Ce que vous devez savoir sur la nouvelle loi australienne sur la cybersécurité

Le monde numérique est devenu un endroit de plus en plus dangereux pour les entreprises australiennes. Une série de violations de données et d’attaques de ransomware très médiatisées au cours des dernières années a érodé la confiance des clients dans les services en ligne, sans parler des finances et de la réputation des entreprises.

Même si la plupart de ces attaques sont motivées par des raisons financières, un nouveau rapport de Microsoft montre que la frontière entre cybercriminalité et menaces étatiques s’estompe. Cela signifie que de tels incidents sont de plus en plus traités comme une question de sécurité nationale.

Tout cela explique la position proactive adoptée par l'administration albanaise. Tout d'abord, il y a eu Stratégie australienne de cybersécurité 2023-2030, L’Australie a défini une feuille de route pour devenir un « leader mondial » dans ce domaine d’ici 2030. Et aujourd’hui, une loi historique positionne la cybersécurité comme la clé de la protection de la sécurité nationale et de la stabilité économique. Bien que les détails soient encore en cours de finalisation, les responsables australiens de l’informatique et de la sécurité feraient bien de commencer à planifier.

Que contient la nouvelle législation?

La loi sur la cybersécurité ne manque pas d'ambition. En tant que première loi autonome sur la cybersécurité en Australie, elle promet de mettre en œuvre sept initiatives clés décrites dans la stratégie de cybersécurité susmentionnée. Département de l'intérieur, la loi est conçue pour combler les « lacunes législatives » et assurer l'avenir de « l'environnement cybernétique » et des infrastructures critiques (CNI) du pays, en se concentrant sur les points suivants :

• De nouvelles normes de cybersécurité pour les appareils intelligents visent à établir une base de sécurité renforcée pour les consommateurs, notamment des mots de passe uniques, des mises à jour régulières et le cryptage des données
• Déclaration obligatoire des paiements de rançongiciels (pour certains types d'entreprises non spécifiés) pour aider les autorités à mieux comprendre l'ampleur du problème
• Une obligation d’« utilisation limitée » pour le coordinateur national de la cybersécurité et la direction australienne des signaux (ASD) qui limitera la manière dont ces organismes utilisent les informations partagées avec eux par les organisations de victimes. L’objectif final ici est d’encourager davantage de signalements
• Un nouveau comité d’examen des incidents cybernétiques qui mènera des enquêtes « sans faute » à la suite d’incidents graves et partagera publiquement des informations anonymisées

La loi sur la cybersécurité fera également progresser et mettra en œuvre les réformes décrites dans la loi sur la sécurité des infrastructures critiques de 2018 (loi SOCI). Ces réformes visent à :

• Clarifier les obligations des organisations détenant des données critiques pour l'entreprise
• Améliorer l’aide gouvernementale pour atténuer l’impact des incidents affectant le CNI
• Simplifier le partage d'informations entre l'industrie et le gouvernement
• Permettre au gouvernement de contraindre les entités CNI à remédier aux graves lacunes en matière de gestion des risques
• Aligner la réglementation sur la cybersécurité des télécommunications sur la loi SOCI

Ce que les entreprises australiennes peuvent faire maintenant

Il y a eu 483 notifications de violation de données au cours du second semestre 2023, soit une augmentation de 19 % par rapport au premier semestre de l'année. Bureau du Commissaire australien à l'information (OAIC), la grande majorité (67 %) des incidents ont été causés par des attaques malveillantes ou criminelles. Ces niveaux de menace élevés ont incité les législateurs à prendre des mesures en premier lieu, et ils devraient constamment rappeler aux conseils d'administration que ces risques doivent être gérés de manière plus globale.

Bien que la loi sur la cybersécurité n'ait pas encore été finalisée, selon les experts interrogés par ISMS.online, les organisations australiennes peuvent prendre de nombreuses mesures dès maintenant pour se préparer à ses obligations. Cela est particulièrement vrai pour les fabricants d'appareils intelligents.

« Pour les fabricants australiens – et à peu près partout ailleurs – c'est le moment idéal pour examiner les pratiques de sécurité actuelles, déterminer les lacunes ou les domaines à améliorer et mettre en place des plans pour les aligner sur les nouvelles exigences », explique Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4, à ISMS.online.

« Les fabricants d'appareils intelligents doivent adopter une approche « sécurisée dès la conception » dans laquelle la sécurité est intégrée aux produits dès leur planification et leur conception et jamais comme une simple réflexion ultérieure. »

Daniel Schell, cofondateur et directeur technique d'Airlock Digital, prédit que les normes éventuelles que les fabricants d'IoT devront suivre seront probablement alignées sur la norme européenne de cybersécurité pour l'Internet des objets grand public (ETSI EN 303 645).

« Cela comprend des contrôles pour interdire les mots de passe par défaut, mettre en œuvre des mises à jour sécurisées, protéger les données sensibles, garantir une communication sécurisée et minimiser les surfaces d’attaque », explique-t-il à ISMS.online. « Comme des réglementations similaires en Australie telles que le Regulatory Compliance Mark (RCM) pour les équipements électroniques, ces réglementations seront remises en question par les ventes directes à l’étranger, en particulier à l’ère de Temu et d’AliExpress. »

Kelvin Lim, directeur principal de Black Duck, ajoute que les organisations australiennes devraient également être prêtes à établir des protocoles obligatoires de signalement des incidents « et à travailler en étroite collaboration avec le Centre australien de cybersécurité ».

Malik de KnowBe4 souligne l’importance d’une surveillance et d’un reporting continus.

« Prenez l’habitude de procéder à des audits et des contrôles réguliers pour vous assurer que tous les contrôles de sécurité fonctionnent comme prévu et comme prévu, et ce, de manière continue », explique-t-il. « Cela ne concerne pas seulement votre propre sécurité, mais aussi celle des régulateurs qui examineront les organisations de plus près à la lumière des nouvelles exigences. »

Les normes de bonnes pratiques peuvent aider

La bonne nouvelle est que le respect des normes et cadres de sécurité tels que la norme ISO 27001 peut aider les organisations à créer une base solide pour se conformer à la législation à venir, quelle que soit sa forme finale.

« Les entreprises australiennes s’appuient de plus en plus sur les systèmes numériques pour promouvoir et vendre leurs produits et services, ce qui rend la cybersécurité essentielle pour chaque entreprise », explique Alex Nehmy, directeur technique régional de Phosphorus Cybersecurity pour l’APJ, à ISMS.online. « Les normes et cadres de cybersécurité de bonnes pratiques aident les entreprises australiennes à améliorer leur posture de cybersécurité et à réduire la probabilité de subir un incident grave tel qu’un ransomware. »

Schell d'Airlock Digital va plus loin.

« Des normes telles que l’ISO 27001 et le NIST aident les organisations à gérer et à exploiter leur système de gestion de la sécurité de l’information (SMSI) », explique-t-il. « Les organisations matures qui exploitent un SMSI sain auront mis en place des politiques et des manuels de réponse aux incidents, ainsi que des registres de soutien tels que leurs exigences légales, et seront en mesure d’intégrer les changements réglementaires dans leurs processus actuels de manière structurée. »

Grâce aux fournisseurs de logiciels de conformité de nouvelle génération, satisfaire aux exigences de ces normes ne demande plus autant de temps et de ressources qu’auparavant. En suivant des cadres reconnus à l’échelle internationale, les organisations australiennes peuvent également faire de grands progrès pour remplir leurs obligations dans d’autres domaines, comme la conformité au RGPD et à diverses réglementations sectorielles. En attendant, beaucoup suivront de près le texte finalisé de la loi sur la cybersécurité.