Conformité en matière de cybersécurité : Ce qu'il faut savoir
«Non-compliance costs almost three times more than compliance. » – U.S. Cybersecurity – Dec. 2022
La conformité peut sembler être une corvée ou une série de listes de contrôles et de cases à cocher. Par exemple, une directive réglementaire peut facilement atteindre les 300 pages. Cependant, ces directives sont importantes parce qu’elles sont là pour aider, elles traduisent simplement le risque commercial en lignes directrices pour garantir la sécurité de votre organisation contre les cybermenaces. Si la conformité semble complexe, la gestion d’une fuite de données l’est encore plus.
Qui est concerné par la conformité ?
Avec la montée des cybermenaces, la conformité concerne désormais presque tous les secteurs et toutes les organisations, quelle que soit leur taille. Voici quelques exemples de réglementations :
> L’HIPAA pour le secteur de la santé afin de protéger les données des patients.
> La PCI-DSS pour les organisations financières et les entreprises de commerce en ligne qui sécurisent les informations relatives aux cartes.
> Le Règlement général sur la protection des données (RGPD) pour toute entreprise exploitant des données personnelles de citoyens européens.
> NIS 2, DORA et NIST 2.0, qui seront abordés ci-dessous.
Pourquoi la conformité est-elle nécessaire ?
> La protection des données et le renforcement de la sécurité : Le respect des exigences réglementaires garantit que les organisations prennent les mesures nécessaires pour sécuriser les données critiques. Il s’agit de prévenir les violations de données susceptibles d’entraîner des pertes financières considérables et de nuire à la réputation de l’entreprise.
> Les exigences juridiques : La plupart des réglementations en matière de cybersécurité sont obligatoires ou le seront bientôt. Ne pas s’y conformer peut entraîner des conséquences importantes pour les organisations, telles que des amendes et de graves poursuites judiciaires.
> La confiance des clients : Le respect des exigences réglementaires rassure les clients et les partenaires, ce qui aide votre organisation à établir une relation de confiance en protégeant les données et la vie privée des clients.
L’assurance cyber : Au-delà des exigences juridiques, les compagnies d’assurance cyber exigent le respect des réglementations afin d’éviter un coût élevé des contrats d’assurance. Le fait de ne pas se conformer à ces règles peut entraîner le refus d’une demande d’indemnisation.
Découvrez les directives et les règlements les plus récents.
NIS2:
La directive NIS2 a été publiée en décembre 2022 par l’organisme de l’Union européenne chargé de la sécurité des réseaux et de l’information (NIS), afin de mettre à jour la directive NIS originale de 2016. La nouvelle directive impose des exigences plus strictes en matière de sécurité et couvre un plus grand nombre d’industries, y compris les tiers et les fournisseurs de services qui interviennent dans ces industries. Le non-respect de la directive NIS2 peut entraîner des conséquences importantes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires de l’organisation. D’ici octobre 2024, tous les pays de l’UE intégreront la directive NIS2 dans leur législation et soumettront une liste de leurs entités « essentielles » et « importantes » à la Commission avant avril 2025.
Les principales mesures :
> De nouveaux secteurs ont été ajoutés aux entités « essentielles » et « importantes », qu’elles soient publiques ou privées : les fournisseurs de services numériques, la gestion des déchets et de l’eau, l’alimentation, la fabrication de produits chimiques sensibles (tels que les produits pharmaceutiques et médicaux), l’espace, les services postaux, les plateformes de médias sociaux, les administrations publiques, etc.
Toutes les organisations comptant 50 employés ou plus sont concernées par le NIS2. Cependant, chaque pays européen peut décider si une petite organisation spécifique doit se conformer ou non. Chaque pays peut créer ses propres « entités essentielles ».
Les entités qui sont déjà soumises à des mesures équivalentes à NIS2 ne sont pas concernées.
> La distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques n’est plus valable et nous avons maintenant deux catégories d’entités : « Essentielles » et « Importantes ».
> Le renforcement de la sécurité de la chaîne d’approvisionnement et des relations avec les fournisseurs en exigeant des évaluations des risques de la part des pays concernés en collaboration avec l’ENISA.
> La directive NIS2 ne s’applique pas lorsque d’autres directives spécifiques au secteur sont plus strictes que NIS 2.
Comme la directive NIS 2 ne couvre pas toutes les applications de sécurité du secteur financier, la loi DORA (Digital Operational Resilience Act) intervient pour améliorer et harmoniser les exigences de sécurité entre les membres de l’UE. Il s’agit donc des directives à prendre en considération pour le secteur financier.
La loi DORA - Digital Operational Resilience Act
Le premier projet DORA a été publié en septembre 2020 dans le cadre du Digital Finance Package (DFP) par la Commission européenne. DORA est ensuite entré en vigueur en 2023, les entités devant s’y conformer avant janvier 2025 et suivre des lignes directrices couvrant la gestion des risques, les tests de résilience et la sécurité des tiers. Les organisations du secteur financier sont donc tenues d’exercer un contrôle total sur leurs fournisseurs afin de sécuriser l’ensemble de la chaîne d’approvisionnement.
Par conséquent, même si le règlement DORA est destiné aux entreprises européennes, tout fournisseur international qui travaille avec l’UE devra également s’y conformer.
Les principales mesures :
DORA s’appuie sur cinq piliers principaux pour assurer la cybersécurité du secteur financier :
> La gestion des risques liés aux technologies de l’information et de la communication : Le règlement DORA tient les entités de gestion des institutions financières pour responsables de la gestion des cyber-risques : le contrôle et la surveillance de leurs systèmes TIC.
