La conformité réglementaire est désormais un élément indispensable pour sécuriser nos activités face aux menaces liées au cyber espace et à l’hyper connexion des systèmes d’informations.
En exemple et pour rappel, la réglementation RGPD, dont l’application s’impose depuis 2018, a favorisé la prise de conscience quant à la sécurité des systèmes d’informations.
Cette réglementation, qui concerne la protection des données personnelles et de la vie privée, a implicitement contraint nos entreprises à cartographier les données personnelles, à vérifier leur sécurisation dans des systèmes d’information de plus en plus globaux, ouverts et complexes.
Cette démarche a considérablement contribué à élever le niveau de maturité des entreprises, afin de mieux comprendre et appréhender la sécurité des systèmes d’informations dans leur globalité. Tout naturellement, protéger les données personnelles revenait à sécuriser tous les processus métiers d’une organisation donnée ainsi que l’ensemble des supports de stockage des données sensibles. Une réglementation qui aura été bénéfique pour l’ensemble des écosystèmes hébergeant les données personnelles et qui a catalysé les prémices d’une prise de conscience plus générale.
NIS2 (Network and Information Security), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555 et DORA (Digital Operational Resilience Act),https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en, aujourd’hui, viennent renforcer plus encore ce travail de maturité, et garantiront une résilience collective accrue en sécurité numérique.
Elles présentent d’ailleurs un point commun : la systématisation de l’analyse de risques comme point de départ à la construction d’une politique de sécurité conforme.
Pour DORA comme pour NIS2, les résultats des analyses de risques et l’application des mesures issues de cet exercice d’analyse structure la démarche à suivre en vue d’une résilience opérationnelle efficace.
L’analyse de risques et la gouvernance de la sécurité de nos systèmes d’informations constituent les piliers auxquels adosser désormais nos travaux de protection contre les menaces cyber.
Soyons bien conscients que le réglementaire est le levier qui dynamise la prise de conscience des acteurs économiques, de toutes les parties prenantes au sein des organisations et en particulier des dirigeants d’entreprise, quant à l’importance de la cybersécurité dans le monde actuel.
Baya Lonqueux
