Les 10 plus grands moments de conformité de 2023 : notre sélection d’une année marquante

Par Phil Muncaster • 13 December 2023

Les professionnels britanniques de la cybersécurité et de la conformité ont été occupés au cours des 12 derniers mois. Des réglementations industrielles tant attendues aux nouveaux accords de partage de données et aux propositions législatives révolutionnaires, 2023 a été une année remarquable sur de nombreux fronts. Il y aura beaucoup de choses à intégrer dans les programmes de conformité au cours des 12 prochains mois. Voici donc notre sélection des dix nouvelles règles, réglementations et lois les plus importantes à prendre en compte :

1.NIS 2 et son équivalent britannique

Une deuxième version de la directive européenne sur la sécurité des réseaux et de l'information (NIS) est entrée en vigueur en janvier 2023 et les États membres ont jusqu'au 17 octobre 2024 pour la transposer dans leur droit local. Elle vise à élargir le champ d'application de la directive aux moyennes et grandes entreprises dans des secteurs supplémentaires tels que les télécommunications, les médias sociaux, les eaux usées et l'alimentation. Il y aura également des amendes plus lourdes, des exigences de base minimales et une concentration plus importante sur la réponse aux incidents, la responsabilité des dirigeants et la sécurité de la chaîne d'approvisionnement. Tous les « opérateurs de services essentiels » (OES) britanniques opérant dans l’UE devront s’y conformer. Et en attendant, le Royaume-Uni prépare sa propre mise à jour du régime, a expliqué ici.

Consultez ce guide de conformité NIS 2.

2.La loi sur la résilience opérationnelle numérique (DORA)

Les entreprises du secteur financier et leurs partenaires technologiques TIC opérant en Europe auront jusqu'au 17 janvier 2025 pour se conformer à cette nouvelle loi européenne. Avec le feu vert, en janvier 2023, DORA obligera les entreprises conformes à combler les lacunes de leur résilience opérationnelle face aux cybermenaces croissantes. Il couvre la gestion des risques, le reporting des incidents, les tests de résilience standardisés, le partage de renseignements et la gestion des risques liés aux tiers. Les organisations qui ont déjà obtenu la certification ISO 27001 – ou qui suivent ses principes directeurs de gestion proactive des risques et d’amélioration continue de la résilience opérationnelle – seront bien placées pour s’y conformer.

Consultez cette liste de contrôle de conformité DORA en 15 points.

3.Projet de loi Informatique et Libertés (DPDI)

Salué comme la tentative du Royaume-Uni de produire sa propre version post-Brexit du GDPR, le projet de loi DPDI vise à rendre la loi sur la protection des données plus conviviale pour les entreprises sans affecter le statut d'adéquation du Royaume-Uni. Parmi les principaux changements, citons le fait que seules les organisations engagées dans le traitement de données « à haut risque » doivent tenir des registres, ce qui pourrait réduire la paperasse. Des précisions sont également apportées sur les cas dans lesquels les organisations peuvent traiter des données sans exiger le consentement. Il existe toutefois des inquiétudes pour les entreprises britanniques ayant des activités dans l’UE. Ils devront soit conserver leur cadre de conformité RGPD tel quel et ne pas pouvoir profiter des avantages déclarés du DPDI, soit gérer deux cadres parallèles, ce qui entraînera davantage de travail. Conseillers spécialisés peut vous aider en centralisant ces efforts via un portail unique.

4.Nouvelles règles SEC

La Securities and Exchange Commission (SEC) a introduit nouvelles exigences en matière de divulgation de sécurité en 2023, ce qui aura également un impact sur les entreprises britanniques. Plus précisément, toute entreprise britannique qui fournit des services (notamment liés aux données) à des sociétés américaines cotées peut s’attendre à un examen plus minutieux de la part de ces organisations. Les entreprises américaines devront divulguer dans un délai de quatre jours tout cyberincident survenu chez un fournisseur de services ayant « un impact matériel » sur leur activité. La barre sera donc beaucoup plus élevée en matière de divulgation et de planification des réponses aux incidents et de réponse à la diligence raisonnable continue de la part des partenaires américains. Une conformité ISMS et ISO 27001 ou SOC 2 pourrait aider les entreprises à fournir ces assurances à leurs partenaires américains.

5. Cadre de confidentialité des données UE-États-Unis (DPF)

Ce cadre a été approuvé par la Commission européenne en juillet 2023, garantissant essentiellement une décision d’adéquation permettant aux données de circuler sans entrave du bloc vers les États-Unis. Pour devenir certifié et démontrer une conformité continue, les organisations américaines doivent intégrer des processus spécifiques de protection des données dans leur activité, notamment la limitation des finalités, la minimisation des données, la conservation et le partage des données.

