La transformation digitale, accélérée par la crise de la Covid 19, a conduit à un accroissement des cyberattaques. Les systèmes d’information des entreprises de toutes tailles sont de plus en plus exposés aux risques de cyberattaques avec des conséquences allant du simple vol de données jusqu’à la paralysie complète des systèmes.
La mise en conformité règlementaire en matière de cybersécurité est aujourd’hui un enjeu majeur pour les entreprises. elle n’est pas sans impact pour les systèmes d’information et doit être prise en compte dès la phase de conception.
SERMA Safety and Security retrace les principales normes et réglementations pour vous aider à vous y retrouver et savoir comment agir pour vous protéger de façon adaptée.
RGPD
Le règlement général sur la protection des données date de 2016. C’est un règlement de l’Union européenne qui renforce et unifie la protection des données pour les individus au sein de l’UE. Il concerne toutes les entreprises traitant des données à caractère personnel, c’est-à-dire toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Selon l’ANSSI, depuis mars 2020, les tentatives de phishing pour récupérer des données personnelles sont en hausse de 400%.
En cas de préparation insuffisante pour se prémunir des attaques, les impacts auxquels vous vous exposez sont lourds de conséquences.
Tout d’abord, les conséquences sur le plan économique en cas de fuite de données ou de paralysie de vos systèmes d’information qui entraine immédiatement une perte d’exploitation pour votre entreprise.
Les conséquences sont également d’ordre juridique allant de sanctions financières à des peines plus lourdes. Il est important de rappeler que le détenteur de données personnelles doit mettre en œuvre, de façon préventive, les mesures de sécurité nécessaires pour protéger les données sensibles. Pour cela, la CNIL (autorité de surveillance numérique française), conseille six étapes afin de faire face à cette responsabilité accrue :
- Étape 1 : Nommer un délégué à la protection des données
- Étape 2 : Recenser les traitements des données
- Étape 3 : Définir les actions correctives
- Étape 4 : Analyser les risques
- Étape 5 : Établir des procédures internes
- Étape 6 : Tenir une documentation
En cas de dévoilement des données, les sanctions prévues par le code pénal (art 226-16) sont de 5 ans d’emprisonnement et 300 000 € d’amende.
Également, le non-respect du RGPD peut engendrer une condamnation financière pouvant atteindre de 2% à 4% du chiffre d’affaires global de l’entreprise.
Directive NIS
Cette directive adoptée par les institutions européennes en juillet 2016 a pour objectif de renforcer la sécurité des systèmes d’information des opérateurs de services essentiels et des fournisseurs de services numériques. L’accroissement des cyberattaques de ces dernières années à conduit la commission européenne à augmenter le niveau de sécurité dans le but de protéger les citoyens, les collectivités territoriales et les entreprises. Cette nouvelle directive NIS 2 veut combler les lacunes et les limites de la directive NIS de 2016.
Nous vous expliquons les principaux changements de cette directive.
Principales mesures
- Etendre le domaine d’application de la Directive NIS en y ajoutant de nouveaux secteurs essentiels ou importants au maintien de l’économie et de la société : les fournisseurs de réseaux/service de communication électronique publique, la gestion des déchets et des eaux usées, l’alimentation, la fabrication de certains produits critiques (pharmaceutiques, médicaux, chimiques), les plateformes de réseaux sociaux et centres de collecte et de gestion de données, l’espace, les services postaux, l’administration publique.
Toutes les moyennes et grandes sociétés de ces secteurs entreront sous l’égide de NIS 2. Concernant les petites entreprises, il reviendra aux Etats membres d’identifier celles ayant un profil de haute sécurité. Le nombre de secteurs concernés par la directive NIS 2 passera ainsi de 19 à 35. - Mettre fin à la distinction entre les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN). Chaque entreprise entrant dans le champ sera classée en fonction de son importance selon deux catégories : entités essentielles et entités importantes. Chacune des deux catégories fera l’objet de régimes distincts et appropriés.
