Cybersécurité : quelles sont les dernières réglementations ?

L’année 2023 aura encore malheureusement été un excellent crû pour les cybercriminels. Pour contrer cette tendance et aider un plus grand nombre d’entités à entreprendre des démarches de conformité et de sécurité, le cadre législatif s’est renforcé. Quel est le paysage légal et règlementaire actuel ? Quels changements sont annoncés pour la nouvelle année ? Quels seront les impacts pour les entreprises ? Réponses dans notre nouvel article.

I. Cybersécurité : tour d’horizon du paysage réglementaire et légal actuel

1) La LPM (Loi de Programmation Militaire) 2019-2025 et le dispositif SAIV

La loi du 13 juillet 2018, relative à la Programmation Militaire pour les années 2019-2025 a été conçue comme un vaste plan stratégique ayant pour objectif de moderniser les forces armées françaises. La cyberdéfense et plus précisément la prise en compte des lourds impacts des cybermenaces sur la nation occupent une place de choix dans ce dispositif.

La LPM exige ainsi des Organismes d’Importance Vitale (OIV) de prendre des mesures aussi bien techniques qu’organisationnelles en matière de sécurisation et de protection des données particulièrement sensibles des SIIV (Système d’Information d’Importance Vitale). Il s’agit du Dispositif SAIV (Sécurité des Activités d’Importance Vitale), étroitement contrôlé par l’ANSSI, autorité nationale en matière de cybersécurité. 

Quelles sont les principales mesures du Dispositif SAIV à l’encontre des OIV ?

  1. L’identification et la déclaration de leurs SIIV, c’est-à-dire tout système critique qui, s’il était attaqué, aurait des conséquences graves pour le pays. 
  2. La notification obligatoire et immédiate à l’ANSSI des incidents. 
  3. L’application stricte de règles techniques et opérationnelles définies par l’ANSSI. Elles sont une vingtaine et couvrent des domaines comme la gouvernance et le pilotage de la sécurité informatique, la maîtrise des risques, la maîtrise et la protection des SI (Systèmes d’Information) ou encore la gestion des incidents.
  4. Le déclenchement de contrôles de sécurité à l’initiative de l’ANSSI
  5. Avoir recours à des solutions et des prestataires qualifiés par l’ANSSI
  6. En cas de crise majeure, l’obligation de suivre des directives dictées par le Premier ministre

2) La directive sur la sécurité des réseaux et des systèmes d'information (NIS)

La directive européenne NIS (Network and Information System Security) s’est engagée lors de son adoption en juillet 2016 à poursuivre sur l’ensemble des réseaux et des systèmes d’information (SI) du territoire de l’UE.

Transposée dans le droit français depuis 2018, cette directive concerne, entre autres, les OSE. Les Opérateurs de Services Essentiels poursuivent ainsi une activité qui en cas d’interruption aurait un impact négatif sur l’économie et la société. La réglementation NIS s’adresse aussi aux FSN (Fournisseurs de Services Numériques) de plus de 50 salariés ou ayant un CA annuel supérieur à 10 millions d’euros et plus particulièrement : 

  • Les places de marchés en ligne (les plateformes qui permettent de conclure des contrats ou des services en ligne)
  • Les moteurs de recherche 
  • Les fournisseurs de services cloud

OSE et FSN, dès lors qu’ils appliquent leurs services auprès des États membres de l’UE, sont tenus d’appliquer certaines mesures. Parmi elles, citons la nomination d’un représentant auprès de l’ANSSI, la soumission à des contrôles de sécurité réguliers, mais aussi la création de protocoles stricts autour de :

  • La sécurité des systèmes 
  • La gestion des incidents 
  • La continuité des activités 
  • Le suivi, l’audit et le contrôle 
  • Le respect des normes internationales

3) Le RGPD (Règlement Général sur la protection des données) et la cybersécurité

Depuis 2018, l’indétrônable RGPD ou Règlement Général sur la Protection des Données occupe une place centrale dans le paysage réglementaire français et européen. Véritable pilier en matière de protection des données, elle s’adresse à toutes entités privées ou publiques amenées à traiter les données personnelles des citoyens de l’Union européenne. Donc, à moins de vivre reclus, à peu près tout le monde est aujourd’hui concerné par le RGPD. 

La notion de traitement de la donnée est essentielle parce qu’elle englobe un très grand nombre d’actions. Le règlement précise qu’il s’agit de la collecte, de la sauvegarde, de la communication, de l’extraction, de la modification, mais aussi de la simple consultation ou encore du rapprochement d’informations.

