Pourquoi les régulateurs privilégient une approche convergente de la cyber-résilience

Alors que l’écosystème numérique se développe de manière exponentielle et que les cybercriminels cherchent à exploiter les failles de sécurité qui s’y trouvent, les régulateurs continuent de faire pression sur les entreprises pour qu’elles développent des stratégies globales de cyber-risque et les tiennent responsables lorsque les choses tournent mal.

Conscients de la multiplicité et de la nature mondiale des cybermenaces, les régulateurs adoptent une approche plus uniforme en matière de conformité aux cyberrisques. L'acte législatif sur la résilience opérationnelle numérique de l'Union européenne, qui impose l'adhésion de tous les États membres à un ensemble commun de règles de cybersécurité, en est un parfait exemple.

La coopération internationale en matière de cyberrésilience, notamment dans des domaines comme l'intelligence artificielle (IA), se développe également. Par exemple, en septembre 2024, le Royaume-Uni, les États-Unis et le Canada ont signé un accord de partenariat. plans annoncés collaborer à la recherche en cybersécurité et en IA.

Avec l'essor des réglementations convergentes en matière de cybersécurité, les entreprises de tous secteurs sont désormais tenues de développer, d'appliquer et d'évaluer régulièrement des contrôles et des politiques complets en matière de risques informatiques. Les experts en cybersécurité préviennent que cela ne peut plus se résumer à un simple exercice de coche.

Une approche convergente de la cyber-résilience

L'augmentation rapide des cybermenaces sophistiquées et la dépendance croissante des entreprises aux technologies numériques incitent les régulateurs mondiaux à s'aligner sur des domaines clés, tels que la protection des données, la cyber-résilience et la gestion des risques, selon Anu Kapil, chef de produit senior chez Qualys, société américaine de sécurité informatique.

Elle soutient qu'en adoptant une approche unifiée des réglementations en matière de confidentialité, de cybersécurité et d'IA, les régulateurs bénéficient d'une surveillance simplifiée et d'une responsabilisation transfrontalière renforcée. Parallèlement, les entreprises peuvent utiliser un ensemble standard de cadres pour une conformité centralisée.

Faisant écho à des réflexions similaires, Sam Peters, directeur des produits d'ISMS.online, note que les régulateurs du monde entier collaborent de plus en plus sur les réglementations cybernétiques inter-domaines en réponse à la prolifération de menaces numériques complexes, aux défis géopolitiques et aux attentes croissantes des utilisateurs en matière de responsabilité.

Ce faisant, Peters affirme que les régulateurs espèrent mettre un terme aux cloisonnements actuels dans des domaines tels que la cybersécurité, la confidentialité des données et l'IA. Ces cloisonnements compliquent la détection et l'atténuation des cybermenaces pour les organisations.

Mais en éliminant les silos susmentionnés, en favorisant des réglementations informatiques plus cohérentes et s'appuyant sur les normes de risque existantes comme ISO 27001Il estime que les régulateurs peuvent contribuer à accélérer l’innovation intersectorielle et à réduire les cyber-risques.

On n'en fait pas assez

Bien que les normes industrielles telles que NIS2, DOR et ISO 27001 soient devenues plus alignées ces derniers temps, Mark Weir, directeur régional pour le Royaume-Uni et l'Irlande chez un fournisseur de solutions de cybersécurité Logiciel Check Point, suggère qu’il reste encore du chemin à parcourir avant qu’ils ne deviennent véritablement « cohérents » et « complets » à l’échelle mondiale.

Il affirme notamment que l'absence de directives et de gouvernance formalisées en matière d'intelligence artificielle complique l'utilisation appropriée de cette technologie par les organisations. Par exemple, les artistes craignent que l'IA ne porte atteinte à leurs droits d'auteur si cette technologie n'est pas correctement réglementée.

Mais les régulateurs ne sont pas les seuls responsables. Même si des organismes sectoriels comme le Centre national de cybersécurité alertent sur le risque croissant de cybermenaces et publient des recommandations pour les contrer, Weir constate que de nombreuses organisations ne les mettent pas en pratique. Il s'inquiète particulièrement du manque de simulations et de répétitions cybernétiques dans les plans de cyberrésilience des entreprises.

Il explique à ISMS.online : « Sans planification proactive et tests réguliers, la probabilité d'une récupération réussie après une cyberattaque diminue considérablement, ce qui entraîne souvent des pannes de service, des pertes de données et une érosion de la confiance des clients. »

Ce que signifient les réglementations convergentes en matière de cybersécurité pour les entreprises

Il est clair qu'avec l'émergence de nouvelles réglementations sectorielles et la convergence des politiques existantes, les entreprises n'ont d'autre choix que de prendre leurs obligations réglementaires au sérieux. Pour Peters, cela implique de mettre en place des contrôles des risques informatiques adéquats, de les gérer rigoureusement et d'assumer la responsabilité en cas de problème.

Face à l'émergence rapide des cybermenaces et de l'IA, les entreprises ne peuvent se permettre de considérer la conformité comme une simple liste de contrôle ponctuelle. Elles doivent plutôt développer une culture d'amélioration continue pour garantir l'efficacité réelle de leurs plans de cyberrésilience.

