Transcription

• Speaker #0

  Bienvenue dans l'œil de la cyber, le podcast qui donne la parole aux acteurs du numérique. Je suis Anne-Laure de La Rivière, directrice de la communication chez Gatewatcher et je reçois maître Garance Mathias, avocate à la Cour de Paris. Aujourd'hui, nous allons parler cybersécurité et réglementation européenne. Nous partons sur les traces de ces mystérieuses lettres qui occupent le bruit médiatique depuis un certain temps. NIS 2, Dora. Alors, quels sont les tenants et aboutissants de ces textes ? Obligations riment-ils avec opportunités ? La France est-elle prête pour ces virages réglementaires ? Retrouvez tous nos podcasts sur www.gatewatcher.com. Si vous aimez ce qu'on fait, pensez à vous abonner au podcast Dans l'œil de la cyber pour ne pas rater la sortie du prochain épisode. Bonne écoute ! Garance, bonjour !

• Speaker #1

  Bonjour Anne-Laure !

• Speaker #0

  Merci d'avoir accepté mon invitation et d'être présente pour cet épisode. J'ai l'habitude de présenter rapidement mon invité avant de commencer. Vous êtes avocate spécialisée en droit des affaires, droit des technologies avancées et protection des données personnelles. Vous avez travaillé aux Etats-Unis et à Bruxelles et puis vous avez fondé votre propre structure juridique il y a plus de dix ans. Et aujourd'hui, avec plus de 20 ans d'expérience dans l'accompagnement et le développement de sociétés innovantes dans le domaine des technologies et de l'Internet, vous êtes reconnue comme une experte éminente du secteur. Vous êtes également enseignante, auteure de nombreux articles et conférencière régulière sur des sujets tels que la sécurité des systèmes d'information. Et aujourd'hui, c'est justement pour discuter des conséquences de la réglementation à l'échelle européenne, ainsi que des défis actuels en cybersécurité que nous nous retrouvons. Alors, pour entamer notre discussion avec une petite touche philosophique, selon vous, est-ce l'innovation qui façonne la réglementation ou plutôt la réglementation qui guide l'innovation, Garance ?

• Speaker #1

  On va dire que c'est de la philosophie. Donc commençons par cette touche philosophique. Et s'il y avait une troisième voie ? En philosophie, on dit souvent thèse, antithèse, synthèse. Donc vous allez me demander de faire une synthèse sur un débat qui est aussi vieux qu'Aristote, Platon ou autre. Donc la troisième voie, la synthèse entre les deux, ça serait est-ce qu'une innovation n'est pas elle-même, va dire, façonne-t-elle pas elle-même la réglementation ? Et si on prend plutôt une image ? pour faire un pas de côté avec la philosophie. L'image qui me vient spontanément à l'esprit, ce serait celle d'une plante et d'un tuteur. Pour qu'une plante puisse effectivement grandir, il faut souvent qu'elle ait un tuteur. Est-ce que cette innovation qui doit s'épanouir, qui doit façonner notre monde d'aujourd'hui et de demain, ne doit pas avoir un tuteur ? Pour ces tuteurs, bien entendu, c'est la réglementation, qui est à la fois un cadre, mais qui n'est pas là aussi pour freiner, mais pour surtout, je dirais, faire progresser, tout en respectant nos principes démocratiques et les principes de la société. Donc je ne sais pas si j'ouvre avec vous, dès le début, un grand débat philosophique pour aller au-delà des acronymes que vous avez cités, NIS2, DORA ou autres, mais je pense que tous ces acronymes que nous allons... J'espère aller au-delà de ces mots qui ont un sens, vont nous permettre de savoir si l'innovation qui façonne la réglementation ou si c'est l'inverse, mais avant toute chose, où la réglementation a un sens. Et cette innovation et tout le débat que nous avons actuellement sur l'intelligence artificielle, c'est bien pour donner un sens à notre vie quotidienne et à nos principes.

• Speaker #0

  Effectivement, c'est très important que la réglementation ait du sens. 2024-2025 marque une étape clé en matière de cybersécurité sur le plan juridique. On a pas mal de réglementations qui arrivent, notamment bien sûr pour nous protéger, pour réguler et nous protéger face à l'augmentation et la croissance des cyberattaques sur nos organisations. Alors les gouvernements ont instauré des nouvelles réglementations pour protéger les infrastructures critiques. Mais les implications vont bien au-delà des simples aspects juridiques, c'est un sujet brûlant avec beaucoup de complexité. Alors on va essayer à travers ce podcast d'y apporter un peu de clarté. Alors je ne sais pas si on peut dire que c'est le plus gros chantier, mais en tout cas c'en est un gros, la directive NIS 2 qui entre en vigueur officiellement au mois d'octobre. Alors avec vos mots, qu'est-ce qui se cache derrière cette nouvelle réglementation, Garence ?

