RGPD, LMP, directive NIS : où en est-on ?

Temps de lecture : 7 minutes

Le contexte réglementaire de la cybersécurité se renforce d’années en années. Pour autant, face à des menaces de plus en plus sophistiquées, l’investissement financier des entreprises et organisations sur la cybersécurité n’est encore pas suffisant.

2018 a été l’année de la mise en place du RGPD en France, forçant les entreprises à revoir l’ensemble de leurs process de sécurité, de manière à consolider les droits des internautes, au regard de leurs données personnelles. Les entreprises et les organisations doivent désormais tenir un registre qui recense de façon précise les traitements des données personnelles et faire appel à un data protection officer (DPO), chargé de la mise en place et du respect de la réglementation.

Si les réglementations, toujours plus contraignantes, poussent les entreprises et les organisations à repenser leur système d’information et à investir dans la protection de leurs données, ces dernières restent cependant vulnérables à des attaques toujours plus nombreuses. Ainsi, en 2017, plus de 700 millions d’attaques ont été enregistrées dans le monde, soit une augmentation de 100 % depuis 2015. Explications.

Livre Blanc
Guide pour les institutions financières qui adoptent le cloud public

Cet Ebook fournit des conseils complets, qu’il s’agisse des protections de sécurité fiables ou des avantages d’une solution de cloud hybride.

Télécharger

Depuis 2016, le contexte réglementaire se renforce

Depuis plusieurs années, la France et l’Union européenne œuvrent à consolider le cadre législatif et réglementaire en matière de cybersécurité, avec des textes visant à réguler le marché.

Loi de programmation militaire (LPM) : plus de sécurité pour les opérateurs d’importance vitale (OIV)

En juillet 2016, l’État français a fait évoluer le Code de la défense via la Loi de Programmation militaire de 2013 (LPM) pour imposer un certain nombre de règles relatives à la sécurité informatique.

Ces règles sont destinées aux opérateurs d’importance vitale (OIV), des acteurs publics ou privés dont les activités sont jugées indispensables au bon fonctionnement et à la survie du pays. Les OIV peuvent appartenir au secteur de la santé, de l’énergie, des transports, de l’industrie ou encore de la gestion de l’eau. On estime qu’ils sont au nombre de 200 à 300, mais leur liste est tenue confidentielle.

Parmi les mesures imposées par la LPM, on peut citer l’audit des SIIV (systèmes d’information d’importance vitale) par des organismes qualifiés PASSI (prestataires d’audit de la sécurité des systèmes d’information) ainsi que la mise en place de systèmes de détection qualifiés. La loi oblige également les OIV à déclarer immédiatement à l’ANSSI (agence nationale pour la sécurité des systèmes d’information) les incidents de sécurité affectant leurs SIIV de façon importante.

Livre Blanc
Cinq tactiques pour améliorer la sécurité dans la santé 

La transformation numérique passe aussi par une amélioration de la sécurité, surtout lorsqu’on traite des données patient très sensibles. Protéger vos données et respecter les réglementations !

Télécharger

Directive européenne NIS : élargissement de la LPM aux opérateurs de services essentiels (OSE)

Au même moment, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive NIS (network information security). Souvent considérée comme une extension de la LPM, elle concerne un échantillon plus large. Ainsi, si les OIV (sauf du domaine miliaire) sont inclus dans le périmètre, s’ajoutent à eux les opérateurs de services essentiels (OSE), soit les acteurs qui visent à maintenir des activités sociales ou économiques critiques, ainsi que les fournisseurs de services numériques (FSN : moteurs, place de marché ou services cloud).

Comme il s’agit d’une directive, et non d’un règlement, elle doit être transposée dans chacun des pays européens. La France a ainsi adopté et publié sa loi de transposition en février 2018, tandis qu’une première liste, qui n’a pas été rendue publique, de 122 OSE a été définie en novembre 2018 par le premier ministre Edouard Philippe et l’ANSSI.

OSE et FSN sont soumis aux mêmes types d’exigences que la LPM impose aux OIV et sont donc dans l’obligation de prendre des mesures techniques et organisationnelles nécessaires et proportionnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information.

