Cybersécurité : gouvernance et conformité
Avec l’explosion du nombre d’attaques cyber et le renforcement du cadre réglementaire, les entreprises ont tout intérêt à renforcer drastiquement leur gouvernance cybersécurité et à traiter ces contraintes réglementaires comme une opportunité d’avantage concurrentiel.
Comment construire une cybersécurité à la hauteur de vos enjeux ?
Face aux coûts toujours plus élevés, aux impacts économiques et sociétaux significatifs, les risques cyber se sont progressivement installés parmi les priorités des DSI et des fonctions de risk management.
La cybersecurité est également devenue une priorité pour les Etats de l’Union Européenne qui renforcent leurs directives et réglementations en ce domaine. Les entreprises et organisations concernées ont tout intérêt à s’organiser pour renforcer leur gouvernance en matière de cybersecurité, assurer leur résilience IT et ainsi transformer la contrainte réglementaire en un atout de compétitivité.
Chiffres clés de la sinistralité cyber en France
-
2 Mds€ coût global des cyberattaques réussies en France en 2022
-
385 000 nombre de cyberattaques contre des organisations publiques et privées ayant eu un impact opérationnel et/ou financier en 2022
-
15 M€ coût moyen des frais et pertes suite à un sinistre cyber pour les grandes entreprises
Sources : Évaluation statistique – Astérès (20−06−2023) et « Risques cyber analyse de la sinistralité : quels enseignements ? » – Bessé et Stelliant (10−2022)
Constatant la très grande hétérogénéité du degré de préparation des entreprises, l’Union Européenne a pris la mesure du risque cyber et de la nécessité de renforcer la sécurité informatique du secteur Financier mais également de l’ensemble des activités jugées stratégiques pour l’économie et la société (Energie, Eau, Santé, Télécom, Transports…). Et ce, dans une approche de bout en bout, incluant notamment les fournisseurs de technologies de l’information et de la communication (TIC).
A travers de nouvelles directives et réglementations (NIS2, DORA…), l’UE vise à renforcer la capacité de résilience IT des entreprises. L’UE et les Autorités européennes de surveillance (AES) veulent faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus globale et proactive. Empêcher les cyberattaques est illusoire, mais les entreprises doivent se préparer à les traiter, et à assurer la continuité des activités et services critiques ou importants.
Avant la mise en application de NIS2 à octobre 2024 et de DORA à janvier 2025, les entreprises concernées doivent rapidement engager une démarche de mise en conformité qui reposera sur les piliers de transformation suivants.
Acculturation et Gouvernance
La Cybersécurité doit devenir un axe prioritaire de la gouvernance pour la direction de l’entreprise pour assurer la conformité de l’entreprise. Former le management et les collaborateurs, créer une culture de la sécurité informatiques sont un axe clé de la mise en conformité
Trajectoire technique
Identifier et traiter les dimensions techniques à sécuriser pour garantir une sécurité renforcée face aux attaques mais aussi la résilience IT de l’entreprise
Juridique
Revoir l’ensemble des exigences et documents à intégrer dans les contrats existants et futurs avec les fournisseurs. S’informer des évolutions réglementaires et modalités de contrôle des AES
Organisation et processus
Intégrer les recommandations de la norme ISO 27001, prendre en compte les attentes des autorités Européennes de Surveillance (AES) en matière de formalisation des processus et procédures
Surveillance Tests et Audits
Organiser et mener des tests d’intrusion. Structurer et implémenter la surveillance des TIC ainsi que les tests d’intrusion, l’auditabilité de l’entreprise en matière de cybersécurité et de résilience
Collaboration et communication
Sortir de la culture du secret face aux attaques. Organiser et anticiper la gestion de crise. Développer la collaboration et la communication active entre entreprises et avec les AES en cas d’incident.
Les exigences seront proportionnelles à la taille et à la criticité de l’entreprise. La charge de la preuve de conformité reviendra aux entreprises. A défaut, les sanctions prévues par la loi et envisagées par les Autorités l’ANSSI pourraient être importantes. A titre d’exemple :
- amende lourde correspondant à un pourcentage du chiffre d’affaires,
- retrait temporaire du droit d’exercer son activité,
- suspension temporaire de la possibilité d’exercer des responsabilités dirigeantes à un niveau de Directeur général…).
Les autorités de régulation se réserveront également le droit de publier les décisions de sanctions.
Face à ces obligations, les entreprises pourront saisir l’opportunité et transformer la contrainte réglementaire en un atout commercial à mettre en avant, tant au niveau B2B que B2C. Par exemple, la capacité prouvée de résilience va devenir un argument clé de choix pour les clients des fournisseurs de technologies de l’information et de la communication (TIC) ou des institutions financières.
Parce que la cybersécurité n’est pas qu’un problème IT mais bien un enjeu d’entreprise, notre équipe pluridisciplinaire et nos partenaires spécialistes techniques en matière de Cybersécurité nous permettent d’adresser vos ambitions et problématiques.
Nous vous proposons un accompagnement sur mesure adapté à votre contexte, votre métier et vos objectifs.
Comment pouvons-nous aider
-
Réaliser un Diagnostic flash de conformité NIS2 ou DORA
Etablir un état des lieux et mesurer l’effort de mise en conformité à fournir grâce à une démarche structurée / industrialisée basée sur des outils et questionnaires éprouvés
-
Définir votre stratégie de mise en conformité Cyber
Concevoir la cible en termes de gouvernance et conformité cyber. Concevoir un plan de mise œuvre progressif et réaliste
-
Piloter votre programme de mise en conformité
Coordonner l’ensemble des acteurs sur les chantiers à mener : management, métiers, équipes IT, juridiques, fournisseurs, auditeur…