La conformité réglementaire est une priorité croissante pour les équipes de cybersécurité, car elles sont confrontées à des risques de cybersécurité croissants, utilisent davantage la technologie et ont du mal à s'adapter à un paysage législatif en évolution rapide. Le non-respect des réglementations inscrites dans des lois telles que la loi britannique sur la protection des données de 2018 et la loi européenne sur l'IA pourrait entraîner des amendes importantes. Mais avec des équipes de cybersécurité déjà surchargées et sous la pression de la haute direction, cela est loin d'être simple.
C’est là que les normes industrielles peuvent jouer un rôle considérable en contribuant à rationaliser la conformité réglementaire.
La conformité n'est pas facile
La conformité est un défi croissant pour de nombreux professionnels de la cybersécurité. Dans un enquête récente sur 200 décideurs technologiques menés par Infosecurity Europe, près de la moitié (44 %) admettent avoir du mal à se conformer à la législation sur la cybersécurité parce qu'elle est trop difficile à comprendre et trop longue à mettre en œuvre.
Il révèle que, parmi les 12 réglementations existantes et émergentes en matière de cybersécurité, la loi américaine Sarbanes-Oxley (SOX) est parmi les plus compliquées à mettre en œuvre. En fait, 41 % des personnes interrogées l'ont décrit comme « très complexe ». Parallèlement, 75 % des professionnels de la cybersécurité estiment que la loi britannique sur la protection des données, la loi européenne sur la cybersécurité et le NIS/NIS2 sont « quelque peu complexes » à respecter.
Ailleurs dans cette étude, 24 % des personnes interrogées déclarent que la loi européenne sur la cybersécurité et le kit d'outils de sécurité et de protection des données (DSPT) sont les réglementations les plus pertinentes pour leur organisation, suivis par la loi britannique sur la protection des données (22 %). Il est alarmant de constater que seulement 50 % des organisations se conforment pleinement à la loi SOX et à la loi européenne sur la cybersécurité, illustrant les défis auxquels sont confrontées les équipes de cybersécurité et de conformité dans un paysage réglementaire en évolution rapide.
Ces problèmes sont également mis en évidence dans le rapport ISMS.online L’état de la sécurité de l’information 2024 qui classe le respect des réglementations et des normes comme le deuxième plus grand défi auquel sont confrontées les équipes de cybersécurité (33 %). Autre conclusion clé du rapport, près de la moitié (46 %) des personnes interrogées déclarent que la conformité à la norme ISO 27001 peut durer de six à 12 mois. 11 % supplémentaires auraient besoin de 12 à 18 mois pour atteindre cet objectif, soit plus d'un an et demi pour 5 % des répondants.
Le fardeau augmente
L'une des principales raisons pour lesquelles les équipes de cybersécurité ont tant de mal à se conformer est l'ampleur et la complexité croissantes des réglementations du secteur, selon Richard Breavington, associé du cabinet d'avocats RPC.
« L'ampleur de la législation qui pourrait affecter les organisations, associée au fait qu'elles évoluent et sont mises à jour rapidement, signifie qu'il peut être difficile d'assurer leur conformité », a-t-il déclaré à ISMS.online. « De plus, ces réglementations exigent des normes techniques et organisationnelles différentes qui ne sont pas nécessairement uniformes. »
Steven Wood, directeur du conseil en solutions chez la société de sécurité informatique OpenText Cybersecurity, attribue ce problème de conformité en partie à l'utilisation non autorisée de technologies grand public, aux fusions inattendues, au sous-investissement et à la pression constante pour garder une longueur d'avance sur la concurrence.
« Alors que le paysage des menaces continue d'évoluer, les équipes de sécurité sont confrontées au défi de sécuriser les environnements informatiques dynamiques tout en respectant des exigences de conformité strictes », explique-t-il à ISMS.online. « De plus, l’évolution des menaces telles que le phishing, les exploits de la chaîne d’approvisionnement, les menaces internes et les vulnérabilités Zero Day nécessitent une approche multidimensionnelle de la cybersécurité. »
Sean Wright, responsable de la sécurité des applications chez Featurespace, suggère que le manque croissant de compétences en matière de cybersécurité – un défi majeur identifié par 31 % des personnes interrogées dans l'étude ISMS.online – signifie que de nombreuses organisations n'ont tout simplement pas les ressources nécessaires pour se conformer aux réglementations nouvelles et émergentes. .