Là encore, certaines dispositions en lien direct ou indirect avec la cybersécurité sont prévues par certains articles du RGPD. Elles sont obligatoires pour les entités concernées afin de garantir la protection et la sécurité des données à caractère personnel. Nous retrouvons ainsi :

  • La mise en place de mesures techniques et organisationnelles comme le chiffrement ou la pseudonymisation des données ou bien le recours à certaines technologies sécurisant l’accès aux systèmes d’information (SI) et garantissant la disponibilité des DCP (données à caractère personnel).
  • La désignation d’un DPO ou Délégué à la Protection des Données au sein de l’entité, véritable garant des principes de conformité auprès des collaborateurs.
  • La notification d’une violation de donnée (dans un délai de 72h) à la CNIL (Commission nationale de l’informatique et des libertés) l’autorité nationale chargée de l’application du RGPD
  • La notification aux personnes concernées si une violation de leurs données personnelles présente un risque élevé pour leurs droits et leurs libertés
  • La réalisation d’une analyse d’impact relative à la protection des données (AIPD), lorsque le nouveau traitement d’un jeu de données est susceptible de présenter un risque élevé ou de toucher à un domaine sensible. Le principe d’une AIPD est d’identifier puis de minimiser ces risques, aux moyens d’actions tangibles comme le déploiement de mesures de cybersécurité.

 

Le saviez-vous ? 💡

En cas de non-respect de ces dispositions obligatoires, les entités entrant dans le périmètre d’action du RGPD peuvent être contraintes de verser une amende allant jusqu’à 20 millions d’euros ou équivalent à 4% du CA annuel.

Obtenez plus de renseignements à ce sujet en contactant nos experts !

II. Changements et mises à jour réglementaires : un renforcement des mesures de cybersécurité pour 2024

Les lois, règlements européens et normes que nous venons de passer en revue ont tous été mis en place dans les années 2010 avec deux objectifs communs : 

  • contrer la montée en puissance des cyberattaques, toujours plus nombreuses 
  • encadrer la révolution numérique qui prenait alors le pas dans les sphères privées et professionnelles.

L’année 2020 marque toutefois un tournant décisif. Les souvenirs de la pandémie de la Covid-19 sont encore très vivaces, ainsi que l’explosion fulgurante des cyberattaques visant les entreprises et les administrations fragilisées par la crise sanitaire. Aujourd’hui, les cybercriminels ont une organisation digne des entreprises du CAC 40 et disposent de ressources et d’outils encore plus perfectionnés. Plus inquiétant encore, les entreprises, et plus particulièrement les TPE/PME et les entrepreneurs n’ont pas toujours conscience du risque et peinent à mettre en place des stratégies efficaces pour garantir l’intégrité de leur système. 

Face à ce paradigme (à laquelle s’ajoute un contexte géopolitique tendu où la cyberattaque est une véritable arme de guerre), certaines dispositions ont renforcé leur périmètre d’action, à l’image de la LPM et de la directive NIS. En parallèle de nouvelles dispositions législatives sont également en préparation .

1) La nouvelle Loi de Programmation Militaire (LPM) 2024-2030)

Le sujet cyber est plus que jamais au cœur de cette nouvelle loi LPM publiée au Journal Officiel en août 2023 et qui entrera en vigueur dès 2024. Outre le renforcement croissant du budget des armées et de la défense, de nouvelles obligations relatives à la cybersécurité s’étendent désormais à un large panel d’entreprises et tout particulièrement les éditeurs de logiciels. Chaque éditeur concevant et/ou distribuant en France une ressource logicielle, peu importe la nature du produit (on prem ou SaaS) et la taille de l’entreprise, devra obligatoirement : 

  • Notifier à l’ANSSI les vulnérabilités inhérentes à leurs produits. De manière plus concrète, cela signifie qu’en cas de vulnérabilité sur un logiciel ou en cas d’incident en ligne compromettant la sécurité de leurs SI, ces entreprises devront obligatoirement en informer l’ANSSI.

 

  • Informer les utilisateurs du produit concerné par ces risques et de ces vulnérabilités. Le délai relatif à cette obligation d’information sera fixé par l’ANSSI, qui se prononcera en fonction du degré d’urgence et de risque que présente la situation. 

 

Important 🚨


Si une entreprise ne suit pas cette injonction, un article de la nouvelle loi autorise l’ANSSI à rendre public l’incident ce qui, vous en conviendrez, n’est pas du meilleur augure pour la confiance et l’image de marque.