• Speaker #1

  On va dire que rien ne se cache. Cette nouvelle réglementation a été attendue. Alors déjà, pour faire un élément de contexte, avant NIS 2, on va dire qu'il y avait une première saison, si on parle avec nos mots d'aujourd'hui, c'est-à-dire qu'il y avait NIS 1. Donc NIS 1 avait été adoptée déjà il y a quelques années, donc nous avions un recul sur cette réglementation et le champ... L'application de NIS 1 était à des années-lumières de celui qu'on va connaître avec NIS 2. NIS 1 concernait qu'une petite partie d'acteurs, des opérateurs de services essentiels notamment, ou les fournisseurs de services numériques, avec des obligations liées à la cybersécurité bien entendu, et à la sécurité des infrastructures, et ainsi que l'ensemble des États membres devaient mettre en place une autorité comme on a en France. On a la chance d'avoir l'Agence nationale de sécurité des systèmes d'information. Donc Nice 1 avait aussi l'ambition, et a réussi cette ambition, de poser un cadre, de poser que l'ensemble des États membres aient un même niveau, on va dire, de conformité au niveau des agences qui supervisent la sécurité des administrations de l'État et qui accompagnent aussi les entreprises. Suite à Nice 1, il y a eu, mais comme on va dire c'est de tradition dans ce domaine, une analyse d'impact. L'indanisme d'impact a démontré... que Nice 1 n'avait pas rempli toutes ses ambitions. Certes, pourquoi ? Parce que le périmètre était très restreint, qu'un faible niveau d'acteurs était concerné. Certes, les ambitions étaient là, mais ce niveau d'acteurs, je ne dis pas qu'ils n'ont pas eu des contraintes, qu'ils n'ont pas eu des difficultés, mais toute la chaîne de gouvernance n'était pas impactée. Et on sait tous, avec l'état de la menace, avec l'évolution, qu'une attaque peut venir aussi de sous-traitants. peut venir de partenaires, peut venir de prestataires. Donc quand on parle d'ambition majeure par rapport à Nice 2, suite à cette analyse d'impact, ça a été de changer de dimension. En fait, c'est un changement de paradigme. On passe dans une ère où très peu d'acteurs étaient concernés, des acteurs qui avaient déjà certainement l'habitude des réglementations compte tenu des secteurs essentiels qui concernaient pour le quotidien des citoyens. pour effectivement l'énergie ou autre, pour englober l'ensemble de la chaîne de gouvernance. Donc on multiplie, on va dire, les secteurs d'activité, notamment le secteur d'activité de la santé va être concerné, par exemple pour nos dénequins, les collectivités sont concernées, donc on change vraiment de paradigme et de dimension. Ça c'est le premier point qu'il faut retenir. Deuxième point, on va dire, qu'il faut retenir par rapport à cette réglementation, c'est qu'elle distingue suivant si vous êtes entité importante ou entité essentielle. Certes, ce ne sont pas les mêmes niveaux d'exigence réglementaire, mais on va dire qu'il y a toujours un niveau d'exigence commune, d'avoir une sensibilisation, d'avoir aussi une cartographie des risques. C'est très important pour tout le niveau des acteurs. Les sanctions seront différenciées si vous êtes entité importante ou entité essentielle, mais à un niveau commun d'obligation, notamment de notification. Une question qui se pose. C'est et si je suis ni entité importante ni entité essentielle, que se passe-t-il pour moi ? Je dirais que la volonté du texte, c'est aussi de couvrir l'ensemble de la chaîne de sous-traitance, l'ensemble de la chaîne de partenaires. C'est ce texte qui est très ambitieux, c'est aussi d'avoir un facteur de confiance. De confiance. Donc comment on crée la confiance ? Certes, en droit par le contrat. Donc si je ne suis pas soumis en tant qu'entité essentielle ou entité importante aux prérogatives, aux droits et aux obligations listés par cette directive, il conviendra que le contrat, on va dire, régule cette chaîne de sous-traitance. Donc une prise en compte, une prise en considération, parce que je l'ai dit à plusieurs reprises, cette directive est ambitieuse, parce qu'en fait on tend à un niveau élevé. Donc la marche est haute, l'ambition est là et... Donc il faut pouvoir y parvenir. Cette date de transposition du 17 octobre, où on se dit que va-t-il se passer après le 17 octobre, et je crois qu'il faut avoir un message, il faut rassurer. Le 17 octobre est une date juridique de transposition par rapport à des délais suite à l'adoption de cette directive. Une transposition veut dire que dans l'ensemble des États membres, une loi, une réglementation doit définir des moyens de mise en œuvre de ce texte, qui y définit des grands principes. Donc cette date va être dépassée dans de nombreux États, pas uniquement et seulement en France. En revanche, ça ne veut pas dire que la conformité ne devra pas être mise en place.

• Speaker #0

  Mais donc on va être en retard, clairement ?

• Speaker #1

  On ne va pas être les seuls. Rassurons-nous.

• Speaker #0

  Aujourd'hui, il y a deux ou trois pays qui sont à l'heure et qui vont respecter cette entrée en vigueur, c'est ça ?

• Speaker #1

  Il y a quelques pays, effectivement, et d'autres pays sont en train d'avoir un débat législatif et parlementaire. Sur la loi, nous, je pense qu'il faut à nouveau que cette loi, ce projet de loi soit inscrit au calendrier parlementaire. Pour l'instant, à l'état actuel, on n'a pas de date. Avant l'été, il y avait déjà eu un projet de loi qui avait circulé, mais pas de manière officielle. Et surtout, il y a eu, pendant tout le début de l'année 2024, des travaux très importants de l'ENSI qui, en concertation avec l'ensemble des organisations professionnelles, a recueilli les attentes, les besoins et les craintes peut-être, et a pu expliquer aussi ce texte en détail aux organisations professionnelles pour les aider à se préparer. Donc, il y a eu un travail, on va dire, participatif, collaboratif, qui est à noter parce que c'est peut-être même une des premières fois, en tout cas dans le domaine de la cybersécurité. qui a un tel investissement, une telle préparation, coopération, pour éduquer, pour sensibiliser, pour expliquer, et surtout pour avoir un échange constructif, en disant, mais quels sont vos attentes ? Pourquoi ? Quels seraient vos besoins dans le cadre d'une notification ? Comment on met en place les choses ? Donc il y a eu ce dialogue qui a été mis en place. Un projet de loi, certes, pas rendu public, mais on eut connaissance. Mais en revanche... en étant en absence de toute connaissance du calendrier parlementaire. Oui,

• Speaker #0

  donc ce que vous dites, c'est que les contraintes réglementaires pour les entités essentielles et les entités importantes n'entreront pas en vigueur dès le 17 octobre. Elles ont encore un petit peu de temps avant de se mettre à la page, finalement.

• Speaker #1

  Elles ont un petit peu de temps pour se mettre à la page, en tout cas en France.

• Speaker #0

  Oui.

