Une année de conformité : cinq leçons tirées de 2023

Par Phil Muncaster • 6 December 2023

Les responsables de la sécurité et de la conformité ont terminé l’année 2023 comme ils l’avaient commencée, submergés par le volume et la complexité des nouvelles règles et réglementations. Certains ne s'appliqueront qu'à des types spécifiques d'organisations. D’autres peuvent être difficiles à éviter. Mais tout cela donne une image macro d’une augmentation du travail, en particulier pour les entreprises britanniques ayant des opérations et/ou des partenaires en Europe et aux États-Unis.

Alors, quels sont les cinq points à retenir qu’il pourrait être utile de garder à l’esprit pour ce qui sera probablement une autre année chargée à venir ? Voici nos principales leçons tirées de 2023 :

1. Les entreprises britanniques pourraient ne pas percevoir de « dividendes du Brexit »

Dans plusieurs cas cette année, de nouvelles lois britanniques ont émergé qui promettent d'éliminer une partie de la « bureaucratie », qui, selon les partisans du Brexit, était l'une des principales raisons de la sortie du bloc. L'un est le Projet de loi sur la protection des données et l'information numérique (DPDI), qui, selon le gouvernement, contribuera à économiser des milliards aux entreprises britanniques. Cette version britannique du GDPR comprend diverses clarifications et exclusions qui pourraient rendre la loi plus favorable aux entreprises, par exemple en garantissant que seules les organisations engagées dans le traitement de données « à haut risque » doivent tenir des registres. Cependant, les entreprises britanniques ayant des activités dans l’UE devront soit s’en tenir à leur cadre de conformité RGPD existant – ce que le gouvernement autorisera – et ne par conséquent pas profiter de ces avantages, soit assumer le fardeau de gérer deux régimes de conformité côte à côte.

La deuxième Règlement sur les réseaux et les systèmes d'information (NIS 2) mettra certaines entreprises dans un dilemme similaire, étant donné Le Royaume-Uni diverge du régime l’année prochaine. Le fait que les États membres doivent mettre en œuvre la première d'ici le 17 octobre 2024, alors que les projets législatifs du Royaume-Uni restent flous, pourrait entraîner une augmentation des coûts pour les équipes de conformité.

Ces cas nous rappellent la nécessité de nous associer à des spécialistes de la conformité capables de centraliser et de rationaliser des activités disparates pour des équipes sous pression.

2. La conformité ISO 27001 est une excellente base pour les entreprises

Nous avons vu de nouvelles propositions de réglementation et de législation à un rythme vertigineux tout au long de l'année. Mais la bonne nouvelle est qu’avec un solide cadre de bonnes pratiques en matière de sécurité, les organisations auront déjà fait le gros du travail pour bon nombre de ces nouvelles règles. C'est certainement vrai pour l'UE Loi sur la résilience opérationnelle numérique (DORA), Directive NIS 2 ou Loi sur la cyber-résilience (CRA), qui s’appliquent respectivement aux entreprises de services financiers, aux opérateurs de services essentiels et aux fabricants de produits comportant des composants numériques. Cela contribuera également au DPDI du Royaume-Uni, qui devrait remplacer le RGPD. Et comme ISMS.online l'a rapporté tout au long de l'année, les cadres de bonnes pratiques peuvent aider à atténuer le risque de deepfakes, menaces sur la chaîne d'approvisionnement et plus.

Un récent rapport de Gartner affirmait que ISO 27001 ou NIST (Institut national des normes et de la technologie) offrir la rigueur de gouvernance, les processus et la structure nécessaires pour assurer le succès de la sécurité de l'information et de la gestion des risques, quels que soient la taille, le secteur vertical ou les compétences en matière de sécurité/gestion des risques. Pourtant, il a également trouvé que 41 % des clients n'avaient pas encore choisi de cadre ou avaient développé leur propre approche ad hoc, ce qui pourrait entraîner des lacunes en matière de contrôle, un gaspillage de ressources et une surcharge des équipes de sécurité.

