Quels sont les cadres réglementaires à respecter en matière de cybersécurité pour votre entreprise ?
Quels sont les cadres réglementaires à respecter en matière de cybersécurité pour votre entreprise ?
En 2022, les cyberattaques ont coûté environ 2 milliards d’euros aux organisations françaises. Le secteur privé représente les trois quarts de ce coût et le secteur public un quart. Face à ce phénomène, plusieurs réglementations et normes ont été mises en place ces dernières années.
Quels sont les différents cadres réglementaires à respecter ? Comment le gouvernement peut-il aider les acteurs privés à renforcer leur cybersécurité ?
Quelle législation pour la cybersécurité des entreprises ?
Il existe différents niveaux de réglementations pour les entreprises :
- La législation relative à la protection des données personnelles :
Toutes les entreprises européennes doivent être en conformité avec le RGPD, Règlement Général sur la Protection des Données. Celui-ci liste une série de mesures à respecter pour recueillir, stocker et traiter les données personnelles des consommateurs. Celui-ci formalise des principes fondateurs, comme l’obligation de “mettre en œuvre les mesures techniques et structurelles adéquates pour garantir un niveau de sécurité adapté au risque”, à l’instar du chiffrement des données par exemple.
- Le RGPD complète la Loi Informatique et Libertés, qui imposait déjà aux entreprises de protéger les données à caractère personnel contre le traitement non autorisé ou illicite, mais aussi contre la perte, la destruction et les dégâts d’origine accidentelle. Il est impératif d’être en conformité avec ces lois, sous peine de recevoir une mise en demeure de la part de la CNIL et d’encourir une amende.
- Les normes sectorielles :
Selon leur secteur d’activité, les entreprises sont soumises à des normes légales supplémentaires. C’est par exemple le cas dans le domaine médical, où les données de santé doivent impérativement être stockées chez un hébergeur certifié HDS. Les OIV (Opérateurs d’Importance Vitale) sont tenus, quel que soit leur secteur d’activité, de respecter la Loi de Programmation Militaire qui spécifie les mesures de cybersécurité à prendre pour protéger leur SSIV (Système d’Information d’Importance Vitale).
La nouvelle directive NIS2 concerne de nombreux secteurs d’activité : santé, finance, transports, télécommunications, administrations publiques, spatial, réseaux sociaux… Elle impose aux entreprises européennes qui exercent dans ces domaines de signaler leurs incidents de sécurité à l’ANSSI, d’adopter une stratégie de gestion des risques cyber ou encore de mener des tests et des audits de sécurité.
- Le cadre réglementaire interne :
Au-delà des obligations légales, toute entreprise doit élaborer des politiques internes de cybersécurité. Celles-ci peuvent être formalisées dans une PSSI (Politique de Sécurité des Systèmes d’Information). Cette approche interne établit les règles de sécurité à respecter, les processus en matière de stockage et de traitement des données, les protocoles à suivre en cas d’incident, et responsabilise chaque collaborateur quant à l’application des bonnes pratiques cyber à appliquer.
Comment l’État peut-il renforcer la cybersécurité des entreprises ?
L’État a pour rôle d’aider les entreprises à se protéger contre les cyberattaques afin de protéger l’intérêt national. Il élabore ainsi des lois et des réglementations pour encadrer la protection des SI et la sécurité des activités en ligne.
Au-delà de cet aspect réglementaire, l’État soutient les acteurs privés de plusieurs façons :
- En assurant un rôle de surveillance et protection :
Les agences gouvernementales, à l’instar de l’ANSSI en France, surveillent en permanence l’état de la cybermenace, identifient les nouveaux modes opératoires utilisés par les hackers, et sensibilisent les entreprises en vue de prévenir les cyberattaques. Elles ont également pour mission de veiller à l’équilibre entre la sécurité nationale et la vie privée des citoyens.
- Favoriser la coopération internationale :
Une collaboration efficace entre les gouvernements favorise le partage de renseignements, de bonnes pratiques ou encore de compétences. Autant de ressources précieuses pour que les différents États puissent protéger leurs entreprises des cyberattaques. La Convention de Budapest, signée par de nombreux pays, est un traité international qui pose le cadre d’une entraide interétatique dans la lutte contre la cybercriminalité. La coopération internationale peut aussi donner lieu à des opérations policières à grande échelle afin de démanteler des réseaux cybercriminels, par le biais d’Interpol par exemple.
- Encourager la cybersécurité :
Le coût financier est le frein à l’adoption de solutions de cybersécurité par les entreprises. Certains pays n’hésitent pas à proposer des avantages fiscaux. C’est le cas de la Belgique, qui propose une déduction de 13,5% des montants investis dans des investissements liés à la cybersécurité sur le bénéfice imposable.
La France, quant à elle, met l’accent sur le développement d’une filière de cybersécurité nationale, en soutenant les entreprises du secteur, en développant la formation de professionnels de la cybersécurité, ou encore en faisant la promotion des offres nationales.
Afin de protéger la sécurité informatique, les entreprises doivent être en conformité à la fois avec le cadre réglementaire européen, national, et sectoriel. Elles peuvent également définir leur propre politique interne en matière de cybersécurité. De leur côté, les États mènent un travail de fond, à la fois pour protéger les acteurs des cybermenaces, mais aussi pour les encourager à adopter des solutions de cybersécurité robustes et souveraines.