enjeux réglementaires

Expertise

Enjeux réglementaires et cybersécurité

En matière de cybersécurité, la législation s’est intensifiée en Europe ces dernières années. La conformité réglementaire s’impose désormais comme un enjeu de taille pour les entreprises. De lourdes sanctions financières menacent celles qui ne s’y plient pas. Mais le seul respect des règles établies n’est qu’un pré-requis. Les organisations se doivent d’élargir leurs actions au-delà du simple cadre réglementaire.

Vu et entendu : une mutuelle victime d’une cyberattaque aux Etats-Unis 

Une mutuelle de santé aux Etats-Unis a récemment fait face à un incident de sécurité majeur. Suite à la perte d’un ordinateur appartenant à un de ses collaborateurs, 2,8 millions de données médicales ont été volées. Cette attaque a engendré des dégâts financiers considérables pour l’entreprise : la baisse des primes d’assurance est évaluée à 830 millions de dollars de déficit, la perte de clients à 430 millions de dollars et la dégradation de la valeur de marque à 230 millions de dollars. Un processus long et coûteux sur 5 ans a été mis en place pour faire face à cette situation sans précédent.

Pourtant, la mutuelle, couverte à hauteur de 100 millions de dollars par une prime d’assurance dédiée à la cybersécurité (facturée 7 millions de dollars par an), disposait d’un dispositif de sécurité répondant aux normes réglementaires du secteur de la santé aux Etats-Unis. Les éventuelles sanctions financières en cas de non-conformité ont en effet incité les dirigeants à investir en matière de sécurité informatique, alors considérée comme une priorité. Au programme : mise en place d’une politique de gestion des accès, instauration d’un plan de reprise suite à un incident etc…

Mais le cadre du dispositif mis en place s’est limité à celui des obligations réglementaires et de nombreux aspects de la cybersécurité ont ainsi été négligés. Des actions complémentaires auraient dû-être menées : une approche par les risques, un dispositif de chiffrement des données… et auraient pu limiter considérablement les conséquences financières. Au contraire, la mutuelle a concentré ses efforts sur les enjeux « visibles » de conformité afin d’échapper à la menace de sanctions financières, les impacts « invisibles » (perte des clients, réputation ou coûts d’assurance) ayant largement été sous-estimés. Or, ce sont ceux qui se sont finalement révélés être les plus impactant financièrement pour l’entreprise… 

Décryptage

Pour 25% des répondants de notre étude, la cybersécurité est désormais un sujet porté par leur Direction Générale. La législation s’est intensifiée en Europe ces dernières années et la conformité réglementaire s’impose comme un enjeu de taille pour les entreprises. La menace de lourdes sanctions financières ne cesse de planer sur ces dernières en cas de non-respect des règles établies. Le sujet doit désormais être porté et suivi de près par le management de l’entreprise et une gouvernance clairement définie, en lien avec la stratégie de d’entreprise et en accord avec la réglementation, doit être établie.

Parmi les réglementations mises en place, la Loi de Programmation Militaire (LPM), première étape de la mise en œuvre des nouvelles orientations stratégiques du Livre blanc sur la défense et la sécurité nationale. 200 entreprises classées « opérateurs d’importance vitale », réparties en 12 secteurs d’activité, exploitant des établissements ou utilisant des installations et ouvrages dont l’indisponibilité aurait un impact considérable sur la sécurité et le fonctionnement du pays, sont concernées. A ce titre, elles sont tenues de mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leur SI. D’alerter sans délai le Première ministre des incidents affectant le fonctionnement ou la sécurité de leur Systèmes d’Information d’Importance Vitale (SIIV). Et de soumettre leurs SI à des contrôles réguliers destinés à vérifier leur niveau de sécurité.

La question de la cybersécurité soulève par la même occasion celle de la protection des données. Les entreprises récoltent et enrichissent constamment des données liées à une identité (employé, fournisseur ou client), un stock sans consentement des individus étant alors constitué. L’éventuelle fuite des données est ainsi un enjeu majeur pour les entreprises, qui sont confrontées à de nouvelles réglementations. D’ici deux ans, toutes les entreprises, administrations, collectivités locales et associations qui collectent, traitent et stockent les données personnelles dont les propriétaires peuvent être identifiés directement (par l’entreprise elle-même) ou indirectement (par un tiers) devront se conformer au General Data Protection Regulation (GDPR). A ce titre, elles auront pour obligation de s’assurer du consentement explicite des individus quant à l’utilisation qui sera faite de leurs données, et être capable de les transférer à leur propriétaire ou de les effacer s’il le demande. Ce nouveau règlement obligera également les organisations à être entièrement transparentes et à alerter les autorités compétentes en cas de fuite de données. Elles devront enfin se doter d’une organisation interne en charge des questions relatives à la protection des données.

Les enjeux de conformité réglementaires et la menace de sanctions financières ont bien été intégrés par les entreprises. Mais certains risques pourtant tout aussi dangereux pour les organisations sont encore trop peu considérés. Référencement, réputation, perte de client ou encore perte de données intellectuelles et espionnage font partis de ces impacts dits « invisibles », souvent négligés. Si les données personnelles sont considérées comme critiques à hauteur de 40% - tout comme les données médicales – les données de propriété intellectuelle ne le sont qu’à 10%. Or, les cybercriminels n’ont pas toujours pour objectif de voler les données personnelles mais aussi d’espionner, de violer la propriété intellectuelle, de détruire des données ou encore d’altérer les infrastructures supportant des systèmes opérationnels ou industriels. Au-delà des réglementations, elles se doivent de poursuivre leurs efforts pour élargir leurs dispositifs de sécurité.