Selon Peters, les entreprises qui considèrent la cyber-résilience comme un exercice « stratégique » et « continu » dans tous leurs services seront celles qui connaîtront le plus de succès. Il explique : « Celles qui y parviennent obtiennent un avantage concurrentiel : une entrée sur le marché plus rapide, une confiance accrue des clients et une exposition réduite aux amendes réglementaires ou à l'atteinte à la réputation. »

Kapil reconnaît qu'avec la convergence des réglementations en matière de cybersécurité, les organisations se dirigent vers l'échec en ne s'engageant pas continuellement dans la conformité. Elle encourage les entreprises à mettre en place des politiques de cybersécurité adaptables, à les surveiller régulièrement et à se préparer à répondre aux demandes d'audit impromptues des régulateurs.

Elle explique à ISMS.online : « Pour y parvenir efficacement, les entreprises peuvent automatiser la collecte de preuves, évaluer les lacunes de contrôle de manière proactive et rester en phase avec l'évolution des réglementations dans de nombreux domaines. »

Adopter une approche de cyber-résilience plus intelligente et intégrée

Lorsqu'il s'agit de répondre aux exigences réglementaires croissantes en matière de conformité cybernétique convergée et de renforcer leurs cyberdéfenses, Peters exhorte les entreprises à remplacer les approches de conformité manuelles et fragmentées par une approche plus intelligente et plus intégrée.

En pratique, explique Peters, cela signifie centraliser les risques, la conformité et la gouvernance dans un environnement unique qui peut être facilement mis à l'échelle, qui prend en compte les réglementations sectorielles existantes et émergentes et qui fournit un aperçu des risques dans différents domaines de l'entreprise.

Selon Peters, une façon d'y parvenir est de mettre en œuvre un système de gestion de la sécurité de l'information qui adhère aux exigences d'une norme industrielle reconnue telle que la norme ISO 27001. Il explique que ces normes ne sont pas seulement établies intentionnellement, mais sont également conçues pour faciliter la conformité cybernétique transfrontalière de manière structurée et adaptable.

« En adoptant la norme ISO 27001 comme base, les entreprises bénéficient d'un moyen systématique d'identifier, d'évaluer et d'atténuer les risques et, surtout, sa structure prend en charge l'inclusion de cadres supplémentaires, que ce soit pour la confidentialité, l'éthique de l'IA, la résilience ou les mandats sectoriels spécifiques », explique Peters.

Il ajoute qu'après avoir adopté une plateforme SMSI, les entreprises peuvent intégrer les recommandations d'autres référentiels, tels que la norme ISO 22301 pour la continuité d'activité et la norme ISO 42001 pour l'IA, à leurs différentes démarches de conformité. Il ajoute : « Cela simplifie la gestion et facilite la démonstration de la conformité à plusieurs normes et régions. »

À l'instar de Peters, Kapil met en garde les entreprises contre la gestion séparée des différentes réglementations informatiques et cybernétiques, car cela engendre des silos « inefficaces et risqués ». Elle privilégie une approche centralisée où les entreprises élaborent des politiques transversales alignées sur des référentiels tels que le NIST, l'ISO et le RGPD.

Compte tenu de l'évolution constante des obligations réglementaires, elle souligne l'importance d'une surveillance continue des politiques, une tâche qui peut être simplifiée grâce à des outils d'automatisation. Elle ajoute : « Grâce à une approche intégrée d'audit des politiques, ils peuvent réduire le travail manuel, améliorer la précision et harmoniser les efforts de gestion des risques et de conformité sur une seule plateforme. »

L'avenir de la réglementation cybernétique

À l'avenir, Kapil s'attend à ce que la réglementation du secteur devienne encore plus stricte face à l'expansion rapide et à la férocité croissante des cybermenaces. Elle estime que les entreprises seront de plus en plus contraintes de démontrer qu'elles luttent en permanence et en temps réel contre ces risques grâce à une stratégie intégrée de cyberrisque. En agissant dès maintenant, elles deviendront plus agiles, mieux préparées aux audits et mieux protégées contre les risques réglementaires et cybernétiques, ajoute-t-elle.

Alan Jones, PDG et cofondateur du fournisseur de communications sécurisées YEO Messaging, convient que l'avenir de la conformité aux cyberrisques sera plus intégré. Il s'attend à ce que davantage d'entreprises adoptent cette tendance en authentifiant les utilisateurs en temps réel et en mettant en œuvre des architectures Zero Trust.

Alors que de plus en plus d'organisations développent, mettent en œuvre et utilisent des systèmes d'IA, Satish Swargam, consultant principal pour DevSecOps et le développement sécurisé au sein d'une société de sécurité des applications Black Duck , prédit que les futures réglementations en matière de cybersécurité et les politiques de conformité seront conçues autour de cette technologie.

Les réglementations sectorielles viseront non seulement à atténuer les menaces posées par les modèles d'IA, mais ces derniers pourraient également simplifier la conformité en matière de cybersécurité. D'ailleurs, Swargam affirme que l'IA a le pouvoir de « gérer les risques de sécurité dans le contexte approprié ».

Les entreprises bénéficient grandement des technologies émergentes comme l'IA ; cependant, elles sont également confrontées à des risques éthiques et de cybersécurité importants, de plus en plus importants et sophistiqués. De ce fait, les entreprises doivent évaluer ces risques en conséquence afin de protéger leurs employés, leurs clients et, bien sûr, leur réputation. Et cela ne peut que satisfaire les régulateurs.