 

  • Entamer immédiatement une procédure d’analyse des causes et des conséquences desdites vulnérabilités et/ou incidents.

2) La directive NIS 2 (Network and Information Security, deuxième version)

L’objectif de la directive NIS2 est sans équivoque : renforcer les mesures de protection entamées par NIS1, mais surtout élargir encore plus son périmètre d’action à l’heure où les cybermenaces atteignent un pic alarmant. Adoptée par les États membres de l’Union européenne, elle sera effective au cours du second semestre 2024, le temps que chaque législation puisse la transposer dans son droit national.
Quelles entités seront concernées ?

NIS2 continuera de s’appliquer aux secteurs déjà concernés par NIS1 (les établissements de santé, les banques et les transports). Toutefois, elle s’étendra également aux administrations publiques, au secteur des télécommunications, aux plateformes de réseaux sociaux, aux services postaux ou encore au secteur spatial. De 19 secteurs concernés initialement par NIS1, nous passerons à 35 secteurs d’activités.

Des milliers d’entreprises privées, allant de la grande entreprise cotée au CAC 40 à la PME, feront également leur grande entrée dans le périmètre de NIS2. Pour cela, elles devront avoir plus de 50 salariés et réaliser plus d’un million d’euros de chiffres d’affaires dans les secteurs mentionnés.

Quelles seront les nouvelles mesures de NIS2 ?

Pour en savoir davantage sur les nouvelles obligations et pour connaître l’identité des entités impactées, il faudra patienter encore quelques mois. Néanmoins, voici un aperçu des changements et des nouvelles mesures que devront désormais observer les quelques milliers nouveaux concernés sur le territoire français : 

  • Sans surprises, il faudra s’attendre à un véritable renforcement des mesures de sécurité, avec en ligne de conduite principale : une gestion par le risque et une approche résolument proactive de la cybersécurité.
  • Les mesures de contrôles et les audits devraient également se durcir. Les entités essentielles pourraient ainsi être contrôlées par l’ANSSI elle-même.
  • Là encore, les obligations de notifications devraient aussi suivre le pli de la loi LPM. Les entités concernées devront ainsi avertir l’ANSSI de toutes les vulnérabilités significatives et/ou d’incidents pouvant avoir un impact sur le SI.

En cas de non-respect des obligations de la directive, les sanctions devraient être particulièrement dissuasives, allant ainsi jusqu’à 10 millions d’euros ou 2% du CA.

3) Loi du 3 mars 2022 et intégration du Cyberscore

La loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public sera effective dès 2024. Également appelée Loi Cyberscore, elle introduit la mise en place d’un audit de sécurité (valable 12 mois) que devront effectuer les opérateurs de plateformes numériques.

Quelles plateformes sont concernées par ces audits ?

À l’heure actuelle, ce sont seulement les opérateurs de plateformes numériques, les messageries instantanées, les sites de visioconférences recevant plus de 25 millions d’utilisateurs uniques depuis la France. En 2025, on passera à 15 millions pour élargir de plus en plus le périmètre. Il est fort à parier que le processus s’étendra encore davantage les années suivantes.

Suite à ce contrôle, ces plateformes devront afficher le résultat publiquement sur leur site sous la forme d’un système de notation délibérément inspiré du nutri-score. Le cyberscore a ainsi pour objectif d’avertir les utilisateurs du niveau de protection et de sécurité de leurs données lorsqu’elles sont traitées par la plateforme dont ils se servent.

L’audit en question devra être réalisé par un prestataire qualifié et mandaté par l’ANSSI. Voyons maintenant les critères d’évaluation qui seront examinés lors du contrôle : 

  • Le niveau de protection des données à caractère personnel (DCP) sera bien évidemment examiné à la loupe. Le prestataire chargé de l’audit devra ainsi évaluer la conformité de leur hébergement, la conformité de leur traitement ou encore les conditions de revente ou de partage à des tiers desdites données. 
  • La manière dont sera externalisé le traitement des données influencera également dans le scoring. Par exemple, si les sous-traitants des DCP font partie de l’UE ou encore si l’hébergement des données se fait en territoire européen, alors la note aura de grandes chances d’être élevée.

Seront également appréciées, les mesures de cybersécurité plus générales de ces plateformes à l’instar des processus d’authentification des utilisateurs, du niveau de sensibilisation des collaborateurs, du niveau de protection de la messagerie ou encore la gestion des incidents et des cyberattaques.

Obtenez plus de renseignements à ce sujet en contactant nos experts !

III. Entreprises : comment se conformer aux nouvelles réglementations ?

Nous l’avons vu, l’étau se resserre pour les entreprises. Les stricts protocoles et contrôles de sécurité étaient uniquement l’apanage des grandes entreprises, des OIV et tout opérateur fournissant un produit ou un service essentiel à l’activité et l’économie nationale. 

Les temps ont changé comme nous le montre la récente actualité légale et réglementaire . Dès 2024 et dans les années à venir, un plus large panel d’organismes et d’entreprises sera amené à suivre des mesures pour protéger leurs systèmes d’information, mais aussi leurs collaborateurs et utilisateurs. 

Comment entreprendre de profondes démarches de conformité ? Comment les entreprises peuvent-elles surmonter les défis que cela engendre ?

1) Exemples de mesures et de bonnes pratiques à appliquer en entreprise

  • Sensibiliser les collaborateurs :

 C’est un sujet que nous avons déjà abordé à maintes reprises dans de précédents articles. La formation et la sensibilisation des collaborateurs aux risques cyber et aux bonnes pratiques en ligne sont les premiers jalons d’une solide démarche de conformité. Mettez en place des ateliers réguliers dédiés au RGPD ou à la protection des données à caractère personnel ou faites des tests et des simulations d’incidents pour insuffler une dose de pratique. Finalement, peu importe le format. Il faut que la cybersécurité et la protection des données deviennent l’affaire de tous. Ce qui nous amène au point suivant.

  • Mettre (enfin) la sécurité au cœur des activités :

La sécurité doit ainsi être une priorité lors de la conception et de la mise en œuvre de nouveaux systèmes d’information, dans le traitement des données et dans l’usage de vos actifs numériques. Pour vous aider à mettre cette démarche au cœur de vos process, nous vous invitons à parcourir notre guide ultime pour protéger en profondeur votre entreprise.

  • Contrôler la diffusion de l’information au sein de votre structure :

 Il est absolument nécessaire de surveiller et de contrôler ce quelle donnée entre et sort de vos systèmes. Pour cela une solide politique de mot de passe est un indispensable, car il s’agit du premier levier de sécurité d’un poste informatique. Mettez aussi en place de rigoureux  processus de création et de suppression des accès utilisateurs. Ne donnez accès qu’à l’information nécessaire et garder une trace de chaque action.

  • Sécuriser, mais aussi garder une visibilité totale sur ses infrastructures :

Les systèmes et réseaux de l’entreprise doivent être sécurisés pour prévenir les attaques. Jusqu’ici, tout va bien. Mais nous l’avons vu, de plus en plus d’incidents et de vulnérabilités doivent être notifiés dans les délais les plus brefs. Il convient donc d’exploiter les nombreuses technologies et outils permettant une centralisation des activités et en temps réel.

  • Collaborer avec des prestataires de confiance

Il est extrêmement important de travailler avec des partenaires, des fournisseurs et des sous-traitants qui placent également la cybersécurité et la protection des données au cœur de leurs process. Choisissez des prestataires certifiés, détenteurs de labels ou recommandés par l’ANSSI. N’ayez pas peur de faire preuve d’un brin de chauvinisme en collaborant avec des partenaires nationaux et européens. 

  • Réaliser des contrôles et des audits de sécurité réguliers

N’attendez pas qu’une loi vous l’impose. Et d’ici quelques années, ces audits devront de toute façon être effectués à un rythme encore plus rapproché, ce qui va nécessiter quelques ajustements. Il convient donc de prendre les devants dès maintenant. Faites-vous accompagner par des prestataires qualifiés et des tiers de confiance en matière de cybersécurité et de protection de la donnée.

IV. Nouvelles règlementations : nos conseils

Au-delà de ces premières mesures, voici pour conclure cet article quelques conseils :

Proactivité et vigilance constante : La cybersécurité nécessite une vigilance constante pour détecter et répondre rapidement à toute menace. Gardez en tête qu’il ne faut pas se demander si une attaque surviendra, mais plutôt se demander quand celle-ci interviendra. Cette proactivité à tous les niveaux sera votre alliée numéro 1.

Connaître ses ennemis, connaître son environnement  : Il est crucial de comprendre toutes les menaces potentielles ainsi que chaque faille et vulnérabilité sur son système. Dotez-vous des meilleures ressources et technologies, faites-vous accompagner d’experts et spécialistes, mais surtout connaissez votre environnement, vos actifs  et vos données.

Maintenir une veille active : En matière de cybersécurité, tout bouge très vite : les lois, les technologies et les nouvelles menaces !

Partagez cet article

Restez à jour sur nos actualités avec notre newsletter !