
Une année de conformité : cinq tendances clés pour 2024
Table des matières:
- 1) L'Australie prend enfin au sérieux la cybersécurité
- 2) Les menaces contre l'IA se multiplient à mesure que de nouvelles règles entrent en vigueur
- 3) Les fabricants d'IoT font l'objet d'une surveillance intense
- 4) Une nouvelle législation sur la cybersécurité est en préparation au Royaume-Uni
- 5) Les fournisseurs d’infrastructures essentielles ont de quoi s’occuper
- 6) Un coup de main
Ce fut une nouvelle année pleine d'incidents pour les équipes de sécurité et de conformité. attaques de ransomware, chaîne d'approvisionnement et open source menaces, voleurs d'infos, pannes informatiques mondiales, et bien plus encore, beaucoup ont eu du mal à garder la tête hors de l'eau. Alors que l'innovation technologique, en particulier dans le domaine de l'intelligence artificielle (IA), s'accélérait à un rythme soutenu, les régulateurs ont également connu une année chargée. Cependant, à mesure que les mandats législatifs s'accumulaient, certaines mesures de sécurité ont été mises en place. les pros ont admis que de nombreuses nouvelles règles sont trop difficiles à comprendre et trop longues à mettre en œuvre.
Il s’agit d’une tendance inquiétante qui devrait perdurer en raison de la pénurie de compétences. Mais il y a de la lumière au bout du tunnel, si les équipes de sécurité parviennent à optimiser leurs efforts de conformité grâce à des normes de bonnes pratiques telles que la norme ISO 27001. Dans cette optique, voici les cinq enseignements que nous avons tirés de 2024.
L'Australie prend enfin au sérieux la cybersécurité
L'Australie a attendu longtemps avant de se doter de sa première législation autonome en matière de cybersécurité. La loi sur la cybersécurité, qui est encore en cours d'examen au Parlement au moment de la rédaction de cet article, est une nouvelle loi ambitieuse qui promet de mettre en œuvre sept initiatives clés décrites dans le nouveau projet de loi du gouvernement albanais. Stratégie de cybersécuritéElle imposera notamment la déclaration des paiements de rançongiciels et de nouvelles normes pour les gadgets intelligents, et encouragera le partage d’informations avec les autorités.
Les experts disent Les entreprises australiennes peuvent anticiper les nouvelles exigences probables en examinant leurs pratiques de sécurité actuelles, en déterminant les lacunes ou les domaines à améliorer et en adoptant une mentalité de sécurité dès la conception. Il est certain que quelque chose doit changer en Australie. Il y a eu 483 notifications de violation de données au cours du second semestre 2023, soit une augmentation de 19 % par rapport au premier semestre de l'année, la plupart (67 %) étant causées par des attaques malveillantes.
Les menaces contre l'IA se multiplient à mesure que de nouvelles règles entrent en vigueur
L'une des statistiques phares de l'ISMS.online Rapport sur l’état de la sécurité de l’information 2024 30 % des personnes interrogées ont subi des attaques impliquant des deepfakes. Ce chiffre se place juste derrière l’ingénierie sociale et les infections par des logiciels malveillants, et témoigne de l’accélération étonnante de l’innovation technologique au cours de l’année écoulée. Comme toujours, les régulateurs se sont empressés de rattraper ce retard et d’autres menaces liées à l’IA pour les entreprises, les consommateurs et la société.
Sans surprise, l’UE prend les devants en matière de réglementation avec son Loi sur l'IA, qui aura un impact sur les entreprises britanniques souhaitant vendre sur le marché unique. Il emploie une approche basée sur les risques qui classe les systèmes d'IA en quatre catégories en fonction de leur dangerosité potentielle. Ceux de la catégorie à haut risque nécessiteront le plus de travail, exigeant que les organisations effectuent des évaluations approfondies des risques, mettent en œuvre des mécanismes de surveillance humaine et garantir que les systèmes d’IA sont sûrs, fiables et transparents. Ailleurs, la Convention-cadre du Conseil de l'Europe sur l'intelligence artificielle est une approche à large assise, Convention au niveau de l'État-nation Conçu pour combler les lacunes juridiques découlant des avancées technologiques rapides de l’IA. Il reste à voir si cela aura l’impact souhaité.
Les États-Unis adoptent une approche moins interventionniste en matière de réglementation, ce qui devrait se poursuivre avec une nouvelle administration Trump. Mais ce vide réglementaire est en cours de remplissage au niveau de l'ÉtatLes organisations devraient se référer à la norme ISO 42001 pour un guide utile sur l'utilisation de l'IA en toute sécurité. De nouveaux documents d'orientation du NIST (sur les menaces adverses) et le NCSC (pour le développement de l'IA) devrait également aider.
