La conformité évolue, votre résilience est-elle prête ?
La NIS2 et la DORA augmentent les enjeux pour un plus grand nombre de secteurs
Il y a dix ans, notre objectif était de garantir que nos organisations soient transparentes et réfléchies dans la collecte des données personnelles des individus, leur offrent le choix concernant la gestion de leurs données, les protègent méticuleusement, et conseillent sur les obligations et les meilleures pratiques en cas de compromission des données personnelles.
Aujourd'hui, je continue de faire toutes ces choses. Toutefois, à mesure que de nouveaux règlements tels que la directive sur la sécurité des réseaux et des systèmes d'information (NIS2) ont modifié l'environnement réglementaire de la cybersécurité, mon champ d'action s'est élargi pour inclure non seulement la préservation de la confidentialité des données personnelles, mais aussi la gestion des menaces pesant sur l'intégrité et la disponibilité des services traitant ces données personnelles. Cela signifie que je passe beaucoup de temps avec les équipes produit et d'ingénierie de Cloudflare sur des questions liées à la disponibilité et à la résilience de nos produits. Nous travaillons au développement de méthodes permettant de mesurer les effets des pannes, à la détermination des incidents qui doivent être signalés et, si nécessaire, à la conception des rapports et réponses.
Je ne suis pas seul à percevoir un changement dans le monde de la confidentialité et de la conformité. Selon le Rapport 2024 sur la gouvernance de la confidentialité de l’International Association of Privacy Professionals, plus de 80 % des professionnels de la confidentialité voient leurs tâches aller bien au-delà de leurs fonctions plus traditionnelles en matière de confidentialité. La conformité réglementaire en matière de cybersécurité est devenue la deuxième responsabilité la plus courante parmi les répondants dont le champ d'action s'élargit. En plus de protéger la confidentialité, nous devons désormais nous assurer que nos organisations réduisent les cyber-risques et renforcent leur résilience.
S'orienter parmi les nouveaux règlements
L'évolution du rôle des professionnels de la vie privée reflète un changement majeur dans l'environnement de la réglementation des données. Au cours des deux dernières années, une série de nouvelles réglementations a rendu la résilience et la gestion des risques aussi essentielles à la conformité que la confidentialité des données ne l'a toujours été.
En commençant par le RGPD de l’Union européenne, la première vague de règlements majeurs en matière de confidentialité et de sécurité des données s’est concentrée sur la protection des individus contre les préjudices liés à la compromission de leurs données. La conformité au RGPD, au California Consumer Privacy Act et à d'autres réglementations similaires impliquait de respecter les droits des personnes concernées, de limiter la quantité de données personnelles collectées et de protéger ces informations contre la divulgation non autorisée et les acteurs malveillants.
Trois nouvelles réglementations entrées en vigueur depuis 2023 illustrent l'évolution de la conformité : la directive NIS2 (Network and Information Security, sécurité des réseaux et des systèmes d'information), la règlementation DORA (Digital Operational Resilience Act, loi sur la résilience opérationnelle numérique), et la règle de cybersécurité de la commission chargée de la réglementation et du contrôle des titres et des marchés financiers (SEC, Securities and Exchange Commission) des États-Unis. En Europe, la directive NIS2 vise à améliorer la résilience numérique et les pratiques de sécurité dans 18 secteurs, tandis que la réglementation DORA se concentre sur la gestion des risques informatiques dans le secteur financier. La nouvelle règle de la SEC établit des normes de sécurité et de rapport pour les entreprises américaines cotées en bourse.
Comme elle couvre de nombreux secteurs à travers toute l'Europe, la directive NIS2 pourrait avoir l'influence le plus large des trois. La directive NIS2 met les organisations au défi d'évaluer les risques de manière plus approfondie, de traiter les incidents plus rapidement et de faire davantage pour assurer la continuité des activités.
La directive NIS2 exige que les organisations abordent les points suivants :
La visibilité sur l'ensemble des actifs informatiques à travers les environnements, permettant une évaluation complète des risques et une gestion proactive des incidents.
