Les enjeux des politiques de cybersécurité dans le monde en 2021

L'élargissement des menaces liées aux ressources basées dans le cloud et des dispositifs technologiques opérationnels connectés accentue l'exposition aux cyber-risques. La pandémie et le ralentissement économique ont également fait émerger de nouveaux défis pour les responsables de la sécurité au sein des gouvernements.

La migration massive vers le télétravail dans les secteurs public et privé a en effet contraint les entreprises, les gouvernements et d’autres organisations à adapter leurs pratiques, leurs processus et leurs politiques de sécurité, pour tenir compte du nombre important de nouveaux dispositifs et actifs désormais connectés aux réseaux d’entreprise. Tant les gouvernements que les entreprises ont constaté une augmentation du phishing lié à la Covid-19 et d’autres types de cyberattaques ciblant les employés dans le contexte de la pandémie. Les vulnérabilités matérielles, logicielles et de configuration, non corrigées au sein des appareils domestiques, peuvent désormais être exploitées et mises à profit pour attaquer les réseaux d’entreprise.

Pour de nombreux décideurs politiques dans le monde, les effets perturbateurs de la pandémie ont renforcé la nécessité d’adopter de nouvelles politiques en matière de cybersécurité et de protection de la vie privée – dont beaucoup étaient déjà envisagées avant la pandémie – afin de consolider la confiance dans l’économie numérique. Il s’agit notamment d’efforts destinés à promouvoir la confidentialité et la protection des données, à rehausser les normes de sécurité minimales et à mettre en œuvre des régimes de certification en matière de cybersécurité.

Révision de la directive NIS de l’UE et mise en œuvre de la législation européenne sur la cybersécurité

Depuis l’entrée en vigueur de la directive NIS actuelle en 2016, le paysage de la cybermenace a évolué. La Commission européenne a lancé une consultation publique sur une proposition de révision de la directive. Celle-ci sera l’occasion de clarifier les normes minimales en matière de cyber-hygiène, d’examiner les menaces liées au cloud et les risques inhérents aux technologies opérationnelles (OT), et d’harmoniser les normes de sécurité dans l’ensemble de l’Union européenne.

La majeure partie de cette harmonisation se fera probablement par la mise en œuvre des systèmes de certification en matière de cybersécurité prévus par la législation européenne sur la cybersécurité. Si les autorités des États membres chargées de la cybersécurité (BSI en Allemagne, ANSSI en France, etc.) joueront un rôle de premier plan dans l’obtention de ces certifications dans leurs pays respectifs, nous nous attendons également à ce qu’elles travaillent en étroite collaboration avec la Commission européenne et l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information (Enisa) afin de promouvoir une plus grande convergence.  Les certifications envisagées en 2021 comprennent de nouvelles normes de certification à l’échelle de l’Union pour les critères communs de l’UE applicables aux infrastructures critiques, ainsi que des régimes de certification pour les services cloud, l’intelligence artificielle et la 5G.

Brexit et sécurité des données

Avec la finalisation du Brexit au Royaume-Uni, les normes de protection des données et leur application au-delà des frontières continueront à susciter des inquiétudes. La situation fera l’objet de contrôles supplémentaires, tandis que l’application de la législation sur la protection des données et le respect des normes convenues seront examinés. Bien que le Royaume-Uni se soit engagé à mettre en œuvre le RGPD et la directive NIS, la sécurité des données reste une question sensible que les gouvernements de l’UE et du Royaume-Uni continueront à examiner.

Sécurité des données au Brésil et influence régionale en Amérique latine

Cela fait plus de deux ans que le règlement général sur la protection des données (RGPD) est entré en vigueur en Europe et a modifié le paysage de la sécurité des données au niveau mondial. L’approche de la "protection des données par défaut" préconisée par le RGPD est désormais reproduite au Brésil dans la LGPD (Lei Geral de Proteção de Dados Pessoais), avec quelques différences essentielles. La LGPD, qui est entrée en vigueur en août 2020, bénéficie d’une large portée et s’applique à toute organisation qui traite les données des citoyens brésiliens. Étant donné que de nombreuses organisations qui traitent les données des citoyens brésiliens opèrent actuellement une transformation numérique, il sera essentiel pour elles de bien comprendre ces nouvelles exigences et d’éviter les sanctions. Le gouvernement brésilien devrait clarifier certaines des dispositions contenues dans cette loi en 2021. Le Brésil exerce une forte influence sur le continent américain, et ses normes minimales en matière de sécurité auront une incidence sur les pratiques relatives à la sécurité des données.