Il explique à ISMS.online que la conformité est rarement un exercice « ponctuel » pour les entreprises – nécessitant plutôt l’attention continue des équipes de cybersécurité. Il ajoute que les modifications constantes des lois existantes – parallèlement à l’introduction de nouvelles réglementations – augmentent le fardeau et la charge de travail des équipes de cybersécurité surchargées, ce qui leur permet de manquer ou d’oublier des détails clés.
Simplification de la conformité
Breavington du RPC estime que les organisations pourraient rationaliser le processus en déléguant la création et la mise en œuvre d'un « plan de conformité significatif » à une équipe dédiée de professionnels spécialement formés.
Ces experts prendraient l'initiative d'identifier les réglementations pertinentes, de comprendre les principales exigences juridiques et de garantir que leur organisation est pleinement conforme, dit-il.
« Dans la mesure du possible, il vaut la peine d’essayer de trouver des normes techniques cohérentes qui permettront une conformité à tous les niveaux, même si cela signifie potentiellement aller au-delà de ce qui est nécessaire pour certaines réglementations », affirme-t-il.
Éduquer les employés sur les dernières tendances en matière de sécurité de l'information, d'ingénierie sociale et de conformité peut également aider les organisations à mieux se conformer aux réglementations en matière de cybersécurité et à protéger leur réputation, affirme Wood d'OpenText Cybersecurity.
« Des programmes complets de formation des employés sont essentiels pour empêcher que les vulnérabilités humaines ne soient exploitées », dit-il.
Wright de Featurespace exhorte les équipes de cybersécurité à mettre en œuvre des processus « robustes » et « reproductibles » pour remplir les obligations réglementaires en cours. Il les encourage également à automatiser les « éléments reproductibles » afin que ces engagements ne drainent pas des ressources cruciales en matière de cybersécurité.
Les entreprises peuvent accroître l'efficacité de leurs programmes de conformité en matière de cybersécurité en s'assurant que chaque membre de l'équipe comprend l'importance de ces réglementations, poursuit-il. Cela garantira que la conformité « ne deviendra pas seulement un effort de l'équipe de sécurité mais un effort à l'échelle de l'entreprise ».
L'importance de la norme ISO 27001
En mettant en œuvre une norme industrielle mondialement reconnue telle que la norme ISO 27007, les organisations peuvent développer les meilleures pratiques nécessaires pour améliorer leur posture de cybersécurité et, à terme, satisfaire aux exigences des régulateurs.
Breavington du RPC explique que ces accréditations sont simples à mettre à jour et démontreront l'engagement continu d'une organisation en matière de conformité réglementaire. Il suggère qu'il s'agit d'une approche plus efficace que de « suivre les exigences juridiques et réglementaires multiples et potentiellement moins spécifiques ».
Wright voit également l'intérêt de suivre la norme ISO 27007, estimant que cela permettra aux organisations d'améliorer la confiance des clients dans leur approche en matière de cybersécurité et de conformité. Il ajoute que des solutions techniques telles qu'un système de gestion de la sécurité de l'information (ISMS) leur permettraient de rationaliser et de répondre à certaines exigences de conformité – et, ce faisant, de « libérer des ressources » au sein d'équipes de cybersécurité épuisées et surmenées.
Compte tenu des répercussions potentielles sur la situation financière et sur la réputation, le non-respect des réglementations du secteur n'est pas une option. Mais avec l’aide de programmes de sensibilisation des utilisateurs, des meilleures pratiques du secteur et des derniers outils automatisés de cybersécurité, il existe au moins un moyen pour les organisations de réduire ce fardeau.