Pour les contrevenants, de lourdes sanctions sont prévues : 100 000 euros pour non-conformité aux obligations de sécurité, 75 000 euros pour non-déclaration d’un incident ou 125 000 euros pour obstacle aux opérations de contrôle.

Livre Blanc
Comment protéger l’ensemble du cycle de vie des données ?

Les atteintes à la protection des données font malheureusement parties du quotidien, avec des fuites de données personnelles, financières ou encore liées à la propriété intellectuelle d’entreprise.

Télécharger

Programme de sécurité de SWIFT

Le programme de sécurité de SWIFT, une coopérative internationale qui fournit un service de messagerie standardisée utilisé lors des transferts interbancaires, a rendu obligatoire des standards de sécurité pour les 11 000 institutions membres de son réseau : sécurisation de l’environnement, contrôle et limite des accès, détection et réponse sur incident. Ainsi, depuis octobre 2017, chaque client SWIFT doit publier une auto-attestation annuelle qui fait état du respect des points de contrôle dans son propre environnement. Notons que, si certaines mesures sont obligatoires, d’autres sont facultatives.

Directive sur les services de paiement 2 (DSP2) : encadrer les acteurs du marché des paiements

En janvier 2018, la directive sur les services de paiement 2 (DSP2), a mis en place des règles européennes pour les nouveaux acteurs sur le marché des paiements, encadrant notamment les services d’agrégation d’informations (vision consolidée des comptes bancaires) et d’initiation de paiement par des mesures de sécurité (sécurisation des API, authentification forte…).

Lire aussi Comment l’IA va-t-elle bousculer le modèle bancaire traditionnel ?

Replay
Déployer & gérer des terminaux partagés pour les Frontline Workers

Découvrez à travers plusieurs scénarios, comment organiser votre système d’information en combinant des fonctionnalités telles que Intune, Azure Active Directory ou encore Microsoft Teams.

S’inscrire

RGPD : assurer la protection des données personnelles

Et bien sûr, en mai 2018, le règlement général sur la protection des données a été mis en œuvre. Depuis, les entreprises doivent s’assurer du consentement explicite des individus quant à l’utilisation de leurs données personnelles et mettre en place des politiques de transparence, des dispositifs d’alerte en cas de fuite de données et un système de gouvernance.

Lire aussi 7 points pour assurer sa conformité avec le RGPD

Cependant, les investissements de sécurité restent insuffisants

Suite à la mise en place du RGPD, d’après Jean Lessi, Secrétaire général de la Commission informatique et Libertés (CNIL), 24 500 entreprises ont désigné un délégué à la protection des données, une des exigences principales de la réglementation (Le Parisien, octobre 2018).

« Pour le reste, peu de chiffres ont été publiés et, au-delà de la question des DPO, qui n’est qu’un des aspects du RGPD, il n’est pas possible à l’heure actuelle d’établir un premier bilan », explique Jean-Marie Letort, Vice-Président cybersécurité chez Thales.

Ce que l’on sait, c’est que les dépenses de sécurité augmentent. En France, en 2018, les entreprises ont dépensé 2,4 milliards de dollars en solutions et services de cybersécurité, soit une augmentation de 22% par rapport à 2015. 

Une progression qui est là, certes, mais qui est est moins marquée qu’aux Etats-Unis (+32%) ou même qu’au Royaume-Uni où les investissements ont progressé de 40% alors même que les OIV ne sont pas soumis à la loi de programmation militaire.

Livre Blanc
Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger

Défiance dans l’investissement dans la détection

Malgré ces investissements toujours plus importants, les entreprises restent vulnérables face aux attaques. En 2018, 56% des sites ont ainsi été touchés par au moins une faille grave, c’est-dire une faille permettant d’accéder à l’ensemble du contenu du site et/ou de compromettre les serveurs (contre 54% en 2017).

42% des sites ont été touchés par des failles importantes, qui ouvrent l’accès aux informations d’autre utilisateurs, mais en nombre limité ou de manière complexe (45% en 2017)(chiffres : Wavestone).

« Nous constatons une défiance dans l’investissement dans la détection, note Jean-Yves Grasset, Directeur technique et sécurité chez Microsoft. Les entreprises se demandent si c’est vraiment efficace et comparent parfois le coût de la mise en conformité au coût d’exposition aux risques. »

« En moyenne, pour une entreprise, le budget consacré à la cybersécurité s’élève à 4,5% du budget total. En cas de crise, elles vont jusqu’à 20%, poursuit-il. Mais c’est un peu tard, car le coût de reconstruction est lourd. » On peut citer par exemple l’exemple de TV5 Monde qui, en 2015, a déboursé 6 millions d’euros pour réparer les dégâts causés par un piratage de grande ampleur sur ses systèmes informatiques…

Etude
COVID-19 et Cybersécurité 2020 : Bilan et priorités pour l’avenir

Découvrez dans cette étude, l’impact du COVID-19 sur les dépenses des entreprises interrogées et leurs priorités en matière de produits et solutions de sécurité.

Télécharger

Des menaces de plus en plus prégnantes

Les attaques informatiques sont en pleine mutation, et le développement de l’industrie 4.0 ouvre la porte à des cyberattaques sur les systèmes industriels.

Entre 2016 et 2018, on a ainsi recensé de nombreuses attaques de grande ampleur :

  • En 2016, la Banque centrale du Bangladesh s’est fait dérober 81 millions de dollars suite à un piratage informatique.
  • En mai 2017, le ransomware WannaCry a paralysé les ordinateurs de multinationales et de services publiques dans une centaine de pays. Parmi les victimes, on compte des hôpitaux britanniques, les multinationales Renault et FedEx, le ministère russe de l’Intérieur, l’opérateur de télécom espagnol Telefonica ou encore la compagnie ferroviaire allemande Deutsche Bahn.
  • En juin 2017, des entreprises ukrainiennes sont touchées par NotPetya, un virus au fonctionnement similaire à celui de WannaCry, touchant par ricochet des services comme le métro ou les aéroports. Dans les heures suivantes, l’attaque s’étend et atteint plusieurs multinationales, dont le français Saint-Gobain.

Lire aussi Joy Chik, l’ingénieure qui voulait éliminer les mots de passe

Livre Blanc
Cinq façons de rendre les services financiers plus flexibles 

Découvrez tout le potentiel de l’Open Banking et découvrez comment l’utiliser pour développer considérablement votre activité. 

Télécharger

Comment les entreprises peuvent-elles se protéger ?

« Ces nouvelles typologies d’attaques à impact économique fort nécessitent des nouvelles connaissances et des nouveaux outils », indique Jean-Marie Letort. Pour gagner en efficience dans la détection proactive des cybermenaces, les entreprises peuvent miser sur l’intelligence artificielle : machine learning, threat intelligence, analyse comportementale…

Concernant le RGPD, depuis le 25 mai 2018, la CNIL a enregistré entre 1 200 et 1 300 notifications de violations de données personnelles. « Pour la plupart, il s’agit d’une perte de confidentialité des données personnelles : perte de clés USB ou ordinateurs non-chiffrés, précise Jean-Yves Grasset. Pourtant des solutions existent : chiffrement du disque avec BitLocker, identification et chiffrement des données sensibles avec Azure Information Protection… Et, pour les plateforme Microsoft, des outils sont disponibles gratuitement (gestionnaire de sécurité, Secure score…) et intègrent nativement de nombreuses fonctionnalités pour assurer sa part de conformité. »

« Chez Microsoft, des centaines d’ingénieurs travaillent pour que chaque utilisateur puisse effacer ses données personnelles simplement en appuyant sur un bouton », continue Jean-Yves Grasset. Microsoft dépense en effet chaque année 1 milliard de dollars, pour de la recherche et du développement sur les sujets sécurité.

Un investissement essentiel pour Brad Smith, Président et directeur juridique de Microsoft :

Nous considérons qu’il est de notre responsabilité de fournir des outils et des informations qui vous permettront de déployer nos services cloud en toute confiance avec l’assurance qu’ils sont sûrs et conformes.

Propos de Jean-Marie Letort et Jean-Yves Grasset recueillis à l’occasion de Microsoft experiences 18.

Observatoire de la Sécurité IT 2020

Découvrez dans cette étude, l’impact du COVID-19 sur les dépenses des entreprises, leurs priorités en matière de produits et solutions de sécurité et l’adoption du Zero Trust.

En savoir plus