> Le signalement des incidents : Outre la gestion des risques, les directions des institutions sont tenues de notifier aux autorités les incidents majeurs liés aux TIC. Ce pilier de DORA explique la procédure d’information des autorités européennes de surveillance (AES) en cas d’incident.
> Le test de résilience numérique : Les institutions financières sont tenues d’évaluer leur état de préparation face aux menaces en faisant appel à une partie externe indépendante pour effectuer des tests au moins une fois par an.
> Le partage d’informations : contribuer à la sensibilisation des institutions financières et favoriser la diffusion des meilleures pratiques en matière de prévention et de recouvrement.
> La gestion des risques liés aux TIC pour les tiers : Compte tenu de l’augmentation des attaques de la chaîne d’approvisionnement, les directives DORA mettent l’accent sur la gestion des risques pour les tiers. En exigeant des clauses spécifiques dans les contrats juridiques concernant l’accès et la sécurité des données ainsi que le droit d’audit et d’inspection. Un registre actualisé de ces contrats doit être tenu à jour.
Le NIST Cybersecurity Framework 2.0 (NCF 2.0)
Le National Institute of Standards and Technology (NIST) établit des normes mondiales très reconnues dans l’industrie. Les compagnies d’assurance cyber s’appuient sur ce cadre pour définir leurs politiques et leurs exigences. Le National Cyber Security Center (NCSC) irlandais utilise les cadres du NIST comme base pour dresser la liste de ses réglementations en matière de cybersécurité à l’égard du secteur public.
Le NIST a publié un projet de NCF 2.0 en août 2023, apportant des modifications importantes aux versions 1.0 et 1.1. Il a élargi le champ d’application sectoriel, à l’instar de la réglementation DORA, et a couvert toutes les organisations, quelle que soit leur taille et leur situation géographique. En outre, un nouveau pilier a été ajouté aux cinq piliers existants (Identifier, Protéger, Détecter, Répondre et Récupérer), à savoir « Gouverner ».
Les 6 piliers de la NCF 2.0
cyberelements est là pour vous aider à respecter les exigences de la NCF 2.0 :
> La surveillance continue et l’analyse des événements indésirables :
La fonction de surveillance des sessions et d’analyse en temps réel de la plateforme cyberelements vous permet de définir des procédures de sécurité sur la base desquelles toute activité suspecte sera détectée et automatiquement interrompue.
> La résilience de l’infrastructure technologique – PR.IR-02 : Les réseaux et les environnements de l’organisation sont protégés contre les accès logiques et les utilisations non autorisées :
Le contrôle d’accès basé sur une politique, combiné avec une authentification multifactorielle et un accès juste-à-temps, garantit que le bon utilisateur accède aux ressources nécessaires, en limitant les accès inutiles.
> La sécurité de la plate-forme – PR.PS-01 : Les règles de gestion de la configuration sont appliquées (le moindre privilège et la moindre fonctionnalité) :
La plateforme cyberelements est basée sur une architecture à double barrière avec aucun flux entrant sur le réseau, des tunnels volatiles et une ouverture de port à la demande. L’adoption d’une approche Zero Trust donne à l’utilisateur le moins de privilèges possible.
– PS-04 : Des logs sont générés pour les événements de cybersécurité et mis à disposition pour une surveillance continue. – PR.PS-08 : Les pratiques de sécurité de la chaîne d’approvisionnement sont intégrées et leurs performances sont contrôlées tout au long du cycle de vie des produits et services technologiques :
Les principales caractéristiques répondant à cette règle sont l’enregistrement de la session dans un format vidéo et les logs granulaires qui peuvent être recherchés et sauvegardés pour une utilisation ultérieure.
> La gestion de l’identité, l’authentification et le contrôle d’accès : L’accès aux actifs physiques et logiques est limité aux utilisateurs, processus et dispositifs autorisés. Il est géré en fonction du risque évalué des accès non autorisés :
Grâce à un ensemble de fonctions de gestion des identités et des accès, cyberelements répond à cette directive de la NCF 2.0. Grâce à ses fonctionnalités de politiques d’accès basées sur l’identité, d’authentification unique et de coffre-fort pour les mots de passe, cyberelements permet aux organisations de sécuriser les informations d’identification à l’aide de technologies avancées.
> La gestion des risques liés à la chaîne d’approvisionnement : Les risques liés à la chaîne d’approvisionnement de l’organisation sont identifiés, évalués et gérés conformément aux priorités, contraintes, tolérances au risque et hypothèses de l’organisation :
cyberelements, en tant que solution PAM Zero Trust, sécurise l’accès des tiers, que ce soit à distance ou dans les locaux de l’entreprise. Vous pouvez donner un accès temporaire à une session hautement surveillée pour un tiers. De plus, grâce à la technologie de rotation des mots de passe et à l’injection automatique, vos d’identifiants ne seront exposées à aucun de vos fournisseurs de services.
cyberelements est la plateforme de sécurité pour la performance des entreprises. Elle a été conçue pour répondre à vos besoins en matière de sécurité sans compromettre l’expérience de l’utilisateur. La cyberconformité ne doit pas être une contrainte, mais un levier de performance pour l’entreprise, où la sécurité va de pair avec une meilleure expérience utilisateur, encourageant le personnel à appliquer les mesures de sécurité appropriées.