3. Ce qui se passe à l’étranger compte chez nous

Les équipes de sécurité et de conformité ne peuvent pas vivre dans le vide, surtout si leur organisation a des opérations à l'étranger ou des partenariats avec des entités étrangères. Aux États-Unis, les nouvelles règles de la SEC sur la divulgation des violations/incidents affecteront les fournisseurs de services, où qu'ils soient basés. Cela exigera des entreprises britanniques dans cette situation qu’elles améliorent potentiellement leur niveau de réponse aux incidents et d’autres éléments de sécurité. Ensuite, il y a DORA, NIS 2, l'ARC et le Loi de l'UE sur l'IA, ce qui aura tous un impact sur les organisations vendant dans le bloc.

Certaines règles doivent encore être finalisées, mais les entreprises qui espèrent obtenir un avantage sur ces marchés voudront être bien informées, adéquatement préparées et s'associer à des spécialistes qui peuvent contribuer à faire de la conformité un catalyseur plutôt qu'un obstacle.

4. Il y en a encore beaucoup dans l'air

Les équipes de conformité ont soif de certitude. Mais la création et l’adoption de nouvelles lois et réglementations peuvent s’avérer un processus long et compliqué. Ainsi, fin 2023, nous n’avons toujours pas de date confirmée à laquelle les mises à jour DPDI ou UKI NIS pourraient devenir loi. Et certaines parties de certaines lois européennes proposées se sont révélées très controversées, ce qui pourrait retarder leur adoption. La loi européenne sur l’IA a récemment connu des difficultés lorsque les militants mis en avant une nouvelle faille dangereuse qui a été introduite après l'adoption de la législation au parlement. Cela permettrait effectivement aux développeurs de décider eux-mêmes si leur modèle d’IA présente ou non un « risque élevé ». Dans le même temps, l’ARC a également été confrontée à des réticences importantes concernant son traitement des développeurs open source et son impact potentiellement négatif sur la divulgation des vulnérabilités.

Au Royaume-Uni, mises à jour proposées à la Loi sur les pouvoirs d'enquête (IPA) ont également été fortement critiqués pour avoir porté atteinte à l’économie numérique et potentiellement contraint les fournisseurs de technologies à quitter le pays. Tout cela signifie qu’il reste encore beaucoup de choses à décider. Mais les équipes de conformité intelligentes examineront ce qui ne risque pas de changer dans la législation à venir et détermineront ce qu'elles peuvent accomplir à l'avance.

5. Il y a beaucoup plus à venir l'année prochaine

L’année 2023 a peut-être été chargée, mais aucun ralentissement n’est en vue pour les professionnels de la sécurité et de la conformité l’année prochaine. En effet, le compte à rebours se poursuit jusqu'à la mise en œuvre de plusieurs nouvelles réglementations importantes, tandis que les détails d'autres doivent être finalisés par les autorités compétentes. Ainsi, nous verrons les organisations continuer à mettre de l’ordre dans leurs affaires pour la norme PCI DSS 4.0 lors de son lancement officiel en mars 2025, ainsi que pour la norme NIS 2 (le 17 octobre 2024). Les lois CRA, DORA, DPDI et EU AI Act devraient toutes être finalisées l'année prochaine, ainsi que les mises à jour du NIS du Royaume-Uni. En outre, au Royaume-Uni, avril 2024 sera la date limite de mise en conformité pour la loi PSTI (Product Security and Telecoms Infrastructure Act), qui fabricants d'impact de produits intelligents (IoT).

Alors que la nouvelle année commence sérieusement, les organisations doivent chercher, dans la mesure du possible, à éliminer les inefficacités et les silos, à intégrer plus pleinement la conformité dans les opérations et à s'armer de l'ensemble d'outils automatisés approprié pour réduire la charge des équipes.

Libérez votre avantage en matière de conformité en 2024

Si vous souhaitez commencer votre voyage vers une meilleure conformité, nous pouvons vous aider.

Notre solution ISMS permet une approche simple, sécurisée et durable de la conformité et de la gestion de l'information avec ISO 27001, SOC 2, NIST et plus de 100 autres cadres. Réalisez votre avantage concurrentiel dès aujourd’hui.

Parlez à un expert

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster