Nouvelles réglementations européennes : obstacle ou opportunité pour votre stratégie de sécurité ?

Les réglementations européennes bientôt en vigueur promettent de redéfinir en profondeur nos pratiques de sécurité dans les prochaines années. Le Règlement général sur la protection des données (RGPD) et la directive sur la Sécurité des réseaux et de l'information (SRI) renforcent les obligations imposées aux entreprises, de même que les sanctions prévues en cas de non-respect. Si aucun des deux textes n'est contraignant sur la méthode à appliquer, le RGPD comme le SRI prônent l'implémentation d'une "sécurité de pointe" adaptée aux risques potentiels de violation.

Parmi les principes centraux de la nouvelle législation européenne, on retrouve la notification obligatoire des violations de sécurité. Ce principe affirme qu'en cas de violation de sécurité, les entreprises traitant les données personnelles de citoyens européens auront 72 heures pour avertir l'autorité de contrôle nationale. Naturellement, remplir une telle exigence requiert une visibilité optimale sur l'ensemble du réseau. Quid des entreprises contrevenantes ? Ici, les autorités de contrôle promettent d'avoir la main lourde sur le plan des sanctions. Outre les mesures de prévention habituelles, il faudra donc accorder une attention toute particulière à la détection des violations. En matière de cybersécurité, il s'agit en fait d'un véritable changement de paradigme.

Lors de la notification à l'autorité de contrôle, les entreprises devront préciser les détails de l'incident, en particulier ses causes sous-jacentes. Outre la déclaration de toute répercussion majeure, comme la perte ou la compromission de données, les entreprises devront indiquer à l'autorité compétente la nature et la date de la violation, de même que le mode opératoire et, surtout, les failles exploitées par les attaquants.

De toute évidence, ces nouvelles obligations, à commencer par la notification obligatoire des violations de sécurité, exercent une pression considérable sur des équipes de sécurité déjà surchargées. Il y a même fort à parier qu'un grand nombre d'entreprises, en particulier au sein de secteurs peu réglementés, les jugeront inadaptées et coûteuses à mettre en œuvre.

Mais est-ce vraiment la bonne posture ? Pour IDC, ces réglementations ne doivent pas être considérées comme un fardeau mais bien comme un moyen de renforcer la protection des entreprises contre les cyberattaques. Plutôt que d'envisager leur mise en conformité comme une corvée, les organisations doivent saisir cette opportunité pour repenser leur stratégie et leur infrastructure de sécurité autour d'une nouvelle plateforme, plus propice à la création et l'innovation.

Bien sûr, la mise en conformité exige des investissements en sécurité. Cela dit, ceux-ci peuvent s'aligner sur des objectifs métiers plus larges dont la sécurité est l'une des composantes, comme le lancement de programmes de transformation numérique. Pour prendre l'exemple du cloud, les questions de sécurité constituent encore le principal frein à son adoption. Dès lors, pourquoi ne pas se projeter au-delà des impératifs de conformité ? Pourquoi ne pas profiter de ce nouvel élan législatif pour investir de façon plus volontariste, par exemple dans des solutions cloud sécurisées ? Ici, les entreprises n'ont que l'embarras du choix.

Dans le même ordre d'idée, de nombreuses entreprises étudient aujourd'hui les possibilités offertes par l'Internet des objets (IoT) mais s'inquiètent des risques pour leur sécurité. En abordant la conformité "comme un moyen plutôt qu'une fin", elles pourront justement créer une architecture de sécurité parée pour l'IoT tout en garantissant le respect des nouvelles réglementations. Enfin, rappelons qu'il existe non pas une mais de nombreuses façons de faire des exigences sécuritaires un levier d'innovation, et même de compétitivité.

Les nouvelles réglementations européennes en matière de sécurité des données ont toute leur raison d'être. Si bon nombre d'entreprises y voient d'abord un gouffre financier, nous pensons qu'elles doivent saisir cette opportunité (et utiliser les budgets disponibles) pour améliorer leur infrastructure technologique et leurs pratiques de sécurité, avec au final une protection renforcée à tous les niveaux.

Pour découvrir comment élaborer une stratégie de cybersécurité robuste et comprendre les avantages d'une bonne préparation face à des menaces toujours plus mouvantes, remplissez le Bilan IDC d'évaluation des cyber-risques

Duncan Brown est Directeur de recherche chez IDC et conduit un programme sur les pratiques de sécurité en Europe.