Les entreprises face au casse-tête des directives et règlements sur la cybersécurité et la protection des données

Les entreprises face au casse-tête des directives et règlements sur la cybersécurité et la protection des données

Évaluer cet élément
(2 Votes)

La menace cyber ne désarme pas avec des conséquences pénalisantes pour toutes les organisations. L’UE (Union Européenne) en a pris la mesure en édictant des directives et règlements pour protéger les entreprises de toutes tailles et tous secteurs d’activité.

Les dommages causés par une cyberattaque réussie ont de lourdes conséquences qu’aucune entreprise ne peut plus ignorer aujourd’hui. Avec les coûts directs, rançons et autres sans préjudice des atteintes à l’image. L’UE est la zone la plus en pointe sur le plan mondial sur les règlements et directives qui s’appliquent au numérique. Le calendrier d’application des législations NIS2, IA Act, Dora et Cra s’appliquera d’abord aux plus grandes entreprises, suivies par les PME et ETI et enfin les TPE. D’ores et déjà, les organisations doivent se préparer à la mise en conformité.

Alain BouilleLa directive NIS2 élargit le champ de NIS1 et vise à relever le niveau de maturité de cyberdéfense des entreprises et à uniformiser les règles qui s’imposent aux 27 États européens. Elle s’adresse aux entités de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires.

Alain Bouillé, délégué général du Cesin
(Club des experts en sécurité de l’information et du numérique) éclaire les enjeux de l’application de NIS « La mise en œuvre de NIS 2 n’est pas un problème pour les grandes entreprises qui ne sont pas très loin des exigences légales. Pour les PME et ETI, les coûts de mise en conformité ne sont ne sont pas rédhibitoires. Les actions à effectuer concernent l'accompagnement du déploiement de l’authentification multifacteur (MFA), la protection des annuaires numériques d’adresse et la gestion correcte des privilèges d’accès ». Une des clés pour la sécurité est l’EDR (Endpoint Detection and Response), un type de logiciel qui offre une visibilité en temps réel sur l’activité des équipements et du réseau et génère des alertes.

Garance Mathias, dirigeante du cabinet Mathias Avocats précise la portée juridique de NIS 2 « Cette déclinaison de NIS 1 est une réglementation concernant le réseau et infrastructures d’une entreprise ou institution. Les entreprises, même les plus petites, seront indirectement concernées parce que les donneurs d'ordre et la chaîne de sous-traitance (Supply Chain) vont exiger la conformité de l’entreprise à NIS 2. Dans la directive, il y a potentiellement à ce jour la possibilité d'engager la responsabilité pénale des dirigeants en cas de manquement aux règles. Mais la loi de transposition de NIS2 n'est pas encore prise ».

L’IA ACT, un texte juridique très ambitieux sur l’utilisation de l’IA

L’IA Act (voir encadré), un texte législatif fondamental de l’UE, vise à garantir un juste équilibre entre innovation et sécurité sur les usages de l’intelligence artificielle.

Garance Matthias«  L'IA et les IA génératives telles ChatGPT ont besoin d'être sécurisées. Outre la protection des données, les enjeux concernent la sécurité et la propriété intellectuelle. Le périmètre de la loi porte sur les données entrantes et les résultats attendus. Les traducteurs préparent les traductions de l’IA ACT dans la version définitive dans toutes les langues de l'UE. Etant donné le retard de la France à appliquer les textes européens, je ne sais pas si elle sera transposée le 17 octobre », précise Garance Mathias.

Enfin, le Cyber Resilience Act (CRA), autre texte législatif de l’UE, va introduire des règles communes pour les fabricants de matériel et de logiciels. Ces derniers comportent en effet des failles qui les rendent vulnérables aux cyberattaques. Sa mise en application va s’étendre sur 3 ans.

Un vaste chantier de mise en conformité des outils et pratiques attend donc les entreprises mais il devrait s’étaler dans le temps et leur permettre de faire face plus efficacement aux risques cyber.