6. Accord de pont de données entre le Royaume-Uni et les États-Unis

Annoncé en septembre, il s'agit d'une extension du DPF UE-États-Unis visant à éliminer les clauses contractuelles coûteuses pour les entreprises britanniques transférant des données personnelles à des prestataires de services américains et à minimiser les autres obstacles au flux de données entre les deux pays. Les entreprises britanniques pourront désormais se conformer aux règles relatives aux transferts internationaux de données sans exiger une évaluation supplémentaire des risques de la part de leurs partenaires américains. Le nouveau pont de données fonctionnera de manière presque identique au DPF UE-États-Unis et sera disponibles à partir du 12 octobre 2023.

7.Loi sur la cyber-résilience (ARC)

L'ARC de l'UE est encore en cours de finalisation au moment de la rédaction de cet article. Mais son objectif principal est de protéger les consommateurs et les entreprises en : imposant un ensemble strict d’exigences en matière de cybersécurité « régissant la planification, la conception, le développement et la maintenance » des produits technologiques ; et en fournissant un nouveau marquage CE pour les cerfs-volants pour renforcer la transparence. Les fabricants, importateurs et distributeurs de produits comportant une « composante numérique » considérée comme à haut risque devront probablement se soumettre à des évaluations de conformité par des tiers par rapport aux nouvelles exigences de sécurité. Le fardeau pourrait être plus lourd pour les petites entreprises, même si les experts prétendent les organisations qui se conforment déjà au RGPD avec des contrôles, des politiques et des procédures de sécurité robustes devraient pouvoir se conformer avec un ajustement limité.

8.Loi de l’UE sur l’IA

Actuellement en cours de finalisation, la législation cherchera à réduire les dommages sociétaux résultant de l’IA. Il adoptera une approche basée sur les risques, en classant les modèles d’IA selon les risques « inacceptables », « élevés », « limités » et « minimes ». Les personnes jugées à haut risque devront répondre à des critères stricts tels que des systèmes d’évaluation et d’atténuation des risques, la journalisation des activités, une documentation détaillée, une surveillance humaine appropriée et des niveaux élevés de robustesse et de sécurité afin de se conformer. Le modèle sera ensuite enregistré dans la base de données de l'UE et recevra un marquage CE. Les organisations britanniques vendant dans l’UE seront confrontées à deux cadres de conformité distincts ou à se conformer à la législation de l’UE. Les organisations peuvent commencer le travail dès maintenant en adaptant les processus d’évaluation d’impact sur la protection des données en vue du nouveau régime.

9.NIST Cadre de cybersécurité 2.0

Le CSF 2.0 est la première mise à jour significative de ce cadre de bonnes pratiques depuis sa création en 2014. Il introduira un nouveau pilier « Gouverner » ;

Contexte organisationnel
Stratégie de gestion des risques
Gestion des risques de la chaîne d'approvisionnement
Rôles, responsabilités et pouvoirs
Politiques, processus et procédures ; et la surveillance.

Et il y aura d'autres exemples de mise en œuvre pour aider les organisations à mettre la théorie du CSF en pratique. Les experts croient un système de gestion de la sécurité de l'information (ISMS) pourrait aider en décrivant des exemples d'utilisation de l'outil de référence CSF 2.0 et en donnant une compréhension de ce à quoi ressemblent les mises en œuvre dans le monde réel.

10. PCI DSS 4.0

Bien que la norme PCI DSS 4.0 ait été approuvée en mars 2022, elle a été un sujet de discussion régulier cette année alors que le compte à rebours de deux ans jusqu'à la date limite de mise en œuvre, le 31 mars 2025, a commencé. Alors que les versions antérieures du cadre étaient prescriptives – c'est-à-dire, déploiement de pare-feu et contrôles antivirus appliqués – PCI DSS 4.0 vise à promouvoir la sécurité en tant que processus continu. Parmi les changements figurent l'exigence d'un anti-malware plutôt qu'un antivirus et le déploiement d'une authentification multifacteur pour accéder à l'environnement des données des titulaires de carte. Il existe également des exigences visant à atténuer les risques d'écrémage numérique et à contribuer à minimiser les risques liés à la chaîne d'approvisionnement en maintenant un inventaire de logiciels, y compris les bibliothèques et les composants. Comme toujours, les entreprises traitant de gros volumes de cartes devront entreprendre un audit externe.

Consultez notre guide pour atteindre la conformité PCI-DSS V4 aux côtés de la norme ISO 27001.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster