Les mesures réglementaires sévères en matière de cybersécurité

Nous sommes convaincus que nous entrons dans une nouvelle ère de menaces pour la cybersécurité et que le rançongiciel est la menace du moment, compte tenu de la façon dont WannaCry et Petya continuent de faire des vagues. Mais nous vivons également à l’époque d’une nouvelle vague de réglementations relatives à la cybersécurité. En examinant les dernières attaques, certains pourraient affirmer qu’il s’agit toujours de la faute des mêmes vulnérabilités, car les entreprises traînent des pieds pour mettre en œuvre les mesures critiques de sécurité pour se protéger.

Les piratages informatiques médiatisés comme ceux ayant impacté HBOTarget et Home Depot ne sont que trois exemples parmi tant autres (trop nombreux à citer uniquement pour 2017, alors qu’il reste encore environ quatre mois et demi avant la fin de l’année). Par conséquent, nous assistons désormais à l’émergence de nouvelles réglementations obligeant les entreprises à remettre de l’ordre dans leurs affaires proverbiales. Ces réglementations présentent une nouvelle caractéristique : elles frappent les entreprises là où cela fait mal, avec de lourdes amendes pour celles en infraction.

Pourquoi maintenant ?

Outre l’augmentation évidente du nombre d’attaques, pourquoi de si nombreuses nouvelles réglementations voient-elles actuellement le jour ? Tout d’abord, nombre des principales cyberattaques subies à ce jour étaient largement évitables. Par exemple, avec WannaCry, les pirates informatiques avaient exploité une vulnérabilité du code de correction. Concernant les données volées à HBO, les pirates informatiques avaient exploité un protocole de transfert de fichiers. Et même le tristement célèbre piratage informatique de LinkedIn aurait pu être évité avec la mise en place de moyens appropriés de gouvernance des identités pour gérer les identités numériques.

Sur la base de ces exemples, il est évident que les technologies ne suffisent plus. Une approche associant des individus, des processus et des technologies est nécessaire pour lutter efficacement contre les menaces actuelles. Voilà pourquoi l’environnement réglementaire est en train de se muscler. Par exemple, le règlement du département des services financiers de New York relatif à la cybersécurité exige que les prestataires de services financiers recrutent un RSSI, qui mettra en place les évaluations des risques et les processus appropriés que les employés devront utiliser et respecter. Ce règlement exige également que les entreprises signalent toute tentative de violation de données et qu’elles imposent à leurs prestataires tiers de renforcer aussi leurs mesures de sécurité.

L’« effet RGPD »

Ainsi, là où les entreprises sont à la traîne, les administrations fédérales, étatiques et locales passent à la vitesse supérieure. Le premier règlement ayant bouleversé le monde de la cybersécurité a été le RGPD, pas tant par son ampleur (même s’il est complet), ni par sa portée (il impactera non seulement les entreprises européennes, mais aussi toute entreprise menant des activités en Europe), mais en raison de ses amendes, les plus lourdes de l’histoire. Les entreprises se pressent probablement pour en comprendre les ramifications, mais au lieu de faire appel à des prestataires de services de cybersécurité pour les aider à se mettre en conformité avec le RGPD, elles ont mobilisé leurs avocats pour comprendre leurs responsabilités potentielles.

Dans la foulée de l’effet RGPD, d’autres réglementations ont vu le jour à travers le pays et le monde, du règlement de l’État de New York susmentionné à des réglementations similaires relatives à la cybersécurité en Chine et à Singapour. Tout récemment, le Royaume-Uni a annoncé une sorte d’addenda au RGPD avec son propre projet de loi sur la protection des données, qui donne davantage de contrôle aux consommateurs en leur accordant le droit à l’oubli.

Ces droits posent des problèmes significatifs pour les entreprises détenant et recueillant des données personnelles. Des chaînes complexes de traitement, stockage et partage de données entre prestataires existent dans la plupart des écosystèmes informatiques. Aujourd’hui, les organisations peuvent-elles déclarer en toute certitude qu’elles sont en mesure d’honorer cet accord avec l’utilisateur final ? Probablement pas.

Ce règlement confie aux entreprises la charge et la responsabilité de mettre en place les processus adéquats afin de se mettre rapidement en conformité avec ce nouveau cadre juridique. Et une fois de plus, le non-respect de ce règlement s’accompagne d’une lourde amende (à hauteur de 17 millions de livres, ou 4 % du chiffre d’affaires mondial) dans les cas impliquant les violations de données les plus graves.

L’émergence d’un secteur

En parallèle à ces événements, un secteur est en train d’émerger, et même s’il continue de chercher son modèle économique, son impact est déjà bien réel. Il s’agit du secteur de la cyberassurance. Il existe clairement un besoin.

Et avec le RGPD, la cyberassurance est la plate-forme idéale. WannaCry et Petya sont devenus des publicités gratuites pour la cyberassurance, qui est rapidement devenue un marché à forte croissance. Selon Fitch Ratings (via Reuters), la cyberassurance a connu une croissance de 35 % en 2016 pour atteindre 1,35 milliard de dollars.

Mais les assureurs pourraient être nerveux à la suite d’une attaque de l’envergure de WannaCry, et chercher à limiter leur exposition à la cyberassurance. Un moyen d’y parvenir consiste à évaluer des assurés potentiels sur la base de leur potentiel de risque.

Autrement dit, les cyberassureurs commenceront à utiliser des indicateurs tels que le respect des cyber-réglementations. Par exemple, toute entreprise incapable de démontrer son respect des principales réglementations (conjointement avec toute non-adoption du chiffrement, de la gouvernance des identités et de toute autre technologie de sécurité préventive, et l’absence d’un RSSI) essuiera très probablement un refus auprès des cyberassureurs ou fera l’objet de primes prohibitives.

Au bout du compte, si une entreprise décide de se contenter de mesures superficielles en matière de cybersécurité, elle se mettra non seulement gravement en danger, mais elle aura aussi du mal à trouver le moindre cyberassureur pour s’assurer, et ce, Ce secteur arrivera bientôt à maturité et les entreprises ne devront rien faire de moins que respecter un certain niveau de cybersécurité et assumer la responsabilité de leurs violations.

Autrement dit, elles devront mettre en place les technologies et processus adéquats et investir dans un RSSI pour prendre en charge l’approche de l’organisation en matière de cybersécurité. Aujourd’hui, ces démarches sont incontournables, non seulement d’un point de vue réglementaire et de cyberassurance, mais aussi d’un point de vue de gestion globale des risques.

Au final, les entreprises n’ont d’autre choix aujourd’hui que d’entamer la longue et douloureuse démarche de mise en conformité avec les réglementations étatiques, locales, fédérales (et désormais mondiales), tout en investissant dans la mise en œuvre d’une infrastructure moderne de sécurité informatique pour protéger les précieuses données de leurs clients.

Cet article a été publié initialement sur Forbes.com.


Discussion