• Speaker #1

  Une fois. Parce qu'en fait, ce texte est une dimension européenne. Donc dans certains États membres, il y a déjà eu une transposition et... Et ce texte s'appliquera donc aussi à toutes les entreprises, à tous les organismes, de regarder quelles sont leurs tailles, quels sont leurs chiffres d'affaires, quels sont effectivement les secteurs d'activité impactés et si elles ont un siège social ou des filiales en Europe. Il faut voir aussi dans un première étape une vision macro par rapport à une appréhension et une gestion du risque. Ça c'est un point très important peut-être à avoir en tête, c'est qu'on est sur une approche par les risques, une approche systémique. Donc c'est... essentiel de bien connaître son secteur d'activité, de bien connaître la taille de sa structure pour adapter la gouvernance qu'on va mettre en place. Une gouvernance où le COMEX, les dirigeants, d'une manière générale, est impliqué d'une manière très importante. Le texte le dit, le mentionne, l'implication des dirigeants. Donc, il faut avoir en tête la taille du groupe et avoir en tête aussi quel est son programme de déploiement. On n'est pas sur une conformité... Cases à cocher. A mon avis, cette conformité cases à cocher n'amène à rien et n'amènera pas, je pense, à des opportunités, parce qu'on parle de contraintes. La réglementation peut aussi donner lieu à des opportunités sécurisées, des systèmes d'information, mettre des outils en place, sensibiliser, parce qu'il y a une partie, certes, sanctions, mais il y a une partie responsabilisation et une partie aussi de je sensibilise pour transmettre, pour expliquer le pourquoi et le comment, pourquoi je dois avoir de la double identification, pourquoi je dois chiffrer mes messages. Bien entendu, il y a des enjeux de confidentialité, il y a des enjeux aussi de sécurisation des actifs et de développement effectivement des marchés.

• Speaker #0

  J'aimerais justement revenir sur ce que vous dites, sur tous ces nouveaux enjeux et surtout qui touchent 15 000 entités supplémentaires en France qui englobent non seulement les PME mais aussi des TPE. Alors comment est-ce qu'on fait dès lors pour... établir un seuil de régulation qui sécurise, sans pour autant surcharger les plus petits acteurs du marché avec un niveau de maturité et des moyens qui sont moins conséquents ?

• Speaker #1

  C'est effectivement un challenge, on ne va pas se le cacher. Les moyens ne sont pas conséquents. Le seuil qui a été fixé, c'était à partir de 50 salariés. Donc on arrive très vite sur des sociétés selon les secteurs d'activité qui peuvent être concernés et indépendamment d'être concernés par une qualification d'entité. importantes ou d'entités essentielles, comme je l'expliquais, les acteurs de la chaîne peuvent être concernés parce qu'ils sont dans des enjeux de sous-traitance. Donc, les contrats, les questionnaires fournisseurs des documents qui sont plutôt parfois délicats à remplir et complexes par rapport à une gouvernance peuvent engendrer du temps. Alors là, c'est une position on va dire très simple et très simpliste. Il est fort probable Qu'il y ait effectivement, et l'ENSI, visiblement, sur son site qui est dédié à Nice 2, c'est très important, il y a un site qui a été mis en place pour aider, justement. Je parlais de cette transmission, de cet accompagnement. C'est déjà une réalité, déjà une réalité avec ce site. Il y a aussi un besoin... dans le cadre de l'accompagnement, de développer des budgets. Alors ça, le développement des budgets, ça va être effectivement chaque entreprise et chaque plan, comment je peux sécuriser par rapport à mon propre marché et par rapport à mes propres risques. C'est-à-dire qu'on va l'adapter au cas par cas par rapport à la taille des organismes. Pour les collectivités, il y aura certainement des... En tout cas, certainement, c'est ce qui a été annoncé, à voir. Et tout l'enjeu de la transposition et du débat législatif va être très intéressant, peut-être par rapport aux régions, un rôle fort de nos régions, des correspondants de l'ENSI en région. Un rôle aussi qui va se développer des centres de supervision de la sécurité, ce qu'on appelle les CERT, qui vont pouvoir aider certainement ou accompagner. Alors il y aura toujours des idées et des enjeux et des discussions sur les financements. comment ça va se passer la prise en charge. On n'a pas, on va dire, réponse à tout, mais on a peut-être un recul par rapport à d'autres textes. Il y a quelques années, on évoquait, et pourtant ce n'était pas quelque chose de nouveau en France, le fameux RGPD, ces quatre lettres, Règlement Général sur la Protection des Données, où beaucoup d'entreprises, à l'approche d'une date, qui était effectivement l'entrée en application le 25 mai 2018, se sont dit comment je vais faire. Alors qu'il faut se souvenir que la France a été un des premiers pays à avoir une réglementation sur la protection des données, une réglementation extrêmement forte. Donc on a ce recul, puisque cette mise en œuvre du règlement s'est faite, se fait, ça fait maintenant partie des principes, ce qui est une bonne chose puisque la protection des données nous concerne toutes et tous. L'ambition de Nice 2, si on parle d'une ambition aussi citoyenne, Je parle beaucoup de transmission, d'accompagnement. C'est aussi pour sécuriser, on va dire, nos données, mais pas que nos données à caractère personnel, l'ensemble des actifs, l'ensemble des informations, dans une société, dans un monde où les bouleversements géopolitiques sont de plus en plus complexes, où on voit que le droit a un comté de plus en plus ambitieux, prégnant, et a toujours eu comme vocation de réguler notre vie. Je reviens à votre première question philosophique. de réguler notre vie, mais en orientant, bien entendu, et en donnant ce cadre. Ce cadre, peut-être pour mieux, j'ose un mot, qui n'est pas un mot business, peut-être pour mieux épanouir, mais en tout cas pour mieux conquérir et pour mieux aider au développement des marchés. Pour moi, le droit doit réguler, mais doit surtout être au soutien de l'économie et du business. Donc, par rapport au TPE, certes... Le challenge est là. Quelles sont les mesures qui seront prises de manière spécifique en France ? La transposition et les projets de loi, le projet de loi et le débat. Je pense que ce sera des questions très importantes à poser à nos parlementaires et à nos sénateurs, parce que tout le monde est concerné.

• Speaker #0

  Alors c'est peut-être naïf comme question, mais à votre avis, pourquoi est-ce qu'on part sur une directive ? Alors qu'en fait, des enjeux aussi critiques que la sécurité des systèmes d'information et des organismes vitaux pourraient finalement sembler nécessaires d'avoir un règlement plutôt qu'une directive comme le RGPD, comme vous le disiez.

• Speaker #1

  Alors effectivement, ça a été un choix politique de partir sur une directive. Je rappelais NIS 1, où c'était déjà une directive, et NIS 2, les Européens, dans le cas des négociations au sein de la Commission européenne et des différentes commissions. On fait le choix d'une directive.

• Speaker #0

  Est-ce que vous pouvez peut-être juste rappeler la différence entre la directive et le règlement ?

