Cybersecurity Act : Comment les entreprises relèvent les défis des nouvelles régulations

L'UE se prépare à redéfinir le rôle de l'ENISA dans la mise en œuvre du Cybersecurity Act alors que les menaces cyber se multiplient, rappelant la nécessité de renforcer la sécurité de toute l'Europe.

Cybersecurity Act : Concrètement, de quoi parle-t-on ?

Adopté en 2019, le Cybersecurity Act représente un jalon majeur dans la création d'un cadre réglementaire concernant la cybersécurité et à promouvoir la protection des données sensibles au niveau européen. Il impacte profondément le fonctionnement des entreprises, en particulier dans les technologies de l'information et de la communication (TIC) qui opèrent dans l’Union européenne.

Depuis sa mise en place, cette réglementation impose non seulement de nouveaux défis techniques et financiers, mais nécessite également une refonte complète des stratégies de sécurité informatique, notamment par le biais d’investissements dans des technologies avancées, la formation du personnel et le recrutement d’experts cyber.

Cette année, deux nouvelles mesures phares viennent compléter la mise en place du Cybersécurité Act. D’abord l’ENISA devient le principal acteur des échanges entre les différents pays membres en matière de cybersécurité, aidant les entreprises à se préparer aux cybermenaces et à gérer les accidents informatiques. Puis, l’Union européenne met en place un cadre de certification commun visant à harmoniser les pratiques. Ce cadre couvre les méthodes d’évaluation et les niveaux d’assurance de la certification, en se concentrant sur la cybersécurité des produits, services et processus TIC.

Une transformation nécessaire, mais pas sans douleur

Les coûts associés à la mise en conformité vis-à-vis de cette réglementation peuvent être démesurément élevés pour les petites et moyennes entreprises, qui pourraient se retrouver désavantagées par rapport aux grandes organisations dotées de budgets alloués à la sécurité. Le Cybersecurity Act recouvre des normes de cybersécurité relativement complexes et techniques, qui donnent des nouvelles missions tant pour la Direction des Systèmes informatiques (DSI) que pour la Direction des Affaires Juridiques (DAJ).

Concrètement, les entreprises devront mettre en place un schéma de certification adapté à leurs caractéristiques. L'EU Cybersecurity Act propose trois niveaux d’assurance pour les schémas de certification : élémentaire, substantiel et élevé, chacun basé sur une méthodologie d’évaluation différente. Pour déterminer le niveau adapté à l’entreprise, il faudra identifier les produits, services ou activités TIC nécessitant une certification et évaluer les risques récents :

  • Le niveau élémentaire concerne les objets grand public (IoT) avec une auto-évaluation suffisante.
  • Le niveau substantiel nécessite une évaluation par un Organisme d'Évaluation de la Conformité (OEC).
  • Le niveau élevé, destiné aux risques d’attaques, requiert des tests de pénétration et une certification par une autorité nationale.

Dans la démarche d’identification du schéma de certification qui correspondent à chacune des entreprises, les conseils de direction devront penser aux exigences de leurs clients et de leur marché, car certaines parties prenantes vont avoir tendance à réclamer des niveaux de certification élevés, même si vous n’êtes pas légalement obligés de vous y soumettre.

Les entreprises pourront également se tourner vers l’ENISA ou L’ANSSI, qui va devenir Autorité Nationale de Certification de Cybersécurité en France dans le cadre de cette réglementation, pour obtenir des conseils sur le schéma de certification applicable. Et une fois le niveau de certification choisi, il leur faudra rechercher un organisme de certification accrédité pour évaluer la conformité de leurs produits et services.

Être accompagné pour débloquer des opportunités

Ces différentes façons de procéder posent des défis importants pour les entreprises et doivent s’entourer de spécialistes de la cybersécurité pour adapter leurs activités. Toutefois, il existe des solutions pour naviguer efficacement dans ce paysage réglementaire en constante évolution et, investir dans des technologies adaptées ou s’appuyer sur des acteurs spécialisés, permet de se conformer rapidement pour ouvrir de nouvelles opportunités de développement et accroître ses avantages concurrentiels.

Au-delà des défis qu’il représente, le Cybersecurity Act ouvre de nouvelles perspectives. La mise en conformité avec des normes de sécurité plus rigoureuses peut renforcer la crédibilité et la confiance de consommateurs soucieux de la protection de leurs données personnelles. Il encourage également la collaboration et l'échange d'expertise entre les entreprises, les régulateurs et les partenaires commerciaux, qui renforce la résilience collective face aux menaces numériques et favorise l'innovation en matière de sécurité.