Face à l’augmentation de la menace cyber, l’Europe a renforcé son arsenal législatif et sa réglementation contre la cybercriminalité. Parallèlement, cet arsenal fait peser de nouvelles obligations et engendre de nouvelles dépenses pour les entreprises. Décryptage…
2022 a définitivement été une année tumultueuse pour le monde numérique. L’éclatement de la guerre en Europe de l’Est au début de l’année a ouvert la voie à un assaut de cyberattaques étatiques, obligeant les entreprises du monde entier à muscler leurs stratégies de protection informatique.
Face à l’augmentation des menaces et des risques cybers, l’Union Européenne et la France ont travaillé sur deux textes législatifs visant à combattre les effets de ces risques et à limiter les dommages potentiels créés en renforçant l’environnement réglementaire. Mais est-ce LA solution ?
Retour sur la loi sur la résilience opérationnelle numérique (DORA)
Lorsque la Commission Européenne (CE) a exposé ses projets de loi sur la résilience opérationnelle numérique en septembre 2020, elle les décrivait alors comme l’opportunité de fermer « la porte aux cyberattaques » et renforcer « la surveillance des services externalisés ». Cette dernière assertion renvoyant notamment à la montée de l’outsourcing dans des secteurs sensibles comme celui des services financiers. Ainsi, la loi DORA visait à « garantir que tous les acteurs du système financier disposent des garanties nécessaires pour atténuer les retombées des cyberattaques et autres risques ». Elle succède aussi à la loi MiCA.
La législation obligerait ainsi les entreprises à s’assurer qu’elles peuvent résister à tous les types de perturbations et de menaces liées à l’informatique. DORA introduirait également un cadre de surveillance pour les fournisseurs informatiques, tels que les fournisseurs de services informatiques dans le cloud, afin de garantir qu’ils ne « posent pas de risques opérationnels excessifs ».
DORA est une loi très ciblée, conçue pour harmoniser l’approche de la cybersécurité de plus de 22 000 entités du secteur financier qui sont soumises à de multiples instances régulatrices dans toute l’UE.
DORA définit par ailleurs un cahier d’exigences détaillées sur chaque aspect de la cybersécurité, y compris la surveillance des cybermenaces et le signalement des cyberattaques. Un point est également dédié aux exigences en matière de sauvegarde. Bien qu’il n’indique pas de solution spécifique, il semble à ce jour favoriser la sauvegarde sur site par rapport au cloud. La loi DORA contient également des dispositions intéressantes concernant la relation contractuelle entre les institutions financières et les fournisseurs informatiques. Elle exige des entités financières qu’elles tiennent un registre décrivant les arrangements contractuels avec les fournisseurs informatiques et qu’elles incluent des dispositions spécifiques dans les contrats avec ces derniers.
Quelles seront les prochaines étapes ? La mise en œuvre des exigences énoncées dans la loi DORA est susceptible d’entraîner des coûts additionnels à court terme pour les institutions financières et les fournisseurs informatiques. Il y aura des coûts associés à la préparation de la mise en conformité avec DORA et aux investissements connexes dans les systèmes informatiques, ainsi qu’à la révision des systèmes informatiques existants.
Mais il y aura aussi des avantages importants. En harmonisant les règles, DORA éliminera la fragmentation réglementaire, ce qui facilitera et rentabilisera la tâche des entités financières qui traitent sur une série de marchés différents, car elles ne devront adhérer qu’à un seul ensemble de réglementations. À moyen et long terme, le règlement fera baisser les coûts pour l’ensemble du secteur en améliorant la gestion des risques et en renforçant la résilience opérationnelle contre les perturbations et les menaces informatiques. Il faudra environ deux ans aux entreprises pour se conformer aux exigences contenues dans la directive DORA, mais elles seront dans une position beaucoup plus solide en termes de gestion – et de communication – d’une panne, d’une fuite, d’un accès non autorisé, d’une perte de données ou de toute autre perturbation informatique.
Et demain ? Loi CRA et cyber-score, nouvelles obligations et opportunités
Plus récemment, en septembre 2022, la Commission européenne a présenté une proposition de loi visant à introduire des exigences réglementées en matière de cybersécurité pour les produits IoT (environ 244 millions d’objets recensés en 2022 par l’ARCEP), qu’elle a décrits comme des « produits comportant des éléments numériques », afin de les rendre plus sûrs. À l’époque, elle avait noté que ces produits étaient de plus en plus vulnérables aux cyberattaques.
La CE a ainsi identifié deux problèmes majeurs avec les IoT :
1- Un faible niveau de sécurité, reflété par des vulnérabilités généralisées et la fourniture insuffisante et incohérente de mises à jour de sécurité pour y remédier ;
2- Une compréhension et un accès à l’information insuffisants de la part des utilisateurs, ce qui les empêche de choisir des produits présentant des propriétés de sécurité adéquates ou de les utiliser de manière sécurisée.
Les quatre principaux objectifs du règlement, connu sous le nom de loi sur la cyber-résilience (CRA), sont les suivants :
1- Garantir un cadre de cybersécurité cohérent, facilitant la conformité pour les producteurs de matériel et de logiciels ;
2- Améliorer la transparence des propriétés de sécurité des produits contenant des éléments numériques ;
3- Permettre aux entreprises et aux consommateurs d’utiliser les produits contenant des éléments numériques en toute sécurité;
4- Veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques dès la phase de conception et de développement et tout au long du cycle de vie.
Ce point renvoie à la dernière innovation en matière de norme dans la cybersécurité : le cyber-score, lequel vise cette fois-ci la sécurisation des données des plateformes numériques. Pour les particuliers comme pour les professionnels.
Promulguée en mars 2022, elle rentre progressivement en application et surtout, les sites sont eux en quête du score le plus élevé, garantissant une forte visibilité pour leur site, analysé et vérifié par les services du gouvernement. Si les critères n’étaient pas encore définis en fin d’année passée, le cyber-score fait néanmoins partie des grandes priorités réglementaires sur lesquelles tous doivent se pencher pour être en conformité et gagner en pérennité.
Une année 2023 qui s’annonce pleine de défis pour toutes les entreprises, dont les fournisseurs de solutions informatiques, qui devront se plier à de nouvelles obligations. Affaire à suivre dans quelques mois…
____________________________
Par Xavier Bourdelois, responsable avant-vente chez Commvault France