La conformité réglementaire est désormais un élément indispensable pour sécuriser nos activités face aux menaces liées au cyber espace et à l’hyper connexion des systèmes d’informations.
En exemple et pour rappel, la réglementation RGPD, dont l’application s’impose depuis 2018, a favorisé la prise de conscience quant à la sécurité des systèmes d’informations.
Cette réglementation, qui concerne la protection des données personnelles et de la vie privée, a implicitement contraint nos entreprises à cartographier les données personnelles, à vérifier leur sécurisation dans des systèmes d’information de plus en plus globaux, ouverts et complexes.
Cette démarche a considérablement contribué à élever le niveau de maturité des entreprises, afin de mieux comprendre et appréhender la sécurité des systèmes d’informations dans leur globalité. Tout naturellement, protéger les données personnelles revenait à sécuriser tous les processus métiers d’une organisation donnée ainsi que l’ensemble des supports de stockage des données sensibles. Une réglementation qui aura été bénéfique pour l’ensemble des écosystèmes hébergeant les données personnelles et qui a catalysé les prémices d’une prise de conscience plus générale.
NIS2 (Network and Information Security), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555 et DORA (Digital Operational Resilience Act),https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en, aujourd’hui, viennent renforcer plus encore ce travail de maturité, et garantiront une résilience collective accrue en sécurité numérique.
Elles présentent d’ailleurs un point commun : la systématisation de l’analyse de risques comme point de départ à la construction d’une politique de sécurité conforme.
Pour DORA comme pour NIS2, les résultats des analyses de risques et l’application des mesures issues de cet exercice d’analyse structure la démarche à suivre en vue d’une résilience opérationnelle efficace.
L’analyse de risques et la gouvernance de la sécurité de nos systèmes d’informations constituent les piliers auxquels adosser désormais nos travaux de protection contre les menaces cyber.
Soyons bien conscients que le réglementaire est le levier qui dynamise la prise de conscience des acteurs économiques, de toutes les parties prenantes au sein des organisations et en particulier des dirigeants d’entreprise, quant à l’importance de la cybersécurité dans le monde actuel.
Et enfin, se conformer à DORA et NIS2 nécessite des investissements dans la gestion des risques, la cybersécurité et la gouvernance. L’analyse des risques est un prérequis pour identifier les vulnérabilités, anticiper les menaces, et garantir une conformité durable.
Les cadres juridiques de ces dispositions légales exigent une évaluation approfondie et continue des risques, elles ont en commun les points suivants :
Gestion des risques et obligations de cybersécurité
• Mettre en œuvre des mesures organisationnelles et techniques pour réduire les risques cyber.
• Inclut des politiques de contrôle d’accès, cryptographie, gestion des vulnérabilités, etc.
Reporting des incidents et réponse rapide
• Obligation de signaler les incidents significatifs dans un délai strict (24 à 72 heures).
• Établir des plans pour gérer et répondre efficacement aux incidents.
Gouvernance et leadership en cybersécurité
• Désignation de responsables au sein de l’organisation pour piloter les initiatives de cybersécurité.
• Formation des employés à la sécurité informatique.
Assurer la sécurité de la chaîne d’approvisionnement (ex : Gestion des parties prenantes) est une priorité pour éviter les vulnérabilités.
Pour retenir l’essentiel :
Focus sur la résilience : Les organisations doivent être capables de prévenir, détecter, répondre et se remettre des incidents cyber.
Obligation de reporting : Signaler rapidement les incidents majeurs est un pilier essentiel des deux cadres.
Baya Lonqueux
12 décembre 2024
