Les entreprises face au casse-tête des directives et règlements sur la cybersécurité et la protection des données
La menace cyber ne désarme pas avec des conséquences pénalisantes pour toutes les organisations. L’UE (Union Européenne) en a pris la mesure en édictant des directives et règlements pour protéger les entreprises de toutes tailles et tous secteurs d’activité.
Les dommages causés par une cyberattaque réussie ont de lourdes conséquences qu’aucune entreprise ne peut plus ignorer aujourd’hui. Avec les coûts directs, rançons et autres sans préjudice des atteintes à l’image. L’UE est la zone la plus en pointe sur le plan mondial sur les règlements et directives qui s’appliquent au numérique. Le calendrier d’application des législations NIS2, IA Act, Dora et Cra s’appliquera d’abord aux plus grandes entreprises, suivies par les PME et ETI et enfin les TPE. D’ores et déjà, les organisations doivent se préparer à la mise en conformité.
La directive NIS2 élargit le champ de NIS1 et vise à relever le niveau de maturité de cyberdéfense des entreprises et à uniformiser les règles qui s’imposent aux 27 États européens. Elle s’adresse aux entités de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires.
Alain Bouillé, délégué général du Cesin (Club des experts en sécurité de l’information et du numérique) éclaire les enjeux de l’application de NIS « La mise en œuvre de NIS 2 n’est pas un problème pour les grandes entreprises qui ne sont pas très loin des exigences légales. Pour les PME et ETI, les coûts de mise en conformité ne sont ne sont pas rédhibitoires. Les actions à effectuer concernent l’accompagnement du déploiement de l’authentification multifacteur (MFA), la protection des annuaires numériques d’adresse et la gestion correcte des privilèges d’accès ». Une des clés pour la sécurité est l’EDR (Endpoint Detection and Response), un type de logiciel qui offre une visibilité en temps réel sur l’activité des équipements et du réseau et génère des alertes.
Garance Mathias, dirigeante du cabinet Mathias Avocats précise la portée juridique de NIS 2 « Cette déclinaison de NIS 1 est une réglementation concernant le réseau et infrastructures d’une entreprise ou institution. Les entreprises, même les plus petites, seront indirectement concernées parce que les donneurs d’ordre et la chaîne de sous-traitance (Supply Chain) vont exiger la conformité de l’entreprise à NIS 2. Dans la directive, il y a potentiellement à ce jour la possibilité d’engager la responsabilité pénale des dirigeants en cas de manquement aux règles. Mais la loi de transposition de NIS2 n’est pas encore prise ».
L’IA ACT, un texte juridique très ambitieux sur l’utilisation de l’IA
L’IA Act (voir encadré), un texte législatif fondamental de l’UE, vise à garantir un juste équilibre entre innovation et sécurité sur les usages de l’intelligence artificielle.
« L’IA et les IA génératives telles ChatGPT ont besoin d’être sécurisées. Outre la protection des données, les enjeux concernent la sécurité et la propriété intellectuelle. Le périmètre de la loi porte sur les données entrantes et les résultats attendus. Les traducteurs préparent les traductions de l’IA ACT dans la version définitive dans toutes les langues de l’UE. Etant donné le retard de la France à appliquer les textes européens, je ne sais pas si elle sera transposée le 17 octobre », précise Garance Mathias.
Enfin, le Cyber Resilience Act (CRA), autre texte législatif de l’UE, va introduire des règles communes pour les fabricants de matériel et de logiciels. Ces derniers comportent en effet des failles qui les rendent vulnérables aux cyberattaques. Sa mise en application va s’étendre sur 3 ans.
Un vaste chantier de mise en conformité des outils et pratiques attend donc les entreprises mais il devrait s’étaler dans le temps et leur permettre de faire face plus efficacement aux risques cyber.
ChatGPT rebat les cartes sur la sécurité des données personnelles
La protection des données est aussi un enjeu pour la cybersécurité car il s’agit de données personnelles ou sensibles. L’irruption de ChatGPT en novembre 2022a donné une forte impulsion aux solutions d’intelligence générative utilisées en interne par les entreprises. Or, cette technologie peut collecter des données protégées par le règlement RGPD, car elle utilise massivement tous types d’informations. L’association française des correspondants à la protection des données à caractère Personnel (AFCDP) regroupe les délégués à la protection des données (DPO) et les professionnels de la conformité CNIL.
Paul-Olivier Gibert, président de l’AFCDP rappelle que « Le DPO est demandeur de cybersécurité parce que l’une des premières obligations du responsable de traitement, c’est d’assurer la sécurité des données qu’on lui confie. Dans les organisations, il y a nécessairement des relations entre les DPO et les équipes de sécurité ».
Lors d’une attaque réussie, les impacts sont très importants pour les entreprises et institutions en cas de vol de données personnelles. « Concernant le traitement des incidents, la législation prévoit des obligations de notification aux autorités, dont l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l’informatique et des libertés CNIL », précise Paul-OIivier Gibert.
Tant au niveau français avec l’AFCDP ou européen avec la Confederation of European Data Protection Organisations (CEDPO), le traitement des données sensibles et personnelles vues sous le prisme de la cybersécurité est un des axes de travail.
A voir : le site cybermalveillance.gouv.fr pour les informations avant et après incident de sécurité
L’AI Act (Règlement Européen sur l’Intelligence Artificielle) va intégrer des obligations de transparence s’appliquant à plusieurs niveaux de dangerosité de l’IA : https://urlz.fr/qWxy Date d’application en France : à partir de 2026 selon cette chronologie sur 3 ans. La directive NIS 2 (Network and Information Security) élargit les objectifs et le périmètre d’application de la directive NIS 1 pour apporter davantage de protection aux organisations face à la menace cyber : www.cyber.gouv.fr/la-directive-nis-2 Date d’application en France : 18 octobre 2024. La directive Dora (Directive sur la résilience opérationnelle numérique) s’applique aux banques et entités financières. Elle met l’accent sur leur résilience opérationnelle numérique : https://urlz.fr/qWzl Date d’application en France : À partir du 17 janvier 2025, elle s’appliquera à un large éventail d’institutions financières. |