Les fabricants d'IoT font l'objet d'une surveillance intense
Les systèmes Internet des objets (IoT) font leur chemin dans tous les domaines, des bracelets de fitness aux usines intelligentes. Mais ils représentent également un risque de sécurité potentiellement important, car les fabricants n'avaient jusqu'à présent aucune réglementation formelle pour imposer des normes minimales de bonnes pratiques. Cela a maintenant changé, avec de nouvelles lois au niveau du Royaume-Uni et de l'UE. Le Royaume-Uni a été le premier à réagir avec son Loi sur la sécurité des produits et des infrastructures de télécommunications (PSTI). Elle impose des mots de passe uniques et forts pour chaque appareil, ainsi que des programmes de divulgation des vulnérabilités et de mise à jour de sécurité du fabricant, qui doivent être exécutés pendant une certaine durée.
Bien que modeste, cela devrait contribuer à améliorer les normes de sécurité de l'IoT dans l'espace grand public et pourrait être amélioré au fil du temps. Loi sur la cyber-résilience (CRA) Le PSTI est beaucoup plus ambitieux et sera exigé de tous les fabricants ou détaillants souhaitant vendre des produits IoT grand public sur le continent. Il a une portée plus large et impose une liste plus longue d'exigences de sécurité. Les entreprises britanniques qui ont un œil sur l'Europe devraient satisfaire aux exigences du PSTI en se concentrant sur le CRA.
Une nouvelle législation sur la cybersécurité est en préparation au Royaume-Uni
Au Royaume-Uni, le nouveau gouvernement travailliste n'a pas perdu de temps cette année pour annoncer de nouvelles lois liées à la cybersécurité destinées à renforcer la résilience du pays face aux menaces en constante évolution. La principale d'entre elles est la Projet de loi sur la cybersécurité et la résilience, qui mettra à jour la réglementation NIS. Plus précisément, elle augmentera la portée du régime NIS actuel « pour protéger davantage de services numériques et de chaînes d'approvisionnement », introduira la déclaration obligatoire des ransomwares et accordera davantage de pouvoirs aux régulateurs – bien que la manière exacte dont elle sera mise en œuvre ne soit pas claire. Le gouvernement a également annoncé un projet de loi sur les informations numériques et les données intelligentes, qui est essentiellement une nouvelle version du projet de loi sur la protection des données et les informations numériques, destiné à mettre à jour le régime RGPD du Royaume-Uni. Les équipes de conformité suivront de près toute nouvelle information sur les lois proposées l'année prochaine.
Les derniers mois de l'administration précédente ont également laissé de nombreuses pistes aux entreprises britanniques, notamment un projet Nouveau code de pratique pour la cyber-gouvernance et nouveaux règlements conçu pour améliorer la sécurité des centres de données.
Les fournisseurs d’infrastructures essentielles ont de quoi s’occuper
Dans l'UE, deux nouvelles lois imposent des exigences strictes aux fournisseurs d'infrastructures critiques. L'échéance tant attendue pour Mise en œuvre de NIS 2 Elle a été adoptée en octobre. Elle va étendre le champ d'application de la directive à un grand nombre d'organisations européennes supplémentaires, imposer un nouvel ensemble d'exigences de sécurité de base et imposer un nouveau niveau de responsabilité en cas d'incident à la direction. Une fois encore, les entreprises britanniques qui commercent avec l'Europe devront se conformer, et ils peuvent utiliser au mieux mettre en œuvre des normes de pratique telles que la norme ISO 27001 pour les aider à y parvenir.
Entre-temps, la loi sur la résilience opérationnelle numérique (DORA) entrera en vigueur au début de la nouvelle année : le 17 janvier 2025. Elle impose également un nouvel ensemble de règles strictes, cette fois pour les sociétés de services financiers et leurs fournisseurs informatiques. La norme ISO 27001 peut vous aider en établissant les processus fondamentaux nécessaires pour se conformer aux exigences dans des domaines tels que la réponse aux incidents, la gestion des risques, la gestion des risques de la chaîne d'approvisionnement et les tests de résilience.
Un coup de main
Alors que les surfaces d’attaque des entreprises s’élargissent, que les acteurs malveillants continuent de se multiplier et que les régulateurs deviennent plus exigeants, les équipes de sécurité et de conformité risquent d’être submergées par la charge de travail. Cela semble avoir un impact inquiétant. La moitié (50 %) des entreprises britanniques déclarent avoir subi une forme quelconque de violation de sécurité ou d’attaque au cours des 12 derniers mois, ce qui représente 70 % des moyennes entreprises et 74 % des grandes entreprises. Ces chiffres représentent une augmentation considérable par rapport aux chiffres respectifs de 32 %, 59 % et 69 % en 2023.
Les normes et cadres de bonnes pratiques ne sont pas une panacée. Cependant, ils peuvent faire une grande partie du travail, car bon nombre des exigences de la législation citée ci-dessus partagent les mêmes objectifs sous-jacents. La clé est de trouver un fournisseur capable d’accélérer et de simplifier ce fardeau de conformité dans un contexte de déficits de compétences persistants. Heureusement, ces outils existent.