You are currently viewing Les règles de cybersécurité à appliquer par les entreprises

Près de 80 % des entreprises en Europe ont déjà fait l’objet d’une cyberattaque. La cybersécurité est donc un enjeu majeur, à ne pas prendre à la légère, en tant qu’entreprise. Il est à noter que plus l’entreprise traite de données sensibles, plus une cyberattaque peut être dramatique

L’Union européenne répond à cette menace en adoptant des textes juridiques contraignants, tandis que l’Agence nationale de sécurité des systèmes d’informations (ANSSI) et la Commission nationale de l’informatique et des libertés (CNIL) fournissent des guides et des recommandations. 

Les obligations des entreprises en matière de cybersécurité

De nombreux textes sont au service de la cybersécurité comme : 

  • Le règlement général sur la protection des données (RGPD)
  • La loi informatique et libertés
  • La loi de programmation militaire (LPM)
  • La directive européenne 2022/2555 (NIS 2)
  • La directive NIS 1

En plus de ces nombreux textes, il en existe des spécifiques, en fonction du secteur d’activité de l’entreprise. Par exemple, une entreprise opérant dans le secteur de la Défense doit se conformer à des instructions ministérielles, ou au Code de la Défense. Une banque, quant à elle, doit respecter les obligations prévues dans la directive européenne DSP2 relative aux services de paiement, et ainsi de suite. 

Il serait difficile, dans un seul article, de détailler toutes ces obligations. Cependant, il est intéressant de souligner que la directive NIS 2, a une portée générale et prévoit de nouvelles règles, obligatoires à partir du 18 octobre 2024. Elle est adoptée pour imposer des mesures tant au niveau européen, qu’au niveau national, qu’au niveau de chaque entreprise.

Elle prévoit, notamment dans son article 20, une obligation de suivre une formation sur la cybersécurité pour les organes de direction des sociétés. Elle encourage aussi, fortement l’offre régulière de formation en cybersécurité au personnel de l’entreprise.

Le RGPD, quant à lui, prévoit, en autres, l’obligation, dans certains cas, de désignation d’un délégué à la protection des données (DPD ou DPO). Ce dernier agit comme le chef d’orchestre de la conformité de la protection des données. Il a pour rôle d’informer, de conseiller, de sensibiliser et de veiller au respect du RGPD. Plus globalement, il veille au respect des règles en matière de protection des données. 

Ces nombreux textes juridiques sont accompagnés de recommandations et de guides créés par l’ANSSI et la CNIL. Ces ressources sont conçues pour orienter les utilisateurs privés et les entreprises, dans la conduite à tenir pour minimiser le risque de cyberattaque et limiter les dégâts en cas d’incident.

Les recommandations de l’ANSSI et la CNIL en matière de cybersécurité 

Afin de sensibiliser les entreprises à la cybersécurité, l’ANSSI et la CNIL émettent régulièrement des guides et des recommandations. 

L’ANSSI prévoit, par exemple, « les fondamentaux pour se sécuriser », orientant vers une veille de la menace cyber et encourageant l’entraînement du personnel à la gestion de crises numériques. 

De son côté, la CNIL prévoit « les mesures d’hygiène pour protéger votre [système d’information] » ou le « guide de la sécurité des données personnelles ».

Concrètement, ces deux organes rappellent l’importance de divers aspects, notamment :

  • L’importance d’une bonne sécurisation des postes informatiques
  • La nécessité de mots de passe forts 
  • La prudence quant à l’utilisation de clés USB ou d’autres périphériques externes sans vérification préalable
  • L’importance des mises à jour 
  • La prudence face à l’utilisation de réseaux Wi-Fi publics, sans protection 
  • La nécessité d’informer en cas d’ouverture de mails malveillants ou suspects 
  • L’importance de signaler toute anomalie comme des bugs informatiques, une souris agissant de manière inhabituelle, ou des signes de manipulation de la caméra. 

Toutes ces recommandations ne peuvent être mises en place sans une réelle sensibilisation du personnel. 

L’indispensable sensibilisation du personnel 

Une entreprise peut être aussi bien protégée qu’elle le veut, si ses employés ne sont absolument pas sensibilisés aux risques d’un manquement à la sécurité informatique, cela ne sert à rien. En effet, deux tiers des failles informatiques viennent des humains.

Cette sensibilisation du personnel doit se faire, tant au niveau informatique que juridique. Elle permettrait de limiter les dégâts. 

Les méthodes de sensibilisation peuvent varier, allant, entre autres, de jeux et devinettes à des vidéos ludiques, des dessins, des phrases marquantes et des formations interactives.

Il est crucial que le personnel comprenne l’enjeu de la cybersécurité. Une entreprise bien préparée et informant directement les autorités compétentes, en cas de cyberattaque, ne pourra pas être sanctionnée. 

Au contraire, une entreprise mal protégée, ou tardant à informer l’autorité, s’expose, non seulement, aux conséquences de la cyberattaque, mais également à des condamnations. Dans ce cas, elle risque une amende, qui équivaut à 4 % de son chiffre d’affaires annuel. 

En parallèle, si la cyberattaque est apparue à la suite d’une négligence d’un employé, celui-ci pourra aussi être sanctionné

En conclusion

Les défis liés à la cybersécurité évoluent rapidement pour les entreprises. Les personnes malveillantes sont de plus rusées et astucieuses, ce qui rend indispensable une préparation efficace pour contrer et atténuer les risques d’attaques informatiques. Quelle que soit la taille de l’entreprise ou la nature des données qu’elle traite, toutes sont potentiellement exposées.

Le développement des nouvelles technologies s’accompagne de l’adoption de nouveaux textes juridiques. Dans les années à venir, il sera surement obligatoire, pour les entreprises, d’avoir un juriste ou une équipe juridique spécialement dédiés à la conformité du RGPD, du Data act, de NIS 2, de l’IA act (projet de règlement récemment adopté), du Cyber resiliance act (pas encore adopté) ou des normes ISO concernant ces différents domaines. 

 

Olivia MARTIN

M2 Cyberjustice – Promotion 2023/2024

 

Sources : 

Sécurité des données | CNIL 

L’importance de la sécurité réseau en entreprise – reflexiondz

Les fondamentaux pour se sécuriser | ANSSI  

Cybersécurité 

RÈGLEMENT (UE) 2016/ 679 DU PARLEMENT EUROPÉEN ET DU CONSEIL – du 27 avril 2016 – relatif à la protection 

Directive (UE) 2022/2555

 

A propos de Olivia MARTIN

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.