L’Union européenne poursuit ses efforts pour renforcer la cyber-résilience à travers le bloc en adoptant nouveaux amendements à la Loi sur la cybersécurité (LSC) qui imposent des systèmes de certification pour les services de sécurité gérés.
Ces changements créeront de nouvelles obligations de conformité pour les fournisseurs et les utilisateurs finaux de services de cybersécurité tels que les plateformes de réponse aux incidents et de tests de pénétration. Mais aussi fastidieux que puissent être ces changements réglementaires, les experts affirment qu'ils pourraient renforcer les défenses cybernétiques et la compétitivité de nombreuses entreprises concernées.
Un régime de cybersécurité renforcé
Selon Phil McGowan, ingénieur système chez Managed Cybersecurity Platform Chasseresse, les prochaines modifications de la CSA modifieront considérablement la manière dont les entreprises mettent en œuvre leurs stratégies de cybersécurité et respectent leurs obligations de conformité dans un avenir prévisible.
Plus précisément, il affirme que ces changements mettront « davantage l’accent sur la gestion proactive des risques, la transparence et la responsabilité » dans un paysage de cybermenaces en constante évolution.
Il ajoute qu’en conséquence, les entreprises seront probablement confrontées à une pression accrue pour protéger les informations sensibles, signaler les violations de cybersécurité en temps opportun et démontrer leur conformité en effectuant des audits de sécurité et en obtenant des certifications sectorielles.
McGowan explique à ISMS.online : « Essentiellement, les amendements visent à garantir que les organisations accordent la priorité à la cybersécurité en tant que problème informatique et élément essentiel de leur résilience commerciale globale et de leur stratégie opérationnelle. »
Vous appréciez cet article?
Vous pourriez également aimer cet épisode de podcast
Selon Ralph Arrate, associé en IA et cybersécurité au sein du cabinet d'avocats Spencer West LLPCes amendements, associés à de nouvelles lois comme le Digital Operational Resilience Act, le Cyber Resilience Act et la directive NIS2, indiquent clairement que l’UE renforce sa surveillance des questions de cybersécurité dans la région.
Arrate estime qu’ils établiront un régime de cybersécurité solide et cohérent qui vise à améliorer la confiance dans les produits et services technologiques parmi les entreprises européennes.
Il explique que l’UE espère y parvenir en faisant des certifications une exigence importante pour les produits, services et processus numériques. En pratique, cela signifie que les entreprises devront procéder à un « examen complet des mesures de sécurité existantes ».
Malgré le Brexit, ces règles auront également un impact sur de nombreuses entreprises basées au Royaume-Uni. Selon Arrate, les entreprises britanniques ayant des activités et des partenaires commerciaux en Europe seront obligées d’adopter une « approche méticuleuse » en matière de sécurité informatique et de gestion du cycle de vie des produits.
Restez au courant des dernières actualités avec la newsletter IO
Recevez chaque mois un résumé de toutes les informations, actualités sur la confidentialité et la cybersécurité directement dans votre boîte de réception.
Bien que certains propriétaires d’entreprises britanniques puissent considérer ces règles comme un casse-tête réglementaire, elles pourraient s’avérer bénéfiques à long terme. Selon Arrate, l’obtention d’une certification de cybersécurité de l’UE (EUCC) pourrait les aider à « acquérir un avantage concurrentiel » car c’est un signe de « qualité et de fiabilité ».
Certains fournisseurs informatiques pourraient toutefois être moins optimistes quant à ces modifications, Arrate estimant qu’elles « entraîneront une bureaucratie supplémentaire ». Il ajoute : « De nombreux acteurs de ce secteur se conforment déjà aux normes américaines NIST ou ISO, qui ne correspondent pas exactement aux nouvelles exigences de l’EUCC. »
Sean Wright, responsable de la sécurité des applications sur la plateforme de gestion de la fraude et de la criminalité financière Espace de fonctionnalitésconsidère les modifications apportées à la CSA comme une évolution positive pour les entreprises et le paysage plus large de la cybersécurité.
Selon lui, de nombreuses organisations dépensent actuellement des sommes « extraordinaires » dans des produits de cybersécurité qui n’offrent pas les avantages annoncés, donnant aux entreprises un « faux sentiment de sécurité ».
Cependant, Wright est convaincu que des normes bien établies, telles que les nouvelles règles de la CSA, permettront de lutter contre ce phénomène en garantissant que les produits certifiés remplissent les fonctions prévues. Il poursuit :
« De plus, le fait de disposer d'un prestataire de services fiable et digne de confiance permet aux organisations de déléguer certains aspects complexes de la sécurité de l'information à ceux qui sont mieux équipés pour gérer ces éléments. »
Se conformer à ces modifications
Pour se conformer à ces règles, les entreprises doivent d’abord évaluer si elles relèvent de leur champ d’application, explique Arrate. Il explique que les amendements en question visent les entreprises qui proposent des services de sécurité gérés, la 5G, des applications informatiques et d’autres produits et services numériques.
Les entreprises concernées doivent ensuite auditer les processus de cybersécurité existants et les comparer aux exigences définies par cette législation. Selon Arrate, cela permettra aux organisations de détecter les faiblesses de leurs défenses cybernétiques et de les corriger en conséquence afin d'éviter toute action réglementaire. Arrate encourage également les entreprises à contacter les organismes de certification le plus rapidement possible, car c'est la clé pour comprendre les exigences des différents systèmes.
