Comment la cybersécurité se transforme en risque de conformité ?
Au-delà des risques opérationnels, comment la cybersécurité se transforme en sujet de conformité
Le Livret Blanc sur la défense et la sécurité nationale plaçait déjà en 2013 le risque cyber, après la menace terroriste, comme principal danger pesant sur l’Etat. Qu’en est-il cinq ans après à l’heure où les cyberattaques prennent toujours plus d’ampleur ?
Les chiffres parlent d’eux-mêmes puisqu’en 2017, d’après le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 79% des entreprises européennes ont connu au moins une cyberattaque.
La récente affaire Facebook qui a mis au jour une fuite de données de 87 millions vers le cabinet de conseil Cambridge Analytica, et ayant été utilisées dans le cadre de la campagne présidentielle de Donald Trump ainsi que sur le référendum sur le Brexit, matérialise les conséquences auxquels un tel incident peut aboutir. Du point de vue de Facebook l’impact sur la valorisation boursière sera très délicat à absorber : en quelques jour la valeur de l’entreprise a diminué de près de 100 milliards de dollars. Et les conséquences sur les entreprises ne sont pas les seules possibles, car dans nombre de cas les attaques de cybersécurité impactent directement les individus.
Pour contrer la menace, la cyber défense doit être anticipée et faire preuve de réactivité notamment en situation de crise. Dans ce cadre, de nouvelles régulations s’ajoutent à cellesexistantes au niveau européen et national et posent les bases de mécanismes de résilience plus robustes et plus systématiques. Les organisations sont ainsi contraintes par la loi à déclarer aux autorités les incidents de sécurité significatifs, à redéfinir leurs contrôles ainsi que leurs mécanismes de détection des attaques et de gestion de crise.
Afin de contraindre les organismes des moyens de défense nécessaires au sein du cyberespace, la directive sur la sécurité des réseaux et des systèmes d’information (NIS),impose des exigences au niveau européen que les pays membres doivent transposer dans leur droit national d’ici le 9 mai 2018. Ces règles seront ensuite déclinées par les opérateurs de services essentiels ou d’importance vitale au sein de leurs systèmes d’information sensibles, ceux dont un dysfonctionnement aurait un impact sur la population.
En France, l’autorité compétente en matière de cybersécurité, l’ANSSI, a doté le pays d’équipes nationales de réponse aux incidents informatiques, CERT-FR, et d’une stratégie nationale pour la sécurité du numérique.
Au sein des organisations, il appartient au Responsable de la Sécurité des Système d’Information (RSSI)de coordonner ces actions de conformité et, le cas échéant, d’être en mesure de démontrer leur mise en œuvre effective.
L’autre révolution en la matière, et qui cette fois concerne toutes les organisations, est le Règlement Général de Protection des Données (RGPD), qui sera applicable dès le 25 mai 2018. Celui-ci porte sur les données se rapportant à une personne physique identifiée ou identifiable. Cette définition très large implique que toutes les sociétés sont, à des niveaux divers, concernées par ce règlement. En effet les données relatives à des salariés, des clients finaux, des usagers, des internautes ou encore les partenaires commerciaux entrent dans le champ de la réglementation dès lors qu’elles concernent des personnes physiques.
Parmi les nouveautés qu’il introduit, le règlement étend notamment l’obligation de notifier toute violation de données à l’autorité de protection des données, la Commission nationale informatique et libertés (CNIL) en France, à tous les organismes et non plus seulement aux opérateurs de communication électroniques.
Par ailleurs, certaines organisations devront désigner un Délégué à la Protection des Données (DPO) qui sera le chef d’orchestre en matière de protection des données. Il s’agit d’une fonction d’autant plus importante qu’en cas de non-conformité grave les organismes encourent des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaire annuel mondial.
Ces plafonds de sanctions amènent ce sujet de cyber conformité au premier rang des préoccupations des entreprises. Si la mise en conformité demande souvent des efforts importants, elle est aussi une source d’opportunité que les entreprises peuvent saisir : mieux identifier et mieux protéger ses informations sensibles, améliorer la qualité de ses services, l’image de l’entreprise, renforcer la confiance et la fidélité de ses clients, sont autant de bénéfices possibles d’un chantier de mise en conformité mené intelligemment.