ChatGPT rebat les cartes sur la sécurité des données personnelles

La protection des données est aussi un enjeu pour la cybersécurité car il s’agit de données personnelles ou sensibles. L’irruption de ChatGPT en novembre 2022a donné une forte impulsion aux solutions d’intelligence générative utilisées en interne par les entreprises. Or, cette technologie peut collecter des données protégées par le règlement RGPD, car elle utilise massivement tous types d’informations. L'association française des correspondants à la protection des données à caractère Personnel (AFCDP) regroupe les délégués à la protection des données (DPO) et les professionnels de la conformité CNIL.

Paul-Olivier Gibert, président de l’AFCDP rappelle que « Le DPO est demandeur de cybersécurité parce que l'une des premières obligations du responsable de traitement, c'est d'assurer la sécurité des données qu'on lui confie. Dans les organisations, il y a nécessairement des relations entre les DPO et les équipes de sécurité ».

Paul Olivier GibertLors d’une attaque réussie, les impacts sont très importants pour les entreprises et institutions en cas de vol de données personnelles. « Concernant le traitement des incidents, la législation prévoit des obligations de notification aux autorités, dont l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l'informatique et des libertés CNIL », précise Paul-OIivier Gibert.

Tant au niveau français avec l’AFCDP ou européen avec la Confederation of European Data Protection Organisations (CEDPO), le traitement des données sensibles et personnelles vues sous le prisme de la cybersécurité est un des axes de travail.

A voir : le site cybermalveillance.gouv.fr pour les informations avant et après incident de sécurité


L’AI Act
(Règlement Européen sur l’Intelligence Artificielle) va intégrer des obligations de transparence s’appliquant à plusieurs niveaux de dangerosité de l’IA : https://urlz.fr/qWxy

Date d’application en France : à partir de 2026 selon cette chronologie sur 3 ans.

La directive NIS 2 (Network and Information Security) élargit les objectifs et le périmètre d’application de la directive NIS 1 pour apporter davantage de protection aux organisations face à la menace cyber : www.cyber.gouv.fr/la-directive-nis-2

Date d’application en France : 18 octobre 2024.

La directive Dora (Directive sur la résilience opérationnelle numérique) s’applique aux banques et entités financières. Elle met l’accent sur leur résilience opérationnelle numérique : https://urlz.fr/qWzl

Date d’application en France : À partir du 17 janvier 2025, elle s’appliquera à un large éventail d’institutions financières.

Lu 876 fois Dernière modification le lundi, 08 juillet 2024 12:27
Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995
Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 30 juin 2024
GPO Magazine Hors-série RH, Entreprise Agile et Mobilité
Demandez votre exemplaire au service Vente au numéro

Visualiser extrait HS Mobiilté GPO 06:24.png

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Livres Blanc et E-book

15 propositions pour lutter contre la fraude et la criminalité financière
Comment améliorer la lutte contre la fraude et la criminalité financière ? Quel arsenal législatif…
Guide Infrastructure 2024 pour gérer plus facilement son IT
Dans un environnement où la technologie évolue, les entreprises doivent constament adapter et améliorer leurs…
Guide stratégique pour la direction générale : implémentation et utilisation optimale d'un ERP
La mise en place ou le remplacement d’une solution ERP est un choix fort qui…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Comment gérer plus facilement son infrastucture IT ?

Le guide complet pour découvrir toutes les solutions IT qui permettent d'élaborer une stratégie informatique performante : solutions d'infrastructures, réseau et sécurité, énergies, baies et racks

Télécharger le Guide Infrastructure IT 2024-2025

Photo Guide Infra IT 2024 Inmac.png

 

è Direction générale, quel niveau d'exigence requis pour le déploiement d'un ERP dans une entreprise industrielle ?

Les clés du niveau d'implication de la direction générale dans un projet d'acquisition ou d'implémentation d'un ERP industriel

Télécharger le livre blanc 

EBOOK SYLOB - Direction Générale.jpg

 

è Comment les données et l’IA peuvent révolutionner les prises de décision ?

L'impact que les données peuvent avoir sur l’entreprise et comment des outils technologiques permettent d’exploiter ces données de manière efficace et sécurisée.

Visualiser la vidéo sur notre chaîne en cliquant ici


è
 Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts