L'année 2024 a été une année charnière en matière de développements dans le domaine de la sécurité de l'information, notamment en matière de normes et de réglementations. L'intelligence artificielle (IA) a connu une croissance significative à l'échelle mondiale, de nouvelles réglementations étant entrées en vigueur ou envisagées en réponse aux capacités de la technologie. La loi européenne sur l'intelligence artificielle (IA) est entrée en vigueur le 1er août, tandis que les États-Unis ont élaboré une législation et des réglementations au niveau des États plutôt qu'au niveau fédéral.
Plus généralement, en 2024, l’Australie a publié une nouvelle stratégie de cybersécurité et une loi sur la cybersécurité visant à positionner le pays comme un leader mondial de la cybersécurité d’ici 2030. Les États-Unis ont partagé leur stratégie visant à construire un écosystème numérique plus fort et plus sûr à travers le monde avec leur stratégie internationale de cyberespace et de politique numérique.
Alors que le monde de la cybersécurité continue d'évoluer à un rythme soutenu, nos contributeurs ont partagé leurs points de vue d'experts et leurs mises à jour sur les nouveaux développements. Dans ce blog, nous partageons nos dix lectures d'hiver préférées pour vous aider à vous tenir au courant des évolutions réglementaires et législatives ainsi que des principales actualités mondiales.
La panne CrowdStrike : arguments en faveur du renforcement de la réponse aux incidents avec la norme ISO 27001
En juillet, une mise à jour logicielle ratée de CrowdStrike a entraîné une panne informatique mondiale qui a eu des répercussions sur de nombreux secteurs, des compagnies aériennes aux systèmes de santé essentiels. Cet incident a mis en évidence la nécessité pour les organisations d'établir et de mettre en œuvre des protocoles de réponse aux incidents, ainsi que de renforcer leur dispositif de sécurité.
Dans ce blog, Rene Millman évoque les événements qui ont conduit à la panne, les personnes touchées et les raisons pour lesquelles il est si important de comprendre et de traiter les vulnérabilités potentielles de votre chaîne d'approvisionnement. Il souligne :
✅ L'impact de l'incident CrowdStrike et comment il a été résolu
✅ Comment les normes de sécurité de l'information telles que la norme ISO 27001 peuvent aider les entreprises à élaborer des plans de réponse aux incidents robustes
✅ Comment les meilleures pratiques ISO 27001 permettent aux organisations d’accroître leur résilience et d’améliorer la gestion et l’atténuation des risques.
Ce que la loi européenne sur l’IA signifie pour votre entreprise
Bien que la loi européenne sur l’IA soit une loi de l’Union européenne, les entreprises technologiques britanniques qui cherchent à proposer leurs services et modèles d’IA sur le marché de l’UE doivent toujours s’y conformer.
Dans ce blog, Nicholas Fearn examine l'impact de la loi européenne sur l'IA sur les entreprises britanniques et discute :
✅ Les mises à jour critiques dans la version finale de la loi
✅ Changements potentiels que les organisations britanniques devront apporter à leurs programmes de conformité
✅ Comment les entreprises peuvent utiliser la norme ISO 42001 pour rationaliser leur conformité à la loi européenne sur l'IA.
Comment les entreprises peuvent se préparer à la mise en œuvre de DORA
La loi sur la résilience opérationnelle numérique de l'UE (DORA) devrait s'appliquer aux entreprises à partir du 17 janvierth, et vise à renforcer la cybersécurité des institutions financières ainsi que des fournisseurs de services TIC tiers. Les entreprises britanniques qui fournissent des services financiers ou TIC à des clients européens devront également se conformer à la loi pour continuer à faire des affaires dans l'UE.
Nicholas Fearn examine dans ce blog comment les entreprises peuvent se préparer à la DORA et garantir leur conformité à la législation, notamment :
✅ L'importance d'adopter une approche structurée en matière de conformité et de s'assurer que votre organisation respecte les obligations DORA avant la date limite
✅ Comment les entreprises britanniques peuvent accroître leur compétitivité globale sur le marché en adhérant à DORA
✅ Pourquoi les organisations doivent effectuer une vérification diligente approfondie de leurs fournisseurs de services TIC tiers pour gérer les facteurs de risque externes
✅ Comment les cadres de bonnes pratiques comme la norme ISO 27001 peuvent fournir une base de référence pour répondre aux exigences DORA.
Comment les entreprises peuvent se conformer à la NIS 2 avant son échéance d'octobre
La deuxième version de la directive européenne sur les réseaux et les systèmes d'information (NIS 2) est entrée en vigueur en octobre de cette année. Cette nouvelle directive actualisée prévoit des mesures juridiques visant à améliorer la cybersécurité collective de chaque État membre de l'UE, notamment en luttant contre la cybercriminalité et en facilitant le partage et la coopération en matière de renseignement sur la cybersécurité.
Nicholas Fearn explique dans son blog comment les entreprises peuvent garantir leur conformité avec la directive NIS 2, en discutant de :
✅ Comment la norme NIS 2 et ses exigences en matière de gestion des risques et de reporting impactent les organisations britanniques
✅ Les avantages d'une posture de cybersécurité forte et d'une cyber-résilience améliorée
✅ Mesures que les entreprises concernées peuvent prendre pour évaluer leur cyber-position, évaluer les risques liés à la chaîne d’approvisionnement et garantir la conformité.
Tout ce que vous devez savoir sur la norme ISO 45001
La norme ISO 45001 est une norme internationale de santé et de sécurité au travail, qui fournit un cadre aux organisations pour mettre en œuvre et améliorer en permanence un système de gestion de la santé et de la sécurité au travail.
Dans notre guide détaillé, Christie Rae décrit tout ce que vous devez savoir sur la norme, notamment :
✅ Les principes fondamentaux de la norme ISO 45001
✅ Une répartition des sept clauses qui composent les exigences de la norme
✅ Principaux avantages de la certification de votre organisation
✅ Exigences essentielles de la certification ISO 45001
✅ Un aperçu du processus d'audit et d'évaluation ISO 45001.
Votre feuille de route en 10 étapes vers un SMSI robuste
Un système de gestion de la sécurité de l'information (SMSI) efficace est essentiel pour protéger les données de votre organisation, atténuer les risques liés à la cybersécurité et garantir la conformité aux lois et réglementations en vigueur. Alors que le coût des violations de données continue d'augmenter et que les cybermenaces deviennent de plus en plus sophistiquées, il est essentiel que votre organisation dispose d'une stratégie pour protéger les informations qu'elle détient.
Dans ce blog, Christie Rae partage notre feuille de route en dix étapes pour développer, mettre en œuvre et améliorer votre SMSI, notamment :
✅ Choisir votre référentiel SMSI, par exemple ISO 27001 ou NIST CSF
✅ Développer l'approche de votre organisation en matière d'évaluation des risques
✅ Définir vos politiques et procédures de protection, de gestion et de transfert des informations
Et plus encore…
Qu'est-ce qu'une violation ? Comment minimiser les incidents et les coûts
La dernière édition du rapport IBM sur le coût d’une violation de données montre que les coûts continuent d’augmenter, avec un coût moyen de 4.5 millions de dollars (3.6 millions de livres sterling) par violation au Royaume-Uni. À l’échelle mondiale, ce chiffre atteint près de 4.9 millions de dollars (3.8 millions de livres sterling) par violation, soit 10 % de plus que l’année dernière. Alors que les cybermenaces continuent de croître, les organisations doivent être plus proactives que jamais pour minimiser les incidents.
Dans ce blog, Phil Muncaster présente les conclusions du rapport d'IBM et explique comment les entreprises peuvent réduire le risque de violation de données. Il aborde les sujets suivants :
✅ Facteurs clés à l'origine de l'augmentation des coûts liés aux violations de données pour les organisations britanniques
✅ Comment la mise en œuvre de la formation des employés dans le cadre d'une approche approfondie de la gestion des cyber-risques peut aider les organisations à réduire les violations de données
✅ Comment les cadres de bonnes pratiques et les normes telles que ISO 27002, SOC 2 et NIST CSF permettent aux organisations de mettre en place de solides pratiques de cybersécurité.
Que signifie la stratégie australienne de cybersécurité pour votre entreprise ?
Le gouvernement australien a publié sa stratégie de cybersécurité 2023-2030 en novembre 2023, qui vise à positionner le pays comme un leader mondial en matière de cybersécurité d'ici la date butoir. Cela comprend la loi sur la cybersécurité, qui comble les lacunes législatives pour mettre l'Australie en conformité avec les meilleures pratiques internationales.
Phil Muncaster examine la stratégie de cybersécurité dans le blog, en discutant de :
✅ Les six « cyberboucliers » qui composent la stratégie australienne de cybersécurité
✅ Ce que les organisations australiennes doivent faire pour s'aligner sur la stratégie
✅ Comment la norme ISO 27001 et d’autres cadres de bonnes pratiques peuvent aider les organisations à lutter contre les cybermenaces.
Que contient la nouvelle cyber-stratégie internationale des États-Unis ?
En mai 2024, les États-Unis ont dévoilé la stratégie internationale des États-Unis en matière de cyberespace et de politique numérique (ICDPS) dans le but de bâtir un écosystème numérique plus fort et plus sûr à travers le monde. Le document s'appuie sur la stratégie nationale américaine de cybersécurité de 2023, qui comportait également un pilier consacré à la collaboration et au consensus internationaux.
Dans ce blog, Danny Bradbury examine l'ICDPS et explore son impact sur les entreprises, notamment :
✅ Les trois principes fondamentaux et les quatre domaines d’action clés définis par la stratégie
✅ Principaux points à retenir de l’ICDPS pour le secteur privé
✅ L’importance de bonnes pratiques de gouvernance numérique, notamment l’hygiène de la cybersécurité et l’utilisation responsable des technologies.
ISO 9001 expliqué : un guide complet des systèmes de gestion de la qualité
La norme internationale ISO 9001 relative au management de la qualité fournit aux organisations un cadre pour la mise en place, la maintenance et l'amélioration continue d'un système de management de la qualité (SMQ). La certification à la norme aide les organisations à rationaliser leurs opérations, à améliorer la satisfaction de leurs clients et à garantir que leurs produits ou services respectent et dépassent les normes réglementaires et celles des clients.
Dans son blog, Rebecca Harper examine en profondeur la norme ISO 9001, ses exigences et la manière d'obtenir la certification, notamment :
✅ Les sept principes fondamentaux de gestion de la qualité de la norme ISO 9001
✅ Clauses clés de la norme ISO 9001 et leur objectif lors de la construction de votre SMQ
✅ Le processus de certification et d'amélioration continue
✅ Avantages de la certification ISO 9001
✅ Bonnes pratiques pour mettre en œuvre la norme ISO 9001 au sein de votre entreprise.
Libérez votre avantage en matière de conformité en matière de sécurité de l'IA
Le paysage réglementaire de la sécurité de l’information continue d’évoluer rapidement. En ce qui concerne l'IA, la législation commence à être adoptée au niveau des États aux États-Unis, et Standards Australia a adopté la norme ISO 42001 pour aider les organisations à utiliser l’IA de manière efficace et responsable.
Nous continuerons à vous présenter les dernières informations et mises à jour sur tout ce qui concerne la sécurité des informations. Que vous vous prépariez à vous conformer aux exigences réglementaires à venir, que vous cherchiez à améliorer la conformité de votre organisation en matière de sécurité des informations ou que vous souhaitiez en savoir plus sur la législation et les normes mondiales en matière de sécurité des informations, vous pouvez compter sur notre blog pour vous fournir les informations dont vous avez besoin pour rester informé.
