablissement et de réponse en cas d’incident majeur. Les rôles et noms au sein de l'équipe chargée de l'incident, de l'équipe de communication, comment gérer les demandes de paiement de rançon, les rôles des administrateurs individuels, ... ? Déterminez cela à l’avance, car lorsque la maison brûle, il ne vous restera plus de temps. Et surtout, testez et simulez régulièrement les choses et mettez tout à jour.

La cybersécurité est de plus en plus réglementée en Europe. Il y a par exemple la directive NIS-2 (Network Information System) qui entrera en vigueur en Belgique le 18 octobre. Pouvez-vous nous en dire plus ?

L’Europe souhaite que les acteurs de notre tissu social travaillent de manière plus sûre. Étant donné que nous sommes très dépendants du numérique et que la « surface d'attaque » (la quantité accessible depuis le monde extérieur) a également augmenté, cela nous rend plus vulnérables. La combinaison de nombreux points supplémentaires pour rentrer dans le système et la dépendance s’y rattachant peuvent donner lieu à un cocktail explosif. Il est logique que l’Europe souhaite rendre cela plus sûr.

La NIS-1 était limitée aux secteurs les plus critiques tels que les centrales nucléaires. La NIS-2 a considérablement élargi la portée en termes d'organisations. Il s'agit d'une combinaison du secteur dans lequel vous êtes actif sur un axe et de la taille de votre entreprise sur l'autre axe. Dans un secteur tout est inclus, dans l'autre seulement les grandes entreprises. Mais cela ne s'arrête pas là. Les fournisseurs de la chaîne d’approvisionnement de ces entreprises doivent également se conformer à une série de règles. Si l’on extrapole, presque toute la société sera finalement touchée.

La nouvelle réglementation comprend un devoir d’information et des amendes. Des amendes sont désormais fermement mises en place, comparables à la réglementation RGPD (jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial). Il existe désormais également une référence explicite à la responsabilité personnelle des administrateurs et de la direction. On doit être capable de démontrer, entre autres, qu’on a suivi une formation. Vérifiez également votre police d'assurance « responsabilité » et soyez conscient de ces risques dans votre politique. Soyez donc un bon père et une bonne mère de famille dans ce domaine, tant en tant qu'organisation qu'en tant qu'individu.

L'intensité dépendra de l'endroit où vous opérez dans la chaîne mondiale. Il y a une certaine complexité dans ces réglementations. Heureusement, en Belgique nous avons le CCB, Center for Cyber Community Belgium. Forts de leur expertise et de leur expérience pratique, ils mettent à disposition de nombreux outils dans le cadre de cette réglementation. Ils comprennent une liste de sept étapes avec un calendrier. Le CCB a également développé un référentiel : les cyberfondamentaux avec quatre catégories, selon que vous appartenez à un secteur supercritique (comme une centrale nucléaire) ou à un secteur peu critique (comme une boulangerie par exemple). Ils aboutissent à un cadre très applicable en pratique pour garantir que vous respectez les différentes réglementations.

Ne commettez pas l’erreur de penser qu’être conforme à la norme NIS-2 signifie que le travail est fait. D'autres réglementations sont en cours. Par exemple, en plus de la réglementation de l'organisation à laquelle s'applique la NIS-2, la CRA (Cyber Resilience Act) sera bientôt introduite. Cette dernière concerne la cybersécurité des produits. Par exemple, si vous développez des produits numériques destinés à être utilisés dans l’UE, cela nécessitera également l’attention nécessaire.

Comment se classe la Belgique en matière de cybersécurité ?

En fait, nous ne nous en sortons pas si mal en Belgique. Au cours des 10 dernières années, le CCB, sous la direction de Miguel de Bruycker, a réussi à constituer une incroyable équipe composée d'experts en cybersécurité très motivés. Et ils ont tous réussi à faire de la Belgique le numéro 1 en Europe en tant que pays le moins sensible à la cybersécurité grâce à diverses choses :

• Analyser de manière proactive les entreprises pour détecter toute faille dans les systèmes,
• Contacter alors ces entreprises, même avec un courrier classique,
• Intervenir auprès des télécoms, des IP, sur des sujets suspects afin qu'ils n'atteignent pas les entreprises ou les utilisateurs finaux, etc.

Cependant, je ne pense pas que nous devrions nous arrêter là. La Belgique a le potentiel de devenir une Cyber Power House. Notre pays peut ainsi se forger une réputation internationale de premier ordre en matière de cybersécurité. Comment pouvons-nous y parvenir ? Y compris en appliquant des normes de sécurité strictes à l’organisation et aux produits que nous construisons, élevant ainsi nos organisations à un niveau supérieur. Le rêve est d'arriver un jour à un positionnement du genre « Ça vient de Belgique, donc ça doit être sûr ». Ce serait un bon différenciateur sur la scène internationale. Nous avons le talent, nous avons des institutions qui sont leaders mondiaux dans la recherche dans ce domaine comme Cosic (Computer Security and Industrial Cryptography) et DistriNet de KuLeuven , nous avons le CCB... Aujourd'hui par exemple, d'autres pays se tournent vers le CCB comme source d’inspiration. Quoi qu’il en soit, c’est ce rêve qui fait que je me passionne tellement pour cette communauté.

Des recommandations finales pour les administrateurs ?

Trouvez un équilibre. Assurez-vous que la cybersécurité reste conforme à votre activité globale et à votre stratégie d’entreprise. N'en faites pas trop peu, n'en faites pas trop. Juste assez pour répondre aux besoins de votre entreprise, sinon vous gaspillez des ressources. Chose très pratique, c’est de suivre les publications du CCB sur leur site internet. Leurs 10 sujets font déjà 80% de différence sans effort notable. C’est très basique, mais aussi pratique pour débuter. Bien entendu, suivez les publications de GUBERNA et notre Sounding Board Committee. Et surtout : agissez. Prévenir coûte moins cher que guérir et cela aide votre entreprise à progresser. Ou bien pour gagner des enjeux essentiels ou parce que vous pouvez en faire un différenciateur.

Informations générales

Nous recommandons aux administrateurs de consulter les sources objectives externes suivantes contenant des dispositions pratiques et des ressources pertinentes pour les administrateurs.

• https://www.guberna.be/en/guberna-sounding-board-committee-cybersecurity

• https://safeonweb.be/en

• https://ccb.belgium.be/en

• https://www.cyfun.be

• https://atwork.safeonweb.be/tools-resources/policy-templates

• https://www.enisa.europa.eu/

Réglementations qui ont un impact sur les décisions en matière de cybersécurité et les responsabilités de surveillance :

• Directive européenne NIS2 : https://digital-strategy.ec.europa.eu/en/policies/nis2-directive Êtes-vous une entreprise importante ou essentielle en Europe ?

• Loi de l'UE sur l'IA : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

• Êtes-vous dans une activité à haut risque ou dans une catégorie à risque limité ?

• Loi européenne sur la cyberrésilience : https://digital-strategy.ec.europa.eu/en/policies/cyberresilience-act - Serez-vous toujours en mesure de vendre et d'entretenir vos produits technologiques dans l'UE ?

• CSRD UE : https://finance.ec.europa.eu/capital-markets-union-and-financialmarkets/company-reporting-and-auditing/company-reporting/corporatesustainability-reporting_en#legislation - Votre fournisseur de services de cybersécurité est-il dans vos émissions de scope 3 ?

• DORA - Loi sur la résilience opérationnelle numérique (DORA) - Union européenne (europa.eu)