Depuis quelques années, la France et l’Europe se protègent face à la montée des cyberattaques : à titre d’exemple, les attaques par rançongiciel ont en effet augmenté de 30 % en 2023 par rapport à l’année précédente. La question de la protection numérique est donc devenue très importante pour les entreprises. Face à cette recrudescence des assauts, la cybersécurité est de plus en plus encadrée par divers règlementations et référentiels, parfois complexes. Il est essentiel de bien les comprendre pour s’y conformer. Cet article vous propose une vue d’ensemble des règlementations et référentiels en cybersécurité.
Les enjeux des règlementations en cybersécurité
Les conséquences d’une cyberattaque peuvent être dramatiques pour l’entreprise : perte financière, répercussion sur l’image de l’entreprise… C’est pourquoi les états, les organismes de régulation au niveau national ou européen ainsi que plusieurs organisations professionnelles proposent des réglementations et des référentiels en matière de cybersécurité.
Dans ce contexte, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France ou l’ENISA (European Union Agency for Cybersecurity) son homologue européen a pour raison d’être de construire et d’organiser la protection face aux cyberattaques. Elle contribue ainsi à renforcer le niveau de cybersécurité global et la stabilité du cyberespace.
Ces règlementations visent à définir les exigences nécessaires pour assurer la sécurité de son système d’information (SI). Les respecter, c’est non seulement se protéger contre la criminalité informatique, mais aussi bâtir un socle de mesures qui contribuent à la mise en œuvre d’un Système de Management de la Sécurité qui peut éventuellement être évalué et conduire à une certification telle que la certification ISO 27001. Ainsi, ces exigences contraignent les entreprises à se protéger pour la bonne cause, elles sont des occasions pour sécuriser son SI. Et si des organisations ne s’y plient pas, les autorités peuvent les sanctionner financièrement.
Lire aussi : Pourquoi faire appel à un expert cybersécurité pour la digitalisation de mon entreprise
Cybersécurité : quelques règlementations et référentiels français et européens à connaître
La loi de programmation militaire (LPM) : la grande loi française qui intègre la cybersécurité
La loi de programmation militaire (LPM) pour la période 2024-2030 a été adoptée le 13 juillet 2023, par le parlement. Le texte propose un investissement de 413 milliards d’euros sur la période, dont un budget consacré au cyber multiplié par trois (4 milliards) par rapport à la précédente LPM.
Cette LPM entend notamment mieux préparer les armées françaises aux « nouveaux champs de conflictualité » dont le cyberespace.
Elle comporte plusieurs mesures pour permettre à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) d’augmenter sa connaissance des modes opératoires des cyberattaquants, de mieux les contrer (filtrage voire blocage ou suspension des noms de domaine) et d’alerter plus efficacement les victimes des incidents ou menaces.
Désignés par l’Etat, les OIV (Opérateur d’importance vitale) sont tenus de garantir à leurs frais la sécurité de leurs sites et leurs systèmes d’information les plus critiques (points et systèmes d’information d’importance vitale) contre tout risque et toute menace, notamment à caractère terroriste. Les OIV exposent à travers un certain nombre de documents de planification les choix de sécurité qui leur permettent de répondre à cette obligation de résultat. Ils procèdent notamment :
- à une identification des points d’importance vitale (PIV) ;
- à une analyse de l’ensemble des risques (naturels, technologiques, sanitaires, etc.) et des menaces (malveillance, terrorisme, cyber, etc.) pouvant affecter les activités et points d’importance vitale ;
- à la déclinaison et à l’application des mesures Vigipirate qui concernent leur activité ;
- à une démonstration de leur dispositif de sécurité et de gestion de crise ;
- au respect du principe de défense en profondeur au sein de chaque PIV ;
- à la rédaction d’un plan de continuité d’activité ou de reprise d’activité (PCA/PRA) et à l’identification des personnels clés ;
- à la désignation d’un délégué à la défense et à la sécurité ;
- à la protection des informations et supports classifiés ;
Les OIV ont l’obligation de solliciter un prestataire qualifié PASSI LPM pour la sécurisation de leurs systèmes d’information. L’enjeu principal est de garantir la continuité des activités identifiées comme vitales pour le bon fonctionnement de la nation.
La Directive NIS 2 : Un Nouveau Cap pour la Cybersécurité en Europe
La directive NIS 2 se révèle particulièrement ambitieuse, tirant parti des enseignements de la directive NIS 1 pour instaurer un véritable changement de paradigme, tant au niveau national qu’européen. En réponse à des cyberattaques de plus en plus sophistiquées et à des acteurs malveillants toujours mieux équipés, la directive NIS 2 étend ses objectifs et son champ d’application afin de renforcer la protection des entités souvent vulnérables.
Cette extension sans précédent du périmètre de la NIS 2 marque un tournant majeur dans la réglementation en matière de cybersécurité. En élargissant ses exigences, elle vise à offrir une protection accrue face à des menaces croissantes, répondant ainsi aux défis posés par l’évolution rapide du paysage cyber.
Lire : Directive NIS2 : qui est concerné, et comment l’anticiper ?
TISAX : des exigences spécifiques au secteur automobile
Trusted Information Security Assessment eXchange (TISAX®) est un mécanisme d’évaluation de la sécurité de l’information de l’ensemble de la chaîne d’approvisionnement de l’industrie automobile. TISAX® a été créé par la VDA – Verband der Automobilindustrie (association allemande de l’industrie automobile) et est géré par l’ENX – European Network Exchange. TISAX® définit un processus d’évaluation et fournit un catalogue d’exigences cyber issu de la norme ISO 27001 et adapté à l’industrie automobile.
Les principaux acteurs du processus d’évaluation TISAX® sont les fournisseurs de composants automobiles et les prestataires de services technologiques.
Outre la sécurité de l’information, basée sur les normes ISO/IEC 27001 et 27002, l’évaluation TISAX® définit 3 axes de mesures supplémentaires avec un processus de certification spécifique:
- La protection des prototypes,
- La relation avec des tiers,
- La protection des données.
Ainsi, le référentiel TISAX permet de gagner la confiance des partenaires et des clients qui savent que votre organisation et vos produits sont sécurisés et en conformité avec un catalogue d’exigences fortes.
Lire aussi : Quelle est la différence entre ISO27001 et TISAX ?
Le règlement DORA dans le secteur financier
Spécifique au secteur de la finance, la règlementation DORA (Digital Operational Resilience Act) a pour objectif de renforcer la résilience opérationnelle numérique des entreprises, c’est-à-dire leur aptitude à continuer de fonctionner même en cas d’incident informatique. Elle s’appliquera à partir de janvier 2025 et concerne toute entité financière (assurance, entreprises d’investissement, de paiement, sociétés de gestion…) et les prestataires de services financiers de l’UE.
Pour ces établissements financiers, il s’agira de garantir la résistance à tout trouble opérationnel dans le système d’information de l’entreprise. Par exemple, ils devront faire des tests de résilience et informer les organismes intéressés s’ils détectent une vulnérabilité.
Comment conformer ma société à toutes ces exigences ?
Vous souhaitez savoir si votre entreprise est concernée par les divers règlementations et référentiels ? De quelle manière organiser un audit de conformité ? Comment obtenir des certifications ?
Expert en systèmes d’information et en cybersécurité, qualifié PASSI par l’ANSSI, Netsystem accompagne les entreprises dans leur mise en conformité avec de nombreux cadres réglementaires ou normatifs.
Nous réalisons des audits externes Cyber (Organisationnel architecture, configuration, vulnérabilités,..), dans un cadre PASSI selon vos obligations règlementaires et des accompagnements vers la certification ISO 27001, SecNumCloud, TISAX, SEGUR,… ainsi que des mission de RSSI as a Service.
Vous souhaitez vous conformer aux règlementations et exigences sectorielles qui s’appliquent à votre entreprise et protéger votre SI ? Contactez-nous !