La sécurité des chaînes d'approvisionnement logicielles qui soutiennent les systèmes critiques.
La sécurité tout au long du cycle de vie des réseaux et des systèmes d'information.
La vulnérabilité des applications web critiques pour la mission face aux menaces de tiers.
Chiffrement, contrôle d'accès et authentification pour une gamme de types d'utilisateurs, d'appareils et de systèmes.
La directive NIS2 impose également ces exigences en matière de sécurité, de confidentialité et de résilience à un ensemble plus large de secteurs et d'organisations que son prédécesseur, la directive originale sur la sécurité des réseaux et des systèmes d'information (« NIS »). La NIS a été appliquée à plusieurs secteurs considérés comme des infrastructures nationales cruciales, notamment l'énergie, les transports, le secteur bancaire et financier, l'eau et la santé. La NIS2 ajoute à ce groupe la gestion des eaux usées, l'industrie spatiale, l'administration publique et les services informatiques gérés interentreprises. Elle ajoute également six nouveaux secteurs à la catégorie « importante » : gestion des déchets, transformation alimentaire, recherche, services postaux et de messagerie, production et distribution de produits chimiques, ainsi que certains types de fabrication.
Les entreprises des deux catégories sont confrontées aux mêmes exigences de base, mais la directive NIS2 impose aux organisations des secteurs essentiels de démontrer leur conformité de manière proactive. Autre élément important, les exigences de la directive NIS2 se répercutent également sur les sous-traitants de données tiers qu'elles emploient.
Dans le cadre de la directive NIS2, les organisations de taille moyenne (celles qui emploient plus de 50 employés ou réalisent un chiffre d'affaires annuel de plus de 10 millions d'euros) dans des secteurs essentiels ou importants de l'UE sont désormais soumises à des normes de sécurité rigoureuses. Le non-respect de ces obligations peut avoir des conséquences désastreuses à savoir des amendes pouvant atteindre 2 % du chiffre d'affaires mondial pour les entreprises du secteur « essentiel » et 1,4 % pour celles du secteur « important ». Une non-conformité persistante peut entraîner la suspension des services ou des employés responsables.
L'effet net : un plus grand nombre d'entreprises dans divers secteurs sont soumises à des normes rigoureuses en matière de sécurité et de résilience. Les équipes chargées de la confidentialité jouent un rôle clé dans la satisfaction de ces exigences.
S'appuyer sur les investissements existants en matière de confidentialité
De nombreuses organisations concernées par la directive NIS2 abordent pour la première fois des réglementations strictes en matière de cybersécurité. Ils agissent ainsi tout en gérant la complexité à laquelle nous sommes tous confrontés dans l'informatique moderne, car ils opèrent sur des systèmes sur site, des déploiements de cloud hybrides et des appareils en périphérie.
La directive NIS2 identifie dix mesures de gestion des risques que les entités couvertes doivent prendre. Elles comprennent l'évaluation et la planification pour un large éventail de risques, allant des vulnérabilités de la chaîne d'approvisionnement et des catastrophes naturelles aux pannes de réseau et aux erreurs humaines. Ce mélange complexe de risques sévit dans les mondes à la fois physique et numérique.
Cependant, il y a de bonnes nouvelles pour les organisations couvertes et les équipes de protection de la vie privée qui s'efforcent d'assurer la conformité : bon nombre des efforts qu'elles ont déjà déployés pour développer des programmes de protection de la vie privée complets et matures peuvent être mis à profit pour faciliter la conformité avec les réglementations en matière de cybersécurité.
Par exemple, les obligations d'évaluation des risques de la NIS2 exigent que les entreprises couvertes fassent l'inventaire de tous les actifs de leur parc informatique. DORA impose la même chose pour les entreprises dans le domaine financier. Les cartes de données existantes développées à des fins de confidentialité donnent aux organisations une longueur d'avance pour comprendre leurs collections d'actifs et les risques qui les menacent.
