Face à la numérisation de l’économie et de la société et à l’augmentation des menaces, le cadre législatif et règlementaire en matière de cybersécurité s’est considérablement enrichie. Le cabinet CXP Group a interrogé les entreprises sur l’état d’avancement de leurs projets dans ces domaines.
« Les cyber-attaques se professionnalisent, s’apparentent de plus en plus à du cyber-terrorisme contre les infrastructures critiques des États et des grandes entreprises sensibles. La transformation digitale accélère ce phénomène : les données deviennent le bien le plus précieux des organisations, que ce soit des données personnelles de citoyens ou de consommateurs, issues de la digitalisation des processus métier », explique en introduction du rapport Ilhame Chouktani, Directeur Exécutif Cybersécurité Sopra Steria, sponsor de l’enquête avec Gemalto, GFi, Forcepoint et Zscaler.
L’Union Européenne répond à l’enjeu de la sécurité des données en renforçant le cadre législatif et règlementaire en matière de cybersécurité, notamment la protection des SI sensibles et des données personnelles (voir encadré ci-dessous).
Le RGPD, e-IDAS, Loi de Programmation Militaire, NIS, PSD2, Loi pour une République Numérique, Loi Sapin 2, etc. Quel que soit le secteur ou le type d’entreprise, les pratiques et les organisations en matière de cybersécurité vont connaître des évolutions majeures sous l’impact des nouvelles règlementations européennes et françaises.
Ce mouvement d’ordre juridique, organisationnel, métier, IT ou sécurité, reflète tout simplement la digitalisation croissante de nos sociétés, et le rôle essentiel de la régulation pour construire la confiance dans la société numérique.
D’ici mai 2018 (soit dans moins de 400 jours à date de rédaction de cette étude), pas moins de 5 textes majeurs vont entrer en vigueur. Les autorités nationales ou européennes avaient annoncé la couleur depuis longtemps, et prévu des délais multi-annuels d’implémentation.
« Pourtant la mise en œuvre effective de ces règlementations s’annonce souvent d’une grande complexité en raison de la superposition des règles juridiques, et les délais seront difficilement tenus », considèrent les auteurs du rapport.
Les décideurs interrogés mettent le souci d’amélioration continue au premier rang des motivation des projets de mise en conformité. Le rapport constate cependant une très claire prise de conscience de l’avantage stratégique apporté par la conformité dans la relation de confiance avec le client et les partenaires.
Plus de 70% des organisations ont inscrit des actions au budget 2017, essentiellement pour les phases d’étude et d’état des lieux en amont des projets qui seront plutôt inscrits au budget 2018. Mais les auteurs du rapport s’interrogent sur le sentiment d’urgence, et le réalisme vis-à-vis des changements et des deadlines imposés par les textes.
Le RGPD concerne toute entreprise manipulant des données personnelles, quelle que soit sa taille ou son secteur. La phase de cartographie des données et des processus de traitement est bien démarrée pour plus de la moitié des répondants… Mais il s’agit surtout encore d’une vue « statique » de l’organisation qui reflète la difficulté grandissante à maîtriser les données dans l’organisation et le « shadow IT ». D’un point de vue technique, l’identification des données à caractère personnel dans des environnements complexes nécessite des techniques avancées de classification qui ne sont pas maitrisées par les entreprises.
Moins de 5% des organisations ont mis en place des processus de notification des incidents, alors que ceux-ci s’imposent à travers toutes les réglementations. Les seuls changements apportés sont « à la marge ». Les entreprises n’ont pas encore pris la pleine mesure du changement de paradigme qu’implique le RGPD (où c’est l’utilisateur qui est le vrai propriétaire de ses données), et des impacts organisationnels de la règlementation dans la gouvernance des données.
Principales réglementations citées dans le document
- GDPR : General Data Protection Regulation / Règlement général sur la protection des données personnelles (RGPD en français).
- EPrivacy : règlement européen qui encadre le traitement des données de communication électronique notamment l’utilisation des cookies.
- eIDAS : Electronic Identification and Trust Services. Organise l’Identité Numérique en
- Europe
- NIS : Network Security and Information. Concerne les Opérateurs de Services Essentiels (OSE)
- LPM : Loi de Programmation Militaire > Concerne les Opérateurs d’Importance Vitale (OIV)
- PSD2 : Revised Payment Services Directive / Directive révisée concernant les services de paiement (DSP2 en français).
- Loi Sapin 2 : Loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique.
- LRN : Loi pour une République numérique (Loi « Lemaire »).