• Speaker #1

  Oui, bien sûr. Le règlement, si on fait extrêmement simple, c'est l'équivalent d'une loi. Donc l'État membre n'a pas de marge d'appréciation. La directive, c'est un texte qui est adopté, qui a effectivement une valeur forte, contraignante, mais qui laisse une marge d'appréciation aux États membres. Et cette marge d'appréciation peut être assez importante. D'où le terme de directive. D'où... un délai où la commission laisse pour entrer en vigueur, pour adopter, pour transposer. Le terme juridique, on parle depuis le début de transposition, c'est comment j'applique ce texte au sein de ma culture juridique. Alors pourquoi une directive aussi ? C'est que Nice 1 comme NIS 2 régule aussi et impose aussi des contraintes sur le secteur public. Il faut savoir que... que le secteur public, il y a des domaines qui restent réservés aux États membres, et ça en fait partie. Donc ça a été une posture politique. L'écriture, on va dire, de NIS 2, l'enjeu, règlement directif, s'est posé. D'autres choix ont été faits pour d'autres textes de faire des règlements, donc vraiment des lois. Là, la transposition... et la marge d'appréciation laissée aux États membres, elle est surtout par rapport à une adaptation, par rapport aux cultures des pays. On touche les infrastructures, on touche des systèmes d'information et des infrastructures critiques et certains secteurs d'activité concernés sont des secteurs essentiels. Donc on voit que chaque pays, actuellement, dans le cadre des différents États membres, n'ont pas choisi la même manière de transposer. des états ont pris des lois donc un débat parlementaire on va dire classique comme on connait tous je vais prendre l'exemple de l'Allemagne où là la co-construction et la concertation compte tenu de la culture allemande du régime juridicalement s'illustre parfaitement on a des débats qui se tiennent au niveau des Landes avec un poids très fort des entreprises avec cette co-construction c'est assez intéressant De voir aussi, et je pense que ça peut être un facteur de réussite, de prendre en compte et bien d'intégrer la culture et la culture juridique de chaque pays dans ce texte.

• Speaker #0

  Est-ce que ça veut dire qu'en fonction des pays membres de l'Union européenne, certains vont avoir une transposition plus ou moins exigeante que d'autres ?

• Speaker #1

  Pas précisément, je dirais, ou certains États membres, puisque la directive est déjà assez précise. notamment par rapport au délai de notification, par rapport effectivement à des définitions des incidents. Je ne dis pas que certaines définitions ne peuvent pas être challengées, puisqu'elles sont extrêmement larges, ce qui pose un certain questionnement. Et peut-être une curiosité, peut-être une créativité en tant que juriste à avoir pour aller au-delà de la définition et pour discuter avec les métiers, pour savoir ce qu'ils entendent eux vraiment, pour adapter au cas par cas. Mais pour voir... Est-ce qu'il y aura une disparité ? Parce que c'est le risque avec une directive. Le risque, c'est effectivement d'avoir une hétérogénéité de réglementation et de spécificité. On n'a pas actuellement la cartographie de l'ensemble des transpositions. Les quelques transpositions qu'on voit, c'est des transpositions où le texte, où l'esprit du texte a été respecté, donc avec assez de marge d'interprétation, d'appréciation. Il faudra voir dans le temps. Mais sur les États qui se sont prononcés ou sur l'équivalent de l'ANSSI dans les autres États, il y a une volonté aussi, et notamment une volonté qui vient de l'ENISA. Donc l'ENISA, c'est l'organisme, on va dire l'équivalent de l'ANSSI pour avoir une image au niveau européen, qui vont définir les mesures de sécurité. Donc là, pour les professionnels de la sécurité, il y aura ce qu'on appelle un acte d'exécution qui va définir les mesures de sécurité communes. à l'ensemble des États membres. Donc certes, une marge d'appréciation, un besoin de transposition pour respecter les cultures, pour respecter aussi les fonctionnements, les organisations qui sont différents concernant les États. J'ai pris l'exemple de l'Allemagne, je peux prendre l'exemple de la France, avec les régions, avec une construction, on va dire, qui est distincte suivant les États. Mais des grandes lignes qui seront communes.

• Speaker #0

  Oui, c'est ça. On aurait quand même un certain niveau d'égalité entre toutes les organisations européennes. Parce qu'on sait que, par exemple, la France a tendance à être assez avant-gardiste et assez exigeante dans son niveau de sécurité pour ses entreprises. On avait notamment la LPM qui avait devancé beaucoup de pays européens et qui permettait du coup un niveau de sécurité assez fort pour ses opérateurs d'importance vitale. Donc voilà, la question c'était un peu, est-ce que la France ne va pas faire un peu de zèle et ne va pas être plus exigeante pour ses organismes, pour ses entités essentielles, ses entités importantes, versus d'autres pays européens qui pourraient potentiellement être un peu moins exigeants ?

• Speaker #1

  Très délicat de répondre à votre question activement, je dirais que ça va être le charme du politique. Et peut-être, attendons de voir, et peut-être ça va être aussi un enjeu important. pour les entreprises, pour les organismes, de se saisir et de se rapprocher de nos députés et de nos sénateurs pour effectivement faire passer des messages dans le sens d'un pragmatisme, dans le sens effectivement des opportunités business. Je pense que la sécurité est un facteur de développement aussi des activités économiques et de ne pas se laisser entraîner par rapport à trop de contraintes.

• Speaker #0

  Bien sûr. Alors Nice 2 n'est pas seule, puisqu'elle est accompagnée par plein d'autres réglementations européennes. On a tous entendu parler de DORA, de l'IA Act, du DMA, du DSA et j'en passe. Donc le but ici, ce n'est pas de rentrer dans les détails de tous ces règlements. On s'intéresse en particulier à DORA. C'est un règlement qui est entré en vigueur le 16 janvier 2023 et qui s'appliquera à compter du 17 janvier 2025. Il concerne le secteur financier en particulier, qui est déjà hautement régulé, qui est souvent la cible de cyberattaques et de fraudes. C'est normal qu'il soit assujetti à certaines règles. En 2014 déjà, il y avait un mécanisme de supervision unique qui avait été mis en place pour créer un dispositif de contrôle. uniforme pour toutes les grandes places bancaires européennes. Pourquoi, selon vous, est-ce qu'il y a un règlement spécifique qui a été adopté pour ce secteur, le secteur bancaire, et pas pour tous les autres secteurs sensibles, qui pourraient être par exemple la santé, qui traite des données patients extrêmement délicates aussi ?

• Speaker #1

  Votre question est juste. Le secteur financier est déjà un secteur extrêmement régulé. Voilà, vous l'avez rappelé. Dora est un règlement. Donc là, pour le coup, le texte va s'appliquer, il va rentrer en application en… en janvier prochain. Le secteur bancaire et financier, si on globalise, est déjà un secteur fortement régulé par différents textes européens, voire internationaux, suivant les marchés. Il y a une habitude, une habitude de la conformité dans ce secteur financier, dans ce secteur bancaire. Peut-être moins dans d'autres secteurs. Le texte d'Aura, c'est très désagréable de parler en acronyme, et c'est vrai que c'est 24 dernières mois, il y a eu beaucoup d'acronymes. Ce texte, c'est sur la résilience. La résilience, c'est comment je fais si jamais je n'ai plus accès à mon système d'information, pour faire très simple. C'est la continuité d'activité. C'est pour avoir accès d'une manière tout au long. de mes besoins, de la vie, effectivement, à mes données, mais à mes assets. Donc c'est comment je traite cette continuité d'activité sur l'ensemble de la chaîne des fournisseurs. Là, pareil, si on fait un parallèle avec NIS2, pas du tout la même norme juridique, donc une directive avec une transposition, un règlement, l'équivalent d'une loi. En revanche, même, on va dire, dynamique, c'est-à-dire une volonté de sécuriser, de sécuriser d'un bout à l'autre de la chaîne. Là, les acteurs, les prestataires, les partenaires, les sous-traitants sont incorporés, c'est des chapitres entiers du règlement DORA qui sont concernés par la mise à niveau, on va dire, la montée en puissance de l'instrument contractuel et des exigences contractuelles par rapport à ses prestataires. Donc, il y a... Un défi à relever pour ces prestataires, d'avoir cette conformité. Des textes existaient déjà, vous les avez rappelés. Donc il y avait déjà, est-ce qu'on est prestataire de service critique pour un organisme financier ? Donc il y avait déjà une connaissance pour ces acteurs. Là on remonte à nouveau le niveau, encore une fois on monte d'une marche, avec des obligations d'audit, des audits techniques, je parle organisationnel, techniques, pas que sur les comptes puisqu'on est dans le monde de la finance. mais aussi des mesures de reporting, de reporting avec des rapports, mais à nouveau techniques, sur des incidents, sur des vulnérabilités. Quand je disais qu'il y a aussi un point commun, c'est-à-dire une démarche. Les autorités bancaires, les autorités financières travaillent au niveau européen pour mettre en œuvre des normes qui ont un nom barbare, encore une fois un acronyme ITS et RTS. pour bien définir ce qu'on entend par incident, pour bien définir par exemple les exigences contractuelles. Donc tout ce travail qui se fait en parallèle et qui est encadré par le règlement d'ORA aide les organismes à se mettre en conformité. Encore une fois, c'est toujours pareil de trouver les défis par rapport à des prestataires, par rapport à une chaîne de sous-traitance qui est complexe, une chaîne de sous-traitance qui n'est pas seulement européenne, il ne faut pas oublier, on est sur... des besoins qui sont 24-24-7-7. Donc, même si la France a la chance d'avoir des territoires, et c'est une chance, à mon sens, qu'on devrait exploiter et qu'on devrait valoriser beaucoup plus, certains prestataires ne sont pas soumis à des réglementations du territoire strictement européen. Donc, avoir aussi cet équilibre. Concernant le secteur de la santé. Effectivement, le secteur de la santé est visé, dans le cadre de Nice 2, aussi à d'autres réglementations plus sectorielles, plus nationales. Actuellement, le choix politique n'a pas été fait d'avoir un texte européen unifié. Pourquoi aussi, et je reviens sur la gouvernance des États, sur le système hospitalier, on en parle suffisamment en France, sur l'architecture d'un système hospitalier, sur le système Le fonctionnement d'un système hospitalier qui est souvent différent d'un état à l'autre. C'est vrai qu'on parle en France, on a tout ce qui est hébergement de données de santé, des sécurisations ou autres. Des projets sont aussi en cours au niveau européen. Le secteur de la santé, comme d'autres secteurs, sont des secteurs prioritaires pour nous tous. Effectivement, la sécurisation est très importante. qui brassent et qui traitent des données sensibles, extrêmement sensibles, puisqu'on parle de données de santé, doit être au cœur de nos préoccupations. Et c'est souvent un parent pauvre, compte tenu, on va dire, d'un manque de moyens humains. Je ne dirais pas que dans le domaine de la cybersécurité, hélas, on parle trop souvent de déserts médicaux. Là, on s'éloigne un peu de nos sujets, mais c'est parti d'une réalité, et on va dire, d'une réalité sociétale. Parce que même si l'enjeu, effectivement, est d'échanger avec vous sur la cybersécurité, on le voit bien au travers de vos questions. On voit bien au travers du positionnement de la réglementation que l'ensemble de ces textes adresse la société.

• Speaker #0

  Exactement. Et on en vient du coup à ma prochaine question. Est-ce que vous pourriez nous expliquer si des individus comme vous et moi seront directement impactés par toutes ces réglementations ? Il y a le site officiel cyber.gouv.fr qui spécifie dans le cas de NIS 2 que sa mise en application va permettre à des milliers d'entités qui concernent le quotidien des citoyens de mieux se protéger.

• Speaker #1

  En fait c'est l'évacuation du droit déjà. Si je reviens sur la philosophie du droit, un des grands principes du droit c'est de réglementer, de réguler la société. On va revenir à des cours de philosophie du droit ou d'histoire du droit qui sont effectivement passionnants. C'est... Dans quelle société souhaitons-nous vivre, effectivement, et quelle est la place de la réglementation ? La réglementation, notamment à deux axes, et on va le rejoindre avec votre question, c'est un ordre public de protection, puisque le droit est là aussi pour nous protéger, et parfois de certaines tentations. Voilà, c'est protection aussi de direction. Direction, c'est de donner le sens, de donner vers quelle volonté. et quelle société on veut vivre, tout en respectant effectivement les droits humains et le respect de nos droits fondamentaux. Et je pense qu'on aura l'occasion d'en parler avec l'intelligence artificielle, mais sur NIS 2, pour reprendre votre question. Comment le citoyen va se rendre compte de NIS 2 ? NIS 2, il ne va pas le vivre du jour au lendemain. C'est beaucoup de petits détails dans son quotidien. Ne serait-ce qu'un renforcement de la sécurisation de ces espaces clients, ne serait-ce qu'effectivement, alors il va voir ça comme une contrainte bien entendu, il va falloir avoir son smartphone à la main pour vérifier les codes ou autres, pour pas que ce soit vécu comme une contrainte qu'on a forcément envie de contourner, parce que ça c'est l'humain, l'humain est une nature, si je fais un peu d'humour, très française. très française, c'est qu'il faut aussi expliquer et sensibiliser. Encore une fois, sensibiliser repose aussi sur l'éducation au sens plein du terme. Et une vocation peut-être pour... pas pour nous, parce que hélas, c'est pour les générations futures et je dirais même pour les jeunes qui sont en primaire, voire même dès le début, la maternelle. de savoir comment on a un usage des réseaux sociaux. Volontairement, je fais un pas au-delà de l'ISDE, mais c'est comment on vit avec cette technologie qui est formidable, qui effectivement nous facilite beaucoup de choses pour trouver cet équilibre et pour avoir cette protection. Le droit va protéger, le droit aussi a un principe de neutralité technologique. Et ça, c'est un grand fondement, effectivement. de notre schéma juridique. Mais pour relever ces défis et pour que tous les citoyens se rendent compte que c'est plutôt une chance et non pas une contrainte, il faut faire passer des messages. Alors les messages passent. Là, dans quelques jours, on va être dans le cyber-moi. Donc les messages passent. C'est très important, tous ces travaux de sensibilisation qui sont faits. notamment par Cybermalveillance, mais il y a d'autres aussi institutions qui se lancent, mais pour diffuser cette bonne parole, cette bonne parole et ces bons réflexes. Je reviens sur l'éducation, l'éducation, on crée des réflexes. On a tous appris à lire, à écrire, et je pense que ça fera partie, ça devrait faire partie, de savoir manier les réseaux, l'informatique ou autres, au même niveau que savoir lire et écrire, puisque ça fait partie de notre équilibre et de la société dans laquelle on vit.

• Speaker #0

  Absolument, j'en parlais justement dans le dernier épisode avec Agnès Fabre, de l'importance de créer des véritables formations. aux outils numériques dont on pourrait avoir besoin dans le monde professionnel. Ce qui n'est pas encore vraiment le cas aujourd'hui, et notamment des formations à la cybersécurité. Il est temps, je pense, de créer ces formations à l'école. Parenthèse refermée, je voulais continuer sur la partie conséquences indirectes des réglementations. On parle souvent de l'importance d'humaniser la technologie. Est-ce que vous ne pensez pas qu'il serait également essentiel d'incorporer davantage de réalisme technologique dans la réglementation pour éviter de créer des normes qui vont s'éloigner de ce qui est techniquement réalisable ?

• Speaker #1

  Je disais il y a quelques instants que le droit avait comme principe de neutralité technologique. Donc ça, c'est pas que le droit est décorrélé de la technique ou est décorrélé d'une innovation. C'est... qu'on demande à un droit de poser une règle. Alors je ne suis pas là pour juger si elle est bonne ou mauvaise, et on peut la faire évoluer dans le temps, bien entendu, le droit évolue. Alors là, c'est là où on va avoir un côté de vitesse. C'est que la technologie évolue beaucoup plus vite que le droit. Est-ce qu'il ne faut pas aussi laisser, là c'est une question que je pose ouverte, laisser aussi un temps pour construire des normes juridiques, avec un certain recul ? Et non pas avoir un instant de précipitation. Rapport. Rapport à un événement d'actualité, une innovation, une technologie. Par du recul. Après, qu'est-ce qu'on appelle recul ? Parce que l'impératif de réguler, l'impératif de mettre un cadre est impérieux. Comme je le disais tout à l'heure, ne serait-ce pour protéger par rapport à des excès ? On parlait, et on va parler, de l'intelligence artificielle. L'insiligence artificielle, un des enjeux très importants, c'est qu'il y ait toujours un contrôle de l'humain. C'est que ce soit une aide à la décision. Donc ça, c'est un des principes actuellement, que ça reste une aide à la décision et qu'il n'y ait pas uniquement et seulement un algorithme ou un modèle d'IA qui mette dans des cases, pour prendre encore une fois une image. Mais pour la régulation et pour effectivement rapprocher de la technique, pourquoi ? pour pas que ce soit deux mondes qui agissent en silo sans se parler. Il faut, je pense, avoir un travail d'équipe. Le droit, on ne change pas effectivement sa manière d'être depuis des siècles. La technologie évolue depuis des siècles. Je ne vais pas revenir à l'invention de la primerie, des choses comme ça. Et ça a été aussi des changements de société. Je parle sur l'avancement de la primerie parce qu'on fait beaucoup d'images. par rapport à l'intelligence artificielle, parce que ça avait été une rupture à l'époque. Mais connaître les techniques, connaître, avoir une vulgarisation de ces techniques, vont aider aussi la norme du droit à appréhender, à mettre le curseur au bon niveau. On parle des technologies de chiffrement. Les technologies de chiffrement, c'est quelque chose d'extrêmement complexe. Il y a des spécialistes du chiffrement, effectivement. Mais qu'est-ce qu'on appelle chiffrement ? par rapport aux usages et aux besoins. Il faudrait effectivement, dans le cadre de ce travail d'équipe, qui existe, mettre à chaque fois quel est le curseur par rapport à la gestion du risque. L'approche par les risques est essentielle. Où on met le curseur ? Par rapport à quel risque ? Et à chaque fois, faire peut-être, sans vouloir avoir des procédures qui ralentissent, un débat législatif. Mais avoir, après l'adoption d'une loi, une étude d'impact. C'est ce qui est prévu maintenant régulièrement, une étude d'impact, pour voir si l'application de cette loi, au bout de deux ans, au bout de cinq ans, donc dans des temps un peu courts, même si cinq ans c'est très long en technologie, en technique, est bien adaptée pour à nouveau suivre l'évolution. Sans oublier, bien entendu, que la loi... et le contrat sont la confiance. Donc la technologie, on doit avoir confiance dans la technologie, on doit pouvoir la maîtriser, donc savoir l'expliquer, et bien connaître à nouveau ses biais. Et le droit va encadrer en fait... Les usages et après laisser aussi un choix aux entreprises. Ce n'est pas une liste, on va dire, de courses qu'on va faire, qu'on va appliquer une recette. Non, la recette, tout le monde est capable de faire un gâteau. Mais un chef le fera, en tout cas certainement mieux que moi. Certainement mieux que moi parce qu'il aura, on va dire, cette maîtrise. Donc le savoir et l'échange de savoir va être important.

