Je vais aussi vous présenter ma conclusion de la manière dont les magistrats rédigent leurs jugements.

Vu la Directive UE n°2022/2555 du 14 décembre 2022;

Vu le projet de décret ANSSI « mesures de sécurité » #EE / #EI;

Vu la complexité du dispositif légal de cyber sécurité imposé par la Directive NIS 2 et l’ANSSI en France;

Vu le faible niveau de maturité cyber sécurité d’une immense majorité des entreprises qui seront « entités importantes » (ou « #EI » dans le jargon métiers des professionnel(le)s de la cyber-sécurité);

Vu la politique de l’autruche pratiquée de manière généralisée par les éditeurs / prestataires de service IT (infogérants et « bureauticiens » en tête);

PAR CES MOTIFS

– condamner les entités essentielles, les entités importantes et tous leurs prestataires IT à organiser leur mise en conformité avec roadmap raisonnable sur VINGT-QUATRE (24) mois à compter du vote du budget IT pour 2025;

– recommander aux DSI / RSSI / Direction Juridique / Direction Conformité / Direction Risque / de lire d’urgence le projet de décret ANSSI « mesures de sécurité » ;

– inviter les RSSI à abandonner le traditionnel tableau excel « fait maison » des mesures de sécurité exigées des prestataires au profit d’annexe de type « Plan d’Assurance Sécurité » croisant les mesures du projet de décret et la norme ISO 27001:2022;

– suggérer de se faire accompagner par des prestataires qui comprennent ce qui est écrit dans les textes (suivez mon regard…);

– rappeler que le R.O.I. de la mise en oeuvre effective de mesures de cyber sécurité (organisationnel, technique et juridique) est forcément nul, mais que les conséquences d’une cyber-attaque réussie mettent en péril l’existence même de l’entreprise et qu’il n’est plus temps de chipoter avec des mesurettes de type « mercurochrome sur une jambe de bois » .

PS : R.O.I = Return On Investment… Comme disait ma Grand-mère : « les cimetières sont remplis de gens riches et ça leur fait une belle jambe là ou ils sont » .