CyberSecMonth #1 Comprendre les enjeux de la conformité
« Mois européen de la cybersécurité 2017 : la France se mobilise pour la sécurité du numérique »[1], titre l’Agence Nationale de la Sécurité des Systèmes d’Informations en première page de son site web.
Octobre, le mois européen de la cybersécurité
WannaCry, Equifax, Petya…Les cyber attaques s’intensifient et leur rythme s’accélère. L’Union Européenne vient de lancer sa 3ème édition du Cyber Security Month (ECSM) avec un objectif prioritaire : sensibiliser les professionnels, les particuliers, et les étudiants aux enjeux de la sécurité du numérique. Un mois pour promouvoir la cybersécurité ? Un défi de taille au vu de l’étendue du domaine. Cette semaine, nous vous proposons un focus sur la conformité.
L’Union Européenne s’organise
Au niveau européen, l’European Union Agency for Network and Information Security (ENISA) est l’agence qui assure un rôle d’expert quant au niveau de sécurisation des réseaux et de l’information. Quinze jours avant le lancement du Cyber Security Month de cette année, le président de la commission Européenne a renforcé son rôle : son pouvoir s’est vu renforcé sur des aspects de contrôle et de conseil[2], un modèle calé sur celui de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), référent français sur les aspects de la cybersecurité.
Les enjeux de la conformité
Historiquement, la conformité s’est particulièrement développée aux Etats Unis suite au scandale d’Enron : [3] des manipulations comptables ont entrainé la plus grande faillite de l’histoire des Etats-Unis, entrainant un coût de plusieurs milliards de dollars porté par les petits investisseurs et une dérégulation du marché de l’énergie en Californie créant plusieurs blackouts (pannes de la distribution d’électricité dans tout le pays). C’est à cette époque que le régulateur a commencé à mettre une pression plus forte comme avec le Sarbanes–Oxley Act (SOX) qui a servi de levier fort à plusieurs clients pour renforcer leur sécurité.
En cybersécurité comme en finance, les exigences de conformité bourgeonnent. Depuis 2001, ce n’est pas moins d’une dizaine de nouvelles lois et réglementations auxquelles doivent se conformer les entreprises (arrêté du 3 novembre ; HDS ; LPM…). A celles-ci s’ajoutent des normes contraignantes comme la PCIDSS et un renforcement général du cadre législatif avec trois textes majeurs (NIS, GDPR, DSP2) applicables pour 2018.
Derrière toutes ces lois et obligations de conformité, il y a d’autres enjeux que la bonne gestion des entreprises américaines. Par exemple, la loi SOX a des conséquences directes pour les entreprises étrangères cotées au New-York Stock Exchange qui se voient dans l’obligation de s’y conformer.[4] Il y a aujourd’hui beaucoup plus de normes et de règles qui appliquent le principe « d’extraterritorialité », qu’il s’agisse de finance ou de cyber sécurité. Il suffit parfois à une entreprise d’utiliser le dollar, un téléphone Apple, ou un microprocesseur américain pour établir la compétence d’un juge américain. En février 2017, l’autorité de protection des données italienne a imposé une amende de 5 880 000 € a une entreprise anglaise pour violation de sa loi en matière de consentement sur les données privées.
Bien que les exigences réglementaires aient augmentées, les récentes attaques remettent en cause leur efficacité. Pour citer l’ancien numéro 2 du FBI au Cyber Security summit de New-York en septembre : « Compliance is not security… but you shall comply ». Les législations visent la protection du citoyen, de l’état plutôt que celle des entreprises. Derrière la conformité se trouve avant tout un enjeu juridique pour les entreprises et des enjeux de pouvoir pour les pays en position dominante.[5]
Retrouver nos deux autres articles rédigés à l’occasion du CyberSecMonth :
- CyberSecMonth #2 La conformité ne suffit pas à vous protéger
- CyberSecMonth #3 La formation : la solution à la pénurie d’experts cybersécurité
Co-écrit par Quentin Bedeneau & Albert de Mereuil, sur une idée de Maxime de Jabrun.
[1] https://www.ssi.gouv.fr/actualite/mois-europeen-de-la-cybersecurite-2017-la-france-se-mobilise-pour-la-securite-du-numerique/
[2] https://twitter.com/CyberSecMonth
[3] https://en.wikipedia.org/wiki/Regulatory_compliance
[4] https://portail-ie.fr/analysis/1308/ces-lois-americaines-qui-font-fremir-les-entreprises-francaises
[5] https://portail-ie.fr/analysis/1379/cr-de-la-conference-extraterritorialite-du-droit-americain-la-guerre-du-droit-aura-t-elle-lieu