• Speaker #0

  Bien sûr. On en revient en tout cas à notre première question. Est-ce que c'est l'innovation qui façonne la réglementation ou est-ce que c'est plutôt la réglementation qui guide l'innovation ? Je voulais revenir sur un échange que j'avais eu avec Philippe Latombe, qui est député à l'Assemblée nationale, sur la question concernant l'absence de géants technologiques tels que les GAFAM ou les BATX en Europe. Selon vous, est-ce que c'est justement cette régulation stricte qui pourrait être un facteur dissuasif ? pour ces entreprises.

• Speaker #1

  Est-ce que c'est cette régulation stricte qui a empêché, il y a quelques années, de développer des champions ? On a aussi des champions, peut-être pas à la taille des GAFAM ou autres, mais on a des champions. Il ne faut pas avoir une attitude très négative. Effectivement, mais on n'est pas sur les mêmes cultures juridiques. On a des champions européens. Ça, je pense qu'il faut aussi en être convaincu. La réglementation est là, mais aussi cette réglementation s'inscrit dans des stratégies d'innovation portées par l'Union européenne, où il y a des financements aussi qui sont mis en œuvre, donc des aides et des accompagnements pour les entreprises. Certainement, il y aurait plein de choses à dire sur l'accompagnement des entreprises, sur peut-être des modalités de financement ou à revoir, mais c'est comme tout, il y a déjà un existant. Par rapport notamment aux GAFAM, c'est aussi la culture américaine. Alors une culture américaine qui est très différente de notre culture européenne, qui est fondée sur le droit et au service de l'économie, si je résume. Donc on a une culture entrepreneuriale très forte et on a une réglementation aux États-Unis qui est aussi très contraignante, mais qui est au service de l'économie et de leur économie. On va aussi revenir sur d'autres géants, par exemple des géants chinois ou autres. On est là sur un autre paradigme culturel et d'autres enjeux. Où là, c'est effectivement d'autres valeurs qui ne sont pas celles de l'Union européenne, notamment sur le respect des libertés fondamentales et de nos valeurs démocratiques. Bien sûr.

• Speaker #0

  Alors pour rester sur l'Europe, ça a fait l'actualité fin septembre, Thierry Breton a démissionné de la Commission européenne. Il a été un acteur clé dans la régulation du numérique, notamment en tant que commissaire européen au marché intérieur depuis 2019. Il a été reconnu pour son influence dans l'adoption du DSA, du DMA et plus récemment de l'IA Act. Quel impact pensez-vous que sa démission aura sur la continuité et l'héritage des politiques numériques européennes ?

• Speaker #1

  Je dirais effectivement que, indépendamment de saluer le travail qui a été fait par le commissaire français, il y a effectivement... que tout le monde salue effectivement l'engagement, c'est inscrit aussi dans le programme d'une commission. Le programme d'une commission, il y a quelques années, avec un vote à la suite d'élections européennes. Je reviens sur le débat démocratique. Je dirais qu'il faut aller au-delà. On est sur un nouveau vote d'un Parlement européen il y a quelques mois, une nouvelle commission et un nouveau programme de la commission. On est au niveau européen. Et ces changements, on va dire, sont inhérents à tout processus démocratique.

• Speaker #0

  Oui.

• Speaker #1

  Ça, c'est... Voilà. C'est un enjeu politique. Quels sont les politiques ? Il va y avoir un nouveau... Il y a un nouveau commissaire français, bien entendu. Et ce qu'il ne faut pas oublier, c'est, quelle que soit la nationalité des commissaires européens, ils sont là pour servir les valeurs européennes, le programme européen. Je ne veux pas dire qu'ils ne sont pas en lien avec leur État national, mais leur vision est... d'appliquer le programme au niveau de l'Europe. Donc, voyons voir les enjeux démocratiques. Il faut voir aussi qu'il y a une vice-présidente à la Commission européenne qui est une femme et qui va être en charge des enjeux de souveraineté numérique avec un portefeuille sur le numérique assez large qu'on peut voir aussi saluer ses ambitions. Donc, des enjeux démocratiques qui sont, on va dire, classiques. Et une parole, je pense, des commissaires qui vont continuer dans le sens du numérique et dans le sens des ambitions qui ont été initiées déjà il y a quelques années, puisque la commission s'inscrit dans une certaine continuité.

• Speaker #0

  Alors, il est coutume de dire que la loi est faite pour protéger les citoyens, en l'occurrence les utilisateurs. Dans cet esprit, le DSA et le DMA ont été conçus pour offrir une protection à l'échelle mondiale aux citoyens européens. Est-ce que vous êtes 100% d'accord avec cette vision ?