Parmi les autres recommandations clés d’Arrate figurent l’adoption de principes de sécurité dès la conception à toutes les étapes du développement des produits, une collaboration étroite avec les fournisseurs sur les normes de sécurité de la chaîne d’approvisionnement et la mise en œuvre d’un plan complet de réponse aux incidents. Plus important encore, il exhorte les entreprises à surveiller ces exigences à mesure qu’elles évoluent pour garantir le respect des dernières règles.
Alors que les entreprises mettent en œuvre des mises à jour logicielles, exécutent des procédures de cybersécurité et répondent aux incidents, Spencer Starkey, vice-président exécutif de la région EMEA chez une société de cybersécurité américaine SonicWall— affirme qu'il est essentiel de documenter toutes ces étapes pour se conformer à la CSA. Il ajoute : « Cette documentation est essentielle lors des audits réglementaires, car elle démontre l'engagement de l'entreprise envers les meilleures pratiques en matière de cybersécurité. »
L’erreur humaine étant l’une des principales causes d’incidents de cybersécurité, Starkey estime que les entreprises de toutes tailles devraient informer leurs employés des dernières menaces en ligne et de la manière de les gérer. Il considère cela comme une condition préalable à une « conformité efficace aux modifications de la CSA ».
L’importance des cadres structurés
Se conformer aux nouvelles réglementations, comme les modifications apportées à la CSA, peut être une tâche difficile pour de nombreuses entreprises. Il existe cependant différentes manières de simplifier ce processus, notamment grâce à des cadres et des logiciels professionnels.
L’adoption d’une norme industrielle comme ISO 27001 est une excellente option pour les entreprises Les changements apportés par la CSA leur offrent un moyen uniforme de gérer les problèmes liés à la sécurité de l'information, affirme Nick Palmer, ingénieur en solutions chez Attack Surface Management and Threat Hunt Solutions Experts chez Censys.
Il poursuit : « La certification démontre l’adhésion aux meilleures pratiques mondiales, rationalise les audits et réduit la duplication des efforts lors du respect de normes qui se chevauchent, ce qui rend la conformité réglementaire plus efficace et plus efficiente. »
Les logiciels de cybersécurité les plus récents peuvent également réduire la complexité de la conformité en offrant des paramètres préconfigurés, une automatisation et une grande évolutivité, tous conformes aux exigences réglementaires, explique Palmer. « Ils peuvent aider à centraliser la détection, la surveillance et la réponse aux menaces, éliminant ainsi la nécessité pour les entreprises de créer et de maintenir ces capacités en interne. »
Palmer affirme que les plateformes de cybersécurité peuvent également garantir la préparation aux dernières règles en fournissant des mises à jour logicielles en temps réel, des intégrations avec les normes et un support client pour aider les entreprises à s’orienter dans un paysage réglementaire et de menaces en constante évolution. Il poursuit : « De plus, comme indiqué précédemment, les fournisseurs proposant des solutions intégrant la conformité CSA bénéficieront d’un avantage considérable. »
Implications plus larges
Les modifications apportées à la CSA auront sans aucun doute de grandes répercussions sur le paysage de la cybersécurité et sur le monde des entreprises au cours des prochaines années. Sur une note positive, Arrate prédit que leur nature stricte et uniforme « élèvera le niveau de sécurité de base dans tous les secteurs ». Il explique : « Les entreprises sont désormais obligées d’intégrer la cybersécurité comme une considération essentielle, ce qui renforce à son tour l’écosystème numérique dans son ensemble. »
Ilona Cohen, directrice juridique et politique de la plateforme de divulgation des vulnérabilités et de bug bounty HackerOne, reconnaît que les certifications ont le potentiel d’améliorer les résultats des processus de cybersécurité à l’échelle du bloc.
Mais cela dépend de la qualité de leur conception, ce qui n’est pas simple, admet Cohen, car les meilleures pratiques du secteur évoluent constamment. « L’ENISA [l’Agence de l’Union européenne pour la cybersécurité] doit également veiller à l’alignement avec les nombreuses politiques de cybersécurité adoptées par l’UE ces dernières années, comme la CRA, la DORA et la NIS2 », ajoute-t-elle.
Comment les régulateurs européens peuvent-ils relever ces défis et garantir que leurs systèmes de certification sont adaptés à leurs objectifs ? Cohen les appelle à contraindre les fournisseurs de services gérés à adopter les mêmes bonnes pratiques que celles que les autres secteurs clés sont censés suivre. Elle déclare : « Cela comprend la mise en place de programmes de divulgation des vulnérabilités (VDP) robustes, la mise en œuvre de bonnes pratiques d’authentification et la garantie de la protection des données. »
Dans l’ensemble, les changements à venir de la CSA semblent être une décision judicieuse de la part de l’Union européenne, alors que ses ambitions pour un marché unique numérique se développent. Pour les fournisseurs de technologies, proposer des produits de sécurité certifiés les aidera à se démarquer de leurs concurrents.
Les utilisateurs finaux ont quant à eux une plus grande tranquillité d'esprit quant au retour sur investissement de leurs technologies informatiques. Bien entendu, certains verront ces changements comme une nouvelle couche de bureaucratie. Mais c'est là que les normes industrielles établies et les produits SaaS peuvent aider en simplifiant les processus de conformité.
