Responsabilité

La question de la cybersécurité s’invite dans les conseils d’administration

Phishing, épidémie de logiciels rançonneurs, surcharges de serveurs : l’année 2016 a été marquée par une vague sans précédent d’attaques cybercriminelles. Premières victimes, les grandes entreprises et les institutions financières font aujourd’hui l’objet d’une surveillance accrue, matérialisée par de nouvelles recommandations et réglementations.

Comment lutter contre la cybercriminalité ? C’est l’un des enjeux majeurs des années à venir, notamment pour le secteur de la finance, particulièrement concerné par ces attaques. 

Le Clusif, Club de la sécurité de l’information français, dans son panorama de la cybercriminalité, fait le constat qu’en 2016 les banques sont devenues « une cible de choix » et ont été l’objet « d’attaques de plus en plus diversifiées ». Les géants du Web sont également des cibles de prédilection : le nombre de « rançongiciels » visant ces entreprises a connu une augmentation considérable au cours de l’année 2016. Selon le dernier baromètre de la cyber-sécurité des entreprises édité par le  Club des experts de la sécurité de l’information et du numérique (Cesin) en partenariat avec Opinionway, 80 % des entreprises en auraient été la cible en 2016. 

Un enjeu pour les administrateurs

Partant de ce constat, 2017 doit être l’année du changement. Les institutions financières, mais aussi les conseils d’administration des grandes entreprises, commencent à en prendre conscience. 

Pour se prémunir de cette menace, les régulateurs sensibilisent désormais les boards des grands groupes au respect des réglementations en vigueur et applicables aujourd’hui ou dans un futur proche. 

C’est le cas aux Etats-Unis, où le Département des services financiers de l’Etat de New York a publié récemment un projet de réglementation de la cybersécurité « Cybersecurity Regulations For Financial Services », applicable à la plupart des institutions financières, banques et assurances. Les consignes données, dans ce texte de référence, couvrent les politiques requises pour la gestion des fournisseurs, la notification des brèches de sécurité ou encore la mise en place de l'authentification multi-facteurs pour les clients, employés et prestataires de services. Il établit également de nouvelles règles en matière de politiques de gestion de la sécurité des tiers. 

GDPR, le compte à rebours a commencé

En France, le cabinet Deloitte vient de publier un livre blanc afin d'aider les entreprises à se mettre en conformité avec la Réglementation générale sur la protection des données (GDPR), entrée en vigueur le 24 mai 2016 et qui sera applicable à partir du 25 mai 2018. 

« Le GDPR vient, à l’origine, du souhait de 90% des entreprises européennes d'avoir une loi commune sur la protection des données à caractère personnel », souligne Deloitte. Ce livre blanc répond à un certain nombre de questions : quelles sont les différentes étapes à mettre en œuvre pour s'assurer de la réussite d'un projet GDPR ? Quel comportement adopter face au défi posé par la mise en conformité ? Comment, à travers la conformité réglementaire, faire du « data privacy » un avantage concurrentiel ?  

« Un projet GDPR est constitué de trois grandes strates méthodologique, juridique et technologique », détaille Deloitte dans ce document. Pour l’entreprise, il est essentiel dans son approche juridique de démontrer en toute transparence une intention de mise en conformité avec l’autorité de contrôle. « En prenant en compte les différents enjeux relatifs à la protection des données à caractère personnel, les organisations deviendront plus responsables et créeront alors une innovation pérenne et solide constituant ou préservant un cadre de confiance. » 

Des sanctions lourdes en cas de non-respect

Dans ces recommandations, Deloitte sensibilise également les conseils d’administration à l’absolue nécessité de respecter cette GDPR : « Désormais, les autorités de protection européennes disposeront du pouvoir de sanctionner. » 
Le montant des sanctions, en cas de non-respect de la loi, pourra atteindre jusqu'à 4 % du chiffre d’affaires annuel pour un total maximum de 20 millions d’euros. 

Les entreprises employant plus de 250 collaborateurs devront, par ailleurs, nommer un Délégué à la protection des données (ou « Data Privacy Officer ») chargé de veiller à la compréhension et à la réussite d'une mise en conformité GDPR. Le compte à rebours est lancé : « En mai 2018, toute entreprise devra être en mesure de prouver, à n’importe quel moment, que les données à caractère personnel qu’elle détient (IBAN, numéros de téléphone, identifiants divers, données biométriques, enregistrements caméras etc.) sont protégées et surtout inexploitables en cas de vol », rappelle Deloitte.
 

Ajouter un commentaire

Pour suivre la discussion

Retrouvez chaque semaine, les rencontres et les réflexions qui animent le débat de l’équation de la confiance.