• Speaker #1

  Je ne dirais pas que c'est une question de pourcentage ou pas, je dirais que c'est des textes très importants, extrêmement importants. Alors, si on va au-delà des acronymes, il y a beaucoup d'acronymes. Il y a beaucoup d'acronymes. Je pense qu'on pourrait faire, je ne sais pas moi, des rébus, des scrabbles, enfin bon, des jeux pour bien maîtriser la réglementation européenne et ses subtilités. Ce sont des deux textes qui font des règlements, déjà. Le DMA, c'est l'encadrement pour simplifier des enjeux de droit de la concurrence, du marché numérique. Donc un texte extrêmement fort et on peut voir d'ores et déjà... qui a une influence au-delà des frontières européennes, puisque les géants américains le respectent. Il y a suffisamment de débats dans la presse pour voir que le DMA est un texte fort, qui s'inscrit aussi dans une continuité, toujours la continuité des travaux européens depuis plus de 50 ans, qui est aussi d'avoir un droit de la concurrence extrêmement fort. L'Europe a toujours eu un droit de la concurrence très fort. qui s'est toujours imposée au-delà des frontières de l'Union européenne, ne serait-ce que pour accéder au marché européen, qui est un marché avec des consommateurs, des utilisateurs très conséquents. Donc il ne faut pas oublier, c'est un intérêt aussi économique très fort. Et l'Union européenne, indépendamment de vouloir réguler avec un droit de la concurrence sur les abus de position dominante, sur les ententes, et là maintenant sur les plateformes, Et les grandes plateformes qui respectent ce droit et cette régulation, c'est aussi pour nous offrir un bénéfice sur nous, on va dire, utilisateurs de ces services. Et ça fait partie aussi des valeurs fondamentales de l'Union européenne, ce qui était les libertés, nos fameuses libertés d'accès, nos fameuses libertés de circulation de bien des personnes encadrées. Le dessin. Pareil, donc là c'est un règlement, donc l'équivalent d'une loi, qui quant à lui encadre et qui est très ambitieux. Ces deux textes sont des textes piliers qui s'inscrivent vraiment dans une gouvernance très forte de la Commission européenne quand elles ont été prises, notamment qui se vise à gérer, à réguler tout ce qui est aussi service numérique, mais aussi la lutte contre la désinformation. La lutte, ce qu'on appelle, contre les fake news, donc les modérations de contenu, donc des enjeux, on va dire, liés aussi aux campagnes électorales qu'on a vécues ou qu'on va vivre. Cette année 2024 est très riche en campagnes électorales. Enfin, je pense que ces derniers mois, on en a eu la mangou, mais aussi qui s'intéressent aux mineurs. Si je prends qu'un angle, parce que c'est des textes très riches, très complexes et avec des défis à relever. aux mineurs, aux enfants, notamment pour tout ce qui est modération, pour tout ce qui est aussi régulation des réseaux sociaux. On a vu un des effets par Instagram qui a changé à quelques jours, notamment pour les adolescents. Donc, c'est un texte ambitieux, mais qu'on voit qu'ils sont déjà rentrés dans un quotidien, même si on ne se dit pas, et c'est normal, On ne doit pas se dire chaque matin, ça c'est un effet du RGPD, ça c'est un effet du DSA, ça c'est un effet du D... Voilà, mais cette vision européenne protectrice, régulatrice, mais aussi d'imposer un cadre pour l'ensemble des acteurs, y compris pour des personnes, on va dire vulnérables, en droit, l'enfant est une personne dite vulnérable, si ce cadre protecteur, et on voit cette double vision de protection et de direction s'illustrer. On voit aussi cette double vision s'illustrer avec une volonté de détecter et d'empêcher effectivement la manipulation de l'information qui devient un fléau de plus en plus et de redonner peut-être cet esprit critique.

• Speaker #0

  Intéressant. Alors j'ai une dernière question pour vous, Garance. La conformité est souvent perçue comme une exigence externe, mais est-ce que vous la considérez également comme un avantage compétitif pour les entreprises ? Une simple obligation ou une réelle opportunité pour offrir une garantie supplémentaire à des clients ?

• Speaker #1

  J'allais dire, effectivement, on ne pourra jamais empêcher de penser ce terme contrainte. On l'entend tous les jours. On en a parlé ensemble. des augmentations de budget, des augmentations de ressources, des procédures, enfin voilà. Mais si on va au-delà d'un cliché un peu pessimiste, et je suis une réelle optimiste, et je crois à nos valeurs humaines, et je pense que l'expérience qu'on a vécue il y a quelques mois avec les Jeux Olympiques et les Jeux Paralympiques sont riches d'enseignements. Sont riches d'enseignements, et si je fais un parallèle avec la réglementation, parce qu'en fait on a vu... Un travail d'équipe. On a vu une compétitivité au sens noble du terme. On a vu aussi des gens qui se font confiance, qui croient aussi. Voilà, alors que, dommage, mais il ne faut pas se rappeler qu'il y avait vraiment beaucoup de pessimisme sur cette organisation et on peut un succès, et on peut féliciter le succès. Et je peux dire là-dessus que, certes, la réglementation... Il faut se dire, elle est là, je l'intègre dans mon entreprise, mais par rapport à mes enjeux à moi, ma taille, mon business, et par rapport à une temporalité, puisqu'on voit bien que même les délais de transposition ne sont pas respectés par les États membres, et pas uniquement et seulement par la France, pour parler que de Nice 2. Mais je dirais qu'il faut avoir un esprit sportif, et véhiculer les affaires. les valeurs du sport, au-delà. Et on les a, on les a au sein de nos entreprises, on les a au sein de nos administrations, on a des gens extrêmement motivés, moteurs, pour porter, puisqu'on sait que la cybersécurité fait partie d'un risque. On sait que quand on est victime d'une cyberattaque, c'est très compliqué. Ça a des conséquences économiques, mais aussi psychologiques. Sur un chef d'entreprise qui voit du jour au lendemain ne plus pouvoir faire travailler ses collaborateurs ou autres, et que cette réglementation qui a l'air d'être contraignante, certes, et vous voyez je le dis, c'est aussi pour éviter. Alors on se dit, j'évite, mais voilà, il faut en voir les bénéfices, et en se disant qu'en la mettant en place, on évitera certains risques. En la mettant en place, en la mettant en place d'une manière dynamique, c'est-à-dire qu'elle ne doit pas être figée. Figée, évoluée, j'expliquais tout à l'heure que le droit est en évolution constante, nécessaire, puisque le droit c'est le reflet de la société et le reflet de notre société, en tout cas par rapport à celle dans laquelle on souhaite vivre. Donc il faut trouver un équilibre et il faut avoir cet esprit de compétition, on va dire, positif et surtout de confiance. dans les équipes, dans les partenaires. Et ça se passera, je pense, très bien, puisque tout ne se fait jamais en un simple claquement de doigts.

• Speaker #0

  Merci beaucoup, Garance, pour votre optimisme. Merci d'avoir vulgarisé pour nous les règlements européens et leurs subtilités. Merci à vous tous qui nous écoutez. J'espère que cet épisode vous a plu. Retrouvez les clips vidéo de cet épisode sur mon LinkedIn, Anne-Laure de Larivière. N'hésitez pas à... à nous suivre sur toutes les plateformes d'écoute et à nous laisser 5 étoiles sur Apple Podcast. A très vite dans l'œil de la cyber !