- Renforcer les exigences de sécurité des entreprises en leur imposant une liste d’éléments de sécurité de base. La directive donne également des précisions sur les processus de signalement des incidents, le contenu des rapports d’incidents et les délais dans lesquels ces rapports se doivent d’être délivrés par les entreprises.
- Renforcer la cybersécurité des chaines d’approvisionnement des technologies clés de la communication et de l’information. Les Etats membres (en coopération avec la Commission et l’ENISA) devront réaliser des évaluations des risques des chaines d’approvisionnement critiques en s‘appuyant sur les recommandations de la Commission sur la cybersécurité des réseaux 5G.
- Introduire des mesures de contrôle plus strictes pour les autorités nationales des Etats membres permettant d’harmoniser les régimes de sanctions entre les Etats membres.
- Renforcer du rôle du Groupe de Coopération européen dans l’élaboration des décisions politiques et stratégiques sur les technologies émergentes pour permettre d’accroitre la coopération entre les Etats membres. La directive veut renforcer la coopération opérationnelle en matière de gestion des cybercrises.
Établir un cadre de base avec les acteurs clés pour divulguer les vulnérabilités connues et nouvelles de l’Union Européenne et ainsi permettre la création d’un registre européen de ces vulnérabilités géré par l’ENISA.
Où en sommes-nous ?
Un accord provisoire a été conclu le 13 mai 2022 entre le Conseil et le Parlement européens. Cet accord doit encore être approuvé par le Conseil et le Parlement pour que la Directive soit adoptée.
Le 22 juin 2022, le Comité des représentants permanents (Coreper) du Conseil de l’UE a validé la révision de la directive NIS, maintenant soumise au Parlement. Elle étend le nombre de secteurs concernés par des obligations strictes en matière de sécurité informatique aux administrations publiques, à l’espace, à la recherche et aux ESN.
À la suite de l’adoption de la directive NIS 2, les Etats membres auront 21 mois pour la transposer en droit interne.
La Commission se doit de réviser régulièrement la directive NIS 2 et de faire un rapport d’efficience 54 mois après son entrée en vigueur.
European Cybersecurity Act
Ce règlement vise à créer un cadre européen de certification de cybersécurité et redéfinir le mandat l’ENISA.
Principales mesures :
- Adoption d’un mandat permanent pour l’ENISA, agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur coopération entre les États membres.
- Définition d’un cadre de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de certification.
Le règlement définit les processus pour établir des schémas européens de certification attestant les produits.
Il existe 3 niveaux d’assurance (en fonction de l’usage du service/produit/processus en cause) ayant des exigences de sécurité différentes :
- Élémentaire (peut faire l’objet d’une auto-évaluation de conformité)
- Substantiel
- Élevé
Le principe est celui de la certification volontaire (sauf disposition législative nationale ou européenne imposant une certification), les certificats sont émis pour une période définie (le renouvellement est possible).
Où en sommes-nous ?
Fin 2020, la Commission européenne a sorti son premier programme annonçant les schémas de certifications.
En cours :
- Common criteria-based european scheme – Juillet 1019
- Cloud computing service – Novembre 2019
À venir :
- Internet of Things
- Industrial Automation Constrol System
- 5G components and functions
Potentiels :
- EU Artificial Intelligence scheme
- EU Cryptography scheme
- EU Security Audit Providers scheme
- EU Lightweight Evaluation scheme
- EU Secure Development Lifestyle scheme
Quel que soit le cas de figure, c’est la réputation de votre entreprise et votre image qui sont en jeu.
L’expertise et les compétences acquises depuis plus de 25 ans dans les domaines de la sécurité permettent à SERMA Safety and Security d’adresser toute la chaîne de valeur de la sécurité : du produit en passant par les infrastructures jusqu’aux applications et leurs données. Reconnue pour son excellence technique, SERMA Safety and Security compte de nombreuses qualifications et certifications, dont CESTI, PASSI RGS*, SESIP, FIPS 140-3, GlobalPlatform, SBMP et également de nombreux partenariats avec des éditeurs de solutions de cybersécurité. SERMA Safety and Security vous accompagnera et vous conseillera pour adopter les bonnes mesures de sécurité face au risque de cyberattaques.