Les réglementations dans la cybersécurité : quels en sont les enjeux, les impacts et les défis ?

Face à l'évolution de la technologie et des usages du numérique, les gouvernements ont dû agir et ont mis en place des réglementations pour protéger les données et la vie privée des individus.

Avec l'évolution rapide de la technologie et des usages du numérique, les menaces cyber sont de plus en plus présentes. Face à cette réalité, les gouvernements du monde entier ont mis en place une série de réglementations visant à protéger les données, les infrastructures critiques et la vie privée des individus. Ces exigences obligent les entreprises à se conformer à des règles de sécurité spécifiques, qui les placent face à de nombreux enjeux et défis, et qui ont un impact sur leur quotidien.

Cyber et réglementation, un enjeu mondial

Dans un environnement international, de plus en plus concurrentiel, et un contexte géopolitique incertain, la prise de conscience est collective ; elle n’intervient pas uniquement dans un pays ou continent, mais bien au niveau mondial. Que ce soit au niveau Européen (RGPD, DORA, NIS 2, etc.), à l’échelle étatique, via des réglementations nationales - comme avec la récente loi C-27 au Canada visant à protéger la vie privée des consommateurs, ou même au niveau régional avec la Loi 25 au Québec, on constate une multiplication des législations cyber.

Aujourd’hui, ces règlements ne concernent plus spécifiquement les Opérateurs d’Importance Vitale (OIV), et l’un des constats que l’on peut faire est que l’ensemble des secteurs d’activité est destiné à être encadré. Sur ces sujets, on assiste à un véritable changement de paradigme : que ce soit au travers  du renforcement d’un arsenal de protection déjà existant, ou par la volonté d’aller plus loin dans la sécurisation des systèmes d’information utilisés par les collectivités territoriales.

Protection des données et renforcement de la confiance utilisateur 

Avec la prolifération des cyberattaques et des violations de données, la protection de la vie privée et des informations sensibles est devenue une priorité absolue pour les régulateurs. Le RGPD (Règlement Général sur la Protection des Données) de l'Union européenne en est un exemple emblématique, car il établit des normes strictes en matière de collecte, de traitement et de stockage des données personnelles.

Les réglementations cyber ont également pour objet de renforcer la confiance des consommateurs, et des parties prenantes, en démontrant l'engagement des gouvernements et des entreprises envers la protection des données et de la vie privée. Le Canada l’a bien compris en édictant son équivalent au RGPD, la loi C-27, qui vise à consolider son bouclier quant à l’exploitation des données personnelles.

Les infrastructures critiques, telles que les réseaux électriques, les systèmes de distribution d'eau et les services de santé, sont de plus en plus ciblées par des cyberattaques sophistiquées. En conséquence, de multiples règles sont édictées afin de renforcer les acteurs de ces secteurs critiques, dans la lutte et la prévention contre les attaques informatiques. 

Gestion des incidents et résilience

La gestion des incidents et la résilience sont des enjeux importants dans le renforcement des dispositifs juridiques - tel que la directive NIS 2 (Network Information Security). Entrée en vigueur en janvier 2023, elle va, sur la base des acquis de la directive NIS 1, améliorer la coopération des Etats membres de l’Union Européenne en matière de gestion de crise cyber, grâce au nouveau réseau CyCLONe.

La réglementation DORA (Digital Operational Resilience Act), elle, doit permettre de fortifier le bouclier des institutions financières, à travers des piliers allant de la gestion des risques, à celle des incidents, ainsi que par l’organisation de tests de résiliences opérationnelles. Outre-Atlantique la loi 25 obligera également la tenue d’un registre des incidents liés à la confidentialité, la mise en place d’un plan de gestion des incidents et la formalisation de procédures à suivre en cas de cyberattaques.

Mais quels sont les impacts de ces réglementations ?

En imposant des normes de sécurité et des pratiques de gestion des risques et des incidents, les réglementations contribuent à renforcer la résilience des organisations face aux menaces. Elles y contribuent dans le but d’assurer la continuité opérationnelle des activités et de protéger, à la fois les métiers, la fluidité des services, et les données utilisateurs.

Les entreprises et les organisations sont de plus en plus tenues responsables en cas de violations de données ou de failles de sécurité. La loi 25, par exemple, obligera les entités à définir un représentant légal et un responsable de la protection des données et de la sécurité des informations personnelles, à la manière d’un DPO (Délégué à la Protection des Données) dans le RGPD. La non-conformité à ces règles pouvant être soumise à des sanctions pénales, les entreprises se voient également dans la nécessité de se mettre en règle face à ces lois, sous peine de pénalités financières pouvant aller jusqu’à plusieurs millions d’Euros, en fonction des cas. Dans le cadre, par exemple de NIS 2, qui entrera en application en France en octobre 2024, les sanctions en cas de non conformité peuvent s’élever jusqu’à 10 millions d’euros, ou 2% du CA annuel global. 

Des défis insurmontables ?

La réglementation cyber est souvent complexe et fragmentée, avec des lois et des directives qui peuvent être divergentes selon les juridictions, les pays ou les continents. Harmoniser ces réglementations, pour assurer une conformité cohérente, représente un défi majeur pour la prochaine décennie.

La coordination et la coopération liées à ces règles, ou encore la complexité d’applicabilité liée aux lois nationales ou régionales, comme avec l’AI Act ou l’entrée en vigueur récente du règlement européen sur la cybersécurité, sont autant de défis qui ralentissent une plus grande collaboration entre États membres. Le Cybersecurity Information Sharing Act, aux USA, qui oblige chaque Etat à coopérer pour être proactif dans la lutte contre les menaces et les incidents, tout en favorisant le partage de connaissance, est également un exemple de ces futurs challenges de mise en application.

Les cybermenaces évoluent rapidement. Trop rapidement sûrement pour les régulateurs, pour qui il devient difficile de maintenir le rythme et d'anticiper les nouvelles formes d'attaques. Une approche agile et proactive est donc nécessaire pour s'adapter à ce paysage en constante évolution, afin de maintenir une veille sur les menaces et les solutions pour s’en préserver.

Ces défis de mise en conformité, liés à un paysage en perpétuel mouvement, ont des conséquences à la fois budgétaires et temporelles pour les entreprises qui ne possèdent parfois que peu de ressources en interne, ou souffrent d’un manque d’expertise et vivent des contraintes de temps pour mettre en application ces exigences.

L’anticipation est donc le maître-mot, et un recours à des acteurs spécialisés peut s’avérer intéressant dans le cadre d’une identification du volume de règles à mettre en place, et d’un accompagnement à une mise en conformité. De la même manière, la formation et la sensibilisation continue des collaborateurs sont deux éléments indispensables pour les familiariser aux bonnes pratiques à mettre en vigueur, afin de respecter les multiples réglementations auxquelles ils sont soumis.