Amélioration continue des normes minimales en matière de sécurité des données

En 2020, le Japon, le Brésil, le Canada, l’Inde et la Nouvelle-Zélande ont tous actualisé leurs réglementations touchant aux normes de sécurité des données. Tous ces pays se sont rapprochés du modèle européen fondé sur des normes minimales en matière de cybersécurité et des amendes substantielles en cas de non-respect. Cette tendance devrait se poursuivre, et les gouvernements devraient réexaminer leurs normes fondamentales de cybersécurité en fonction de l’évolution du paysage des menaces et des préoccupations relatives à la confidentialité des données. Il faut s’attendre à ce que ces législations acquièrent une portée davantage extraterritoriale, à mesure que les gouvernements imposeront des exigences de base en matière de cybersécurité et des amendes aux organisations qui négligent la sécurité.

Pleins feux sur les normes relatives aux infrastructures critiques et OT en région APAC

Étant donné que les politiques de sécurité en matière d’OT affichent un degré de maturité très variable en APAC, il y a lieu de développer et d’harmoniser les meilleures pratiques dans le domaine de la sécurité. Les groupes sectoriels régionaux devraient promouvoir l’alignement sur les normes internationales consensuelles.  Par exemple, la Conférence ministérielle de l’ANASE consacrée à la cybersécurité (AMCC) a convenu, en 2018, de souscrire sur le principe à 11 normes volontaires et non contraignantes, et de concentrer ses efforts sur le renforcement des capacités régionales en vue de la mise en œuvre de ces normes. Parmi ces normes figurent la protection des infrastructures critiques et la protection OT.  En 2018, Singapour a publié son plan directeur relatif aux normes de technologie opérationnelle. Ces efforts devraient s’étendre à l’ensemble de l’APAC en 2021, avec l’adoption de la technologie 5G et le renforcement de la menace posée par les environnements OT.

Au début de cette année, l’Australie a lancé une consultation portant sur une proposition de cadre réglementaire renforcé applicable aux opérateurs d’infrastructures et de systèmes critiques d’importance nationale. Cette attention particulière accordée aux infrastructures critiques découle de la stratégie australienne en matière de cybersécurité pour 2020, dans laquelle le gouvernement a fait observer que les attaques très sophistiquées menées par des états ou des organisations qu’ils soutiennent continuent de cibler les gouvernements et les fournisseurs d’infrastructures critiques. En réponse à cette problématique, la stratégie encourage les entreprises du secteur des infrastructures critiques à améliorer la sécurité élémentaire. Elle indique par ailleurs que le gouvernement investira afin d’améliorer la veille en cybersécurité, la recherche sur les cybermenaces et l’évaluation de la vulnérabilité.

Les responsables gouvernementaux en Inde ont également accordé une attention toute particulière à la protection de leur infrastructure technologique industrielle contre les cyberattaques. La cybersécurité des infrastructures critiques figurera donc très certainement parmi les priorités de la stratégie nationale de cybersécurité de l’Inde pour 2020, dont la mise en œuvre est prévue pour 2021.

Le Japon poursuit la mise en œuvre des dispositions du cadre de sécurité cyber-physique, publié par le ministère de l’économie, du commerce et de l’industrie (METI) en 2019 et axé sur la sécurité de l’IoT des consommateurs et de l’industrie. Dans le cadre de cette mise en œuvre, le METI a publié plus tôt cette année un projet de cadre de sécurité de l’IoT, axé sur la sécurité de la couche relative aux connexions mutuelles entre les dispositifs physiques et le cyberespace. Le METI élaborera probablement d’autres orientations sur la sécurité cyber-physique en 2021, d’autant plus que les Jeux olympiques d’été de Tokyo, qui constituent une cible de choix pour les cyberattaquants, ont été reprogrammés pour l’été prochain.   

Vers l’harmonisation des réglementations de cybersécurité applicables aux services financiers

En 2020, les États-Unis ont réalisé de nouveaux progrès dans l’harmonisation des exigences réglementaires en matière de cybersécurité et dans l’adhésion croissante à un modèle de profil de risque qui pourrait être utilisé par plusieurs organismes de réglementation, en s’inspirant largement du cadre du NIST pour l’amélioration de la cybersécurité des infrastructures critiques. Les discussions se poursuivent également sur l’harmonisation en Europe et dans l’APAC.

L’année 2021 sera probablement marquée par un réexamen supplémentaire de ces exigences en Europe, dans la mesure où les banques s’efforcent de réduire les doubles emplois entre les agences nationales tout en réduisant le fardeau imposé par les exigences réglementaires. Si tout se passe comme prévu, cela permettra de mettre l’accent sur les risques critiques et sur le maintien de normes harmonisées en matière de cybersécurité.