Les équipes chargées de la protection de la vie privée jouent un rôle essentiel dans la satisfaction des exigences de la NIS2 et d'autres nouvelles réglementations en matière de gestion des incidents. Par exemple, nous contribuons à déterminer quand les incidents atteignent le seuil de signalement et collaborons avec les équipes d'observabilité pour veiller à ce que nos organisations disposent des données que nous devons communiquer aux régulateurs et au public.
Atteindre la conformité sans ajouter de complexité
Quelle que soit la solidité de vos fondations, le respect des mandats de la NIS2 suppose de nouveaux défis technologiques. Pour de nombreuses organisations, la continuité des activités dépend de la disponibilité continue des applications web. Cela implique une protection contre les Attaques DDoS aux couches réseau, transport et couche applicative.
Les entreprises concernées ont également un nouveau niveau de responsabilité concernant la sécurité des applications tierces qu'elles utilisent et la chaîne d'approvisionnement logicielle qui sous-tend leurs infrastructures. Les lourdes pénalités en cas de non-conformité rendent les fondamentaux de la cybersécurité plus importants que jamais : la prévention du phishing et des attaques par logiciels malveillants, le contrôle et la gestion des accès, ainsi que l'utilisation appropriée de la cryptographie, du chiffrement et de l'authentification multi-facteurs (MFA).
Il n'existe aucun système ou logiciel unique capable de relever ces défis. C'est une question de stratégie : un mélange de technologie, de politique, de procédure et d'ingéniosité. Cependant, les outils sont importants. Choisir des solutions de sécurité adaptées à l'évolution de l'environnement réglementaire peut réduire la complexité et les coûts alors que les organisations cherchent à se conformer.
Voici trois questions clés à se poser lors de l'évaluation des solutions de cybersécurité à la lumière de la directive NIS2 :
Ces solutions sont-elles suffisamment polyvalentes pour les environnements informatiques complexes ? Il existe des solutions ponctuelles qui peuvent être bien adaptées à des aspects individuels de la conformité à la directive NIS2, mais intégrer plusieurs d'entre elles dans des environnements hybrides peut compliquer la gestion et donner lieu à des lacunes en matière de sécurité.
Simplifient-elles la visibilité ? L'inventaire des actifs informatiques, l'identification des problèmes de sécurité potentiels et l'examen rapide des menaces sont essentiels à la conformité NIS2. La plateforme de sécurité appropriée fournira la visibilité et la génération de rapports à la demande.
Sont-ils conçus pour assurer la continuité des activités ? Les interruptions des applications web menacent les services essentiels. Cherchez des solutions qui réduisent les interruptions de service web avec plusieurs couches de protection contre les attaques.
Le cloud de connectivité de Cloudflare, qui correspond à une plateforme unifiée et intelligente de services de sécurité et de mise en réseau; équipe les organisations pour une résilience accrue et une meilleure conformité aux réglementations de sécurité existantes et émergentes. Cette plateforme propose un suivi proactif et des alertes pour les incidents de sécurité, indispensables pour satisfaire aux exigences de signalement de la NIS2, de la DORA et des règles de cybersécurité de la SEC. Les services Cloudflare aident également les organisations à identifier les vulnérabilités potentielles dans leurs chaînes d'approvisionnement logicielles et à analyser le trafic web pour détecter des données sensibles ou des utilisateurs malveillants. Un chiffrement de pointe est standard dans tous nos produits, et nos clients peuvent configurer le contrôle d'accès, la gestion des ressources et l'authentification.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Pour en savoir plus sur le respect des exigences strictes en matière de gestion des risques de la conformité à la directive NIS2, consultez le livre blanc S'aligner avec les obligations de gestion des risques envers la cybersécurité imposées par la directive NIS2 dans l'UE.
Auteur
Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Le rôle de la confidentialité dans le contexte de réglementations en évolution
Pourquoi des politiques comme la NIS2, la DORA et la règle de cybersécurité de la SEC ont élevé la résilience au titre d'exigence de conformité
Comment assurer la conformité sans ajouter de complexité