Cybersécurité : de nouvelles réglementations s’en viennent

Si les questions de cybersécurité ont longtemps été une question laissée aux soins des entreprises, en raison de l’ampleur des cyberattaques et des retombées de celles-ci, nombre de gouvernements envisagent maintenant de mettre en place de nouvelles réglementations, rapporte Harvard Business Review.

Aux États-Unis, toute une série de nouvelles réglementations et de mesures d’application est en préparation. À l’échelle mondiale, on dénombre de nombreuses initiatives de ce genre telles que les exigences de la Chine et de la Russie en matière de localisation des données, les exigences de l’Inde en matière de rapports d’incidents CERT-In, ainsi que le GDPR de l’UE et ses rapports d’incidents.

Mais les entreprises ne devraient pas attendre un règlement pour réagir, estime Harvard Business Review. Elles devraient étudier les différentes législations et règles dans le monde entier et se préparer à agir en conséquence.

Pour le moment, la plupart des réglementations se concentrent sur la protection de la vie privée plutôt que la cybersécurité en tant que telle. Les entreprises doivent prévenir quand des données personnelles leur sont dérobées, mais peuvent taire les incidents comme les ransomware. Il est donc impossible de dénombrer exactement le nombre de cyberattaques.

Les gouvernements se rendent compte de ce flou et veulent davantage de transparences. Plusieurs envisagent de nouveaux règlements qui obligeraient de déclarer le moindre cyberincident. Toutefois, il n’est pas évident de savoir ce qui devrait être considéré comme un cyberincident. Est-ce que si un accès est refusé en raison d’un mot de passe erroné, l’on devrait considérer cela comme une menace imminente? Les entreprises et régulateurs tentent de trouver un équilibre pour éviter que les entreprises ne doivent fournir un millier de rapports par jour.

Cependant, certaines actions peuvent être posées dès maintenant. Les entreprises pourraient ainsi :

• S’assurer de leurs procédures

Les entreprises doivent ainsi définir la notion de « matérialité » et revoir leurs politiques et procédures actuelles pour déterminer si la « matérialité » s’applique, à la lumière des réglementations qui se dessinent. Elles devront probablement les réviser pour rationaliser leur fonctionnement – surtout si ces décisions doivent être prises fréquemment et rapidement.

• Maintenir à jour leurs politiques en matière de ransomware

Des réglementations sont également en cours d’élaboration dans des domaines tels que le signalement des attaques par ransomware, voire la criminalisation du paiement d’une rançon.

• Préparer une « nomenclature des logiciels »

De nombreuses entreprises ne savaient pas que leurs systèmes contenaient certaines vulnérabilités, car les logiciels sont souvent regroupés avec d’autres. Des réglementations sont actuellement proposées pour obliger les entreprises à tenir à jour une nomenclature des logiciels (SBOM) détaillée et actualisée, afin qu’elles puissent connaître rapidement et précisément tous les différents logiciels intégrés dans leurs systèmes informatiques complexes.

• Et quoi d’autre?

Peut-être serait-il intéressant de former un groupe au sein de l’entreprise pour examiner les nouvelles réglementations. Les nouvelles réglementations sont encore malléables, votre organisation peut vouloir influencer activement les orientations de ces réglementations et la manière dont elles sont mises en œuvre et appliquées.