Tout au long de votre vie professionnelle dans le domaine de la cybersécurité, vous serez confronté à des défis de conformité, que ce soit avec des lois, des réglementations, des normes ou des standards. Il est important de bien comprendre la différence entre ces notions et d’assimiler les conséquences en cas de non-conformité.
Le risque de non-conformité doit être pris au sérieux et constitue une préoccupation majeure pour les entreprises afin d’éviter les sanctions et les poursuites judiciaires qui pourraient en découler. Parfois, ces sanctions peuvent être très lourdes et menacer même l’existence et la continuité de l’entreprise.
Les lois :
Les lois sont promulguées par les organes législatifs des pays pour aborder des problématiques spécifiques au niveau national. Elles proposent des dispositions et des règles visant à maintenir l’ordre, garantir les droits, la sécurité et la santé des citoyens. Les lois sont proposées, débattues et adoptées par les organes législatifs en vue d’être appliquées et respectées par tous.
Les lois sont souvent accompagnées de sanctions en cas de non-respect ou de violation des règles en vigueur, pouvant aller de sanctions de réclusion à des amendes.
Dans le domaine de la cybersécurité, il existe des lois qui visent à protéger contre les actes malveillants touchant les individus et les organisations. Parmi ces lois, citons par exemple :
- La loi Godfrain du 5 janvier 1988, qui a été promulguée pour lutter contre les actes de cybercriminalité et de piratage.
- Le Cybersecurity Act, une loi européenne visant à renforcer la sécurité du marché en encourageant l’utilisation de la certification de cybersécurité des produits.
- La loi n° 2013-1168, adoptée le 18 décembre 2013, relative à la programmation militaire, qui instaure diverses dispositions concernant la défense et la sécurité nationale.
Toute entreprise doit être consciente des lois en vigueur et s’efforcer de mettre en place toutes les mesures nécessaires pour les respecter, car le non-respect d’une loi peut être très coûteux.
Les réglementations :
Le rôle des réglementations est de mettre en œuvre une loi en édictant des règles sur la manière dont celle-ci sera appliquée. Les réglementations visent à rendre les choses plus concrètes.
Le meilleur exemple d’une réglementation est le RGPD (Règlement général sur la protection des données), dont l’objectif est de protéger les personnes physiques par rapport au traitement des données à caractère personnel et à la libre circulation de ces données.
Tout comme les lois, les réglementations prévoient des sanctions en cas de non-respect des règles établies. Toute entreprise concernée par ces réglementations doit veiller à les respecter en mettant en place les mesures nécessaires, sous peine de s’exposer à des sanctions.
Les normes :
Contrairement aux lois et aux réglementations, les normes sont produites par des organismes de normalisation (souvent privés) mandatés pour cela (par exemple, l’ISO). Les normes établissent des règles de conformité ou de fonctionnement.
Selon l’ISO, une norme est un ensemble de règles fonctionnelles ou de prescriptions techniques relatives à des produits, à des activités ou à leurs résultats, établies par consensus de spécialistes et consignées dans un document produit par un organisme national ou international reconnu dans le domaine de la normalisation.
Bien qu’il ne soit pas obligatoire de se conformer à une norme pour les entreprises, cela peut servir à prouver que leur système d’information répond à l’ensemble des règles d’une norme reconnue et respectée, ce qui inspire confiance et garantit un certain niveau de qualité au public. Il est même possible de certifier une organisation selon une norme.
Les exemples les plus courants de normes dans le domaine de la cybersécurité sont les normes ISO 2700x. Parmi les plus utilisées, on trouve :
- ISO 27001 : Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information.
- ISO 22301 : Sécurité et résilience – Systèmes de management de la continuité d’activité.
- ISO 27005 : Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information.
Le non-respect d’une norme n’entraîne pas de sanctions, mais il peut entraîner une perte de parts de marché, la perte de la confiance des clients, voire la rupture de partenariats avec des tiers.
Les standards :
Bien que très similaires aux normes, les standards sont définis par des groupes qui n’ont pas de mandat officiel des gouvernements. Les standards fournissent un ensemble de règles que chaque entité appartenant à un groupe spécifique dans un domaine donné doit respecter.
Tout comme pour les normes, il n’est pas obligatoire pour une organisation d’adopter un standard. Cependant, selon la nature de votre activité, le non-respect des standards peut entraîner une perte de parts de marché.
Le meilleur exemple d’un standard dans le domaine de la cybersécurité est la norme PCI-DSS (Payment Card Industry Data Security Standard), qui est un standard de sécurité des données applicable aux différents acteurs de la chaîne monétique. Il a été élaboré par les cinq principaux producteurs de cartes bancaires au monde (Visa, MasterCard, American Express, Discover Card et JCB).
Si votre organisation est une banque traitant les données des titulaires de cartes bancaires, il est fortement recommandé de se conformer à ce standard afin d’éviter toute responsabilité en cas de fraude, par exemple. À ce jour, seules Visa et MasterCard obligent les organismes traitant des données de titulaires de cartes bancaires à se conformer à ce standard. Cela signifie que même si votre banque n’est pas conforme à la norme PCI-DSS, elle peut toujours utiliser les services d’autres fournisseurs qui n’exigent pas cette conformité, comme American Express, par exemple.
En conclusion :
La conformité aux lois, réglementations, normes et standards est essentielle pour les entreprises afin de prévenir les sanctions et les conséquences juridiques. Comprendre la différence entre ces notions et mettre en place les mesures nécessaires pour se conformer aux exigences correspondantes est crucial pour assurer la pérennité et la confiance dans l’entreprise. Il est recommandé de travailler en étroite collaboration avec des experts juridiques et des professionnels de la cybersécurité pour une conformité optimale et une gestion efficace des risques